【JWT】令牌-概述&&基本使用

最新推荐文章于 2024-09-22 20:56:38 发布
最新推荐文章于 2024-09-22 20:56:38 发布
阅读量660 收藏 7
点赞数 14
分类专栏: 程序员 文章标签: 前端 ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969363/article/details/138788341
版权
目录

JWT令牌的使用

1. 需求

​ 在实现系统登录功能的时候,我们需要实现用户完成一次登录之后,在后续的请求中不再需要反复登录,以前我们经常用到的技术是session

  • 即用户发出登录的请求到服务器。
  • 验证成功之后,创建session对象(用于存储数据)。
  • 服务器返回一个session对象的id到浏览器,浏览器以cookie的形式存储到浏览器端
  • 后续的浏览器的请求都携带这个cookie访问服务器就可以实现多次请求间的数据共享,包括登录状态

Alt

Alt

但是使用session存在以下缺点:

  1. session中与用户的会话数据是保存在服务器的内存中的,当session中的数据越来越大,会降低服务器运行的性能
  2. session无法用于集群环境,因为session是存储的服务器端的,这样子虽然安全,但集群环境中一般会布置多台服务器,用户在浏览器端二次请求使用的sessionID访问的不是第一次请求的服务器,就无法获取到session中的数据
  3. session底层是基于cookie实现的,cookie无法实现跨域(域指的是域名,即网址,只要协议、IP地址和端口号任意一个不同即为跨域)且cookie无法在移动端使用,这是浏览器出于安全禁止的。

​ 这时, JWT令牌技术就问世了,令牌技术将上面的问题基本都解决了,如下

  • 跨域问题:
    jwt令牌是无状态的,jwt令牌的编码所用的信息就有用户信息(如用户名和用户id等非敏感信息),因此,服务器不需要存储跟用户的会话信息,对jwt令牌解析之后,就可以确定该请求是否来自同一端,确保了服务器的安全问题。
    在跨域请求中,浏览器会自动检查请求的来源,如果不是同源的请求,会触发跨域安全机制导致请求被阻止。但通过使用令牌技术,可以将令牌作为请求的一部分发送,服务器接收到请求时会验证令牌的有效性,从而允许跨域请求。
  • 服务器存储压力:jwt令牌存储在浏览器端
  • PC和移动端都可以使用

2. 是什么

​ jwt令牌本质是一串字符串,由三部分组成,类似"xxx.yyy.zzz",前两部分(xxx.yyy)由json对象经过base64编码而来,“zzz”部分属于签名(通过加密算法和密钥生成的),jwt令牌由编码和加密而来,jwt令牌也可以被解析获取json对象中的信息,解析失败一般会导致程序的报错。
​ (参考课程笔记:javaweb)JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

  • 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{“alg”:“HS256”,“type”:“JWT”}
  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{“id”:“1”,“username”:“Tom”}
  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

3. 工作流程

Alt

4. 怎么用

  1. 导入maven坐标,junit不是一定要导入,后续只是用作测试
		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

		 <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.13.2</version>
            <scope>test</scope>
        </dependency>
  1. 创建令牌(注意密钥的长度要稍微大点)
@Test
    public void testGetJwt() {


        //模拟浏览器发请求携带的用户信息
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", "aimin");
        claims.put("password", "123456");

        String jwtToken = Jwts.builder()
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/8a38c853c93520466da2b3d7792bb139.png)

![img](https://img-blog.csdnimg.cn/img_convert/9751aaa315d239023e7f039dc03b84cd.png)

![img](https://img-blog.csdnimg.cn/img_convert/83b598292818101a2fcac43fd3882778.png)

![img](https://img-blog.csdnimg.cn/img_convert/ade78ade45d40c75c78fde2d46582bf1.png)

![img](https://img-blog.csdnimg.cn/img_convert/5b125d6358cf239fc91fd5792d7f3dbd.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt令牌使用
m0_57406300的博客
08-01 148
JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案将登陆的用户信息生成jwt串同时生成jwt存活时间。
JWT 令牌使用
Leon_Jinhai_Sun的博客
12-18 148
JWT 令牌使用
springboot实战学习(7)(JWT令牌的组成、JWT令牌使用与验证)
最新发布
岁岁岁平安的博客
09-22 1673
本篇博客主要是学习和介绍了JWT令牌的组成、JWT令牌的生成、JWT令牌的验证。其中重点分析了JWT令牌组成中"头部"、"载荷"、"数字签名"、"密钥"。也分析到如何借助工具"java-jwt"去生成合法的JWT令牌。如何再通过测试方法去验证令牌的合法性...
JWT令牌-概述&&基本使用
m0_63834571的博客
04-08 832
jwt概述基本使用
JWT令牌使用
wptalenter的博客
05-21 713
1 JWT的结构 JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)一个例子如下: 下边是Header部分的内容 { "alg":"HS256", "typ":"JWT" } 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。 Payload 第二部分是负载,内容也是一个json对象,...
管理系统系列--SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管.zip
02-25
在前后端分离的架构中,JWT通常用于生成和验证用户令牌,使得用户在登录后可以在一定时间内无须再次认证即可访问受保护的API资源。 4. **Vue**:Vue.js是一个前端JavaScript框架,以其易学易用、高性能和灵活性著称...
基于SpringBoot,Spring Security,JWT,Vue &amp; Element 的前后端分离的.zip
02-04
在前后端分离的应用中,当用户成功登录后,服务器会返回一个JWT,客户端将其存储在本地(通常是Cookie或LocalStorage),然后在后续请求中附带此令牌,服务器通过验证令牌来确定用户的身份,实现状态管理。...
基于SpringBoot,Spring Security,JWT,React &amp; Element 的前后端分.zip
02-04
Spring Security与JWT结合,可以提供无状态的认证,即用户登录后会收到一个JWT,这个令牌在后续请求中携带,用来验证用户身份。 3. **JSON Web Tokens (JWT)**:JWT是一种轻量级的身份验证标准,它以JSON对象的形式...
(RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue &amp; 2Ele.zip
02-22
【标题】:“(RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue &amp; 2Ele.zip” 提供了一个完整的后端框架,该框架是为开发高效、安全的Web应用而设计的。它融合了多个关键的技术栈,包括Spring Boot、...
SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管理系统,预览地址.zip
02-22
JWT是一种轻量级的身份认证协议,它允许服务端签发一个JSON格式的令牌,这个令牌包含了用户的相关信息。当客户端携带JWT访问受保护的资源时,服务端无需再次查询数据库,直接验证令牌的有效性即可。JWT在本系统中起...
【记录】JWT令牌使用(两步即可)
weixin_54345825的博客
09-10 1356
【记录】JWT令牌使用
Spring Security框架下jwt令牌使用
qq_64376339的博客
05-16 1534
这个过程就是无状态认证。拿到了jwt令牌下一步就要携带令牌去访问资源服务中的资源,本项目各个微服务就是资源服务,比如:内容管理服务,客户端申请到jwt令牌,携带jwt去内容管理服务查询课程信息,此时内容管理服务要对jwt进行校验,只有jwt合法才可以继续访问。令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1617
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
JWT令牌在项目中的实战操作
2302_79840586的博客
07-23 1133
JWT,全称JSON Web Token,官网(),定义了一种间接的,自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。通俗来讲,我们可以通过JWT令牌来实现对于用户登录权限的校验以此达到安全性。
laravel使用jwt-token(五)
LiYi
12-08 1774
laravel使用jwt-token(五) 首先在config/app.php文件的数组'aliases' =&amp;amp;amp;gt; []里添加两个类,这个就是在Facads容器里注册两个类 它们分别是: [ 'JWTAuth' =&amp;amp;amp;gt; Tymon\JWTAuth\Facades\JWTAuth::class, 'JWTFactory' =&amp;amp;amp;gt; Tymon\JWTAuth\Facades...
jwt原理以及使用
longlong6682的博客
03-02 818
一. COOKIE使用和优缺点 参考博客:https://baijiahao.baidu.com/s?id=1608021814182894637&amp;wfr=spider&amp;for=pc 1、cookie使用原理 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 服务器向用户返回session_id,session信息都会写入到用户...
.net core api JWT Token使用
web18334137065的博客
02-24 342
一、项目>管理Nuget包 安装 二、.appsettings.json添加 "JWT": { ? ? "Secret": "~!@#$%^&amp;*()_+qwertyuiopasldkh[o51485421ajshk^%*)kasd", // 密钥 ? ? "Issuer": "kfjdhf", // 颁发者 ? ? "Audience": "kfjdhf", // 接收者 ? ? //"Expired": 30 // 过期时间(30min) ? } 三、ConfigureServices注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值