jwt相关问题及应用

最新推荐文章于 2024-09-13 20:19:39 发布
最新推荐文章于 2024-09-13 20:19:39 发布
阅读量552 收藏 9
点赞数 25
文章标签: hive hadoop 数据仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87029843/article/details/142073500
版权

在验证一个JWT的时候,签名认证是每个实现库都会自动做的,但是payload的认证是由使用者来决定的。因为JWT里面可能会包含一个自定义claim,所以它不会自动去验证这些claim

它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。

接收方生成签名的时候必须使用跟JWT发送方相同的密钥

六,JWT在spa项目中的使用

================

项目中 JwtFilter 类

package com.zking.vue.util;

import java.io.IOException;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import io.jsonwebtoken.Claims;

/**

    • JWT验证过滤器,配置顺序 :CorsFilte–>JwtFilter–>struts2中央控制器

  • @author Administrator

*/

public class JwtFilter implements Filter {

// 排除的URL,一般为登陆的URL(请改成自己登陆的URL)

private static String EXCLUDE = “^/vue/userAction_login\.action?.*$”;

private static Pattern PATTERN = Pattern.compile(EXCLUDE);

private boolean OFF = false;// true关闭jwt令牌验证功能

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void destroy() {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

HttpServletResponse resp = (HttpServletResponse) response;

String path = req.getServletPath();

if (OFF || isExcludeUrl(path)) {// 登陆直接放行

chain.doFilter(request, response);

return;

}

// 从客户端请求头中获得令牌并验证

String jwt = req.getHeader(JwtUtils.JWT_HEADER_KEY);

Claims claims = this.validateJwtToken(jwt);

if (null == claims) {

// resp.setCharacterEncoding(“UTF-8”);

resp.sendError(403, “JWT令牌已过期或已失效”);

return;

} else {

String newJwt = JwtUtils.copyJwt(jwt, JwtUtils.JWT_WEB_TTL);

resp.setHeader(JwtUtils.JWT_HEADER_KEY, newJwt);

chain.doFilter(request, response);

}

}

/**

  • 验证jwt令牌,验证通过返回声明(包括公有和私有),返回null则表示验证失败

*/

private Claims validateJwtToken(String jwt) {

Claims claims = null;

try {

if (null != jwt) {

claims = JwtUtils.parseJwt(jwt);

}

} catch (Exception e) {

e.printStackTrace();

}

return claims;

}

/**

  • 是否为排除的URL

  • @param path

  • @return

*/

private boolean isExcludeUrl(String path) {

Matcher matcher = PATTERN.matcher(path);

return matcher.matches();

}

// public static void main(String[] args) {

// String path = “/sys/userAction_doLogin.action?username=zs&password=123”;

// Matcher matcher = PATTERN.matcher(path);

// boolean b = matcher.matches();

// System.out.println(b);

// }

}

JwtUtils 类

package com.zking.vue.util;

import java.util.Date;

import java.util.Map;

import java.util.UUID;

import javax.crypto.SecretKey;

import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

/**

  • JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr–>StrutsPrepareAndExecuteFilter

*/

public class JwtUtils {

/**

  • JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟

*/

public static final long JWT_WEB_TTL = 30 * 60 * 1000;

/**

  • 将jwt令牌保存到header中的key

*/

public static final String JWT_HEADER_KEY = “jwt”;

// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。

private static final SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS256;

private static final String JWT_SECRET = “f356cdce935c42328ad2001d7e9552a3”;// JWT密匙

private static final SecretKey JWT_KEY;// 使用JWT密匙生成的加密key

static {

byte[] encodedKey = Base64.decodeBase64(JWT_SECRET);

JWT_KEY = new SecretKeySpec(encodedKey, 0, encodedKey.length, “AES”);

}

private JwtUtils() {

}

/**

  • 解密jwt,获得所有声明(包括标准和私有声明)

  • @param jwt

  • @return

  • @throws Exception

*/

public static Claims parseJwt(String jwt) {

Claims claims = Jwts.parser().setSigningKey(JWT_KEY).parseClaimsJws(jwt).getBody();

return claims;

}

/**

  • 创建JWT令牌,签发时间为当前时间

  • @param claims

  •        创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)

  • @param ttlMillis

  •        JWT的有效时间(单位毫秒),当前时间+有效时间=过期时间

  • @return jwt令牌

*/

public static String createJwt(Map<String, Object> claims, long ttlMillis) {

// 生成JWT的时间,即签发时间

long nowMillis = System.currentTimeMillis();

// 下面就是在为payload添加各种标准声明和私有声明了

// 这里其实就是new一个JwtBuilder,设置jwt的body

JwtBuilder builder = Jwts.builder()

// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的

.setClaims(claims)

// 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。

// 可以在未登陆前作为身份标识使用

.setId(UUID.randomUUID().toString().replace(“-”, “”))

// iss(Issuser)签发者,写死

// .setIssuer(“zking”)

// iat: jwt的签发时间

.setIssuedAt(new Date(nowMillis))

// 代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可放数据{“uid”:“zs”}。此处没放

// .setSubject(“{}”)

// 设置签名使用的签名算法和签名使用的秘钥

.signWith(SIGNATURE_ALGORITHM, JWT_KEY)

// 设置JWT的过期时间

.setExpiration(new Date(nowMillis + ttlMillis));

return builder.compact();

}

/**

  • 复制jwt,并重新设置签发时间(为当前时间)和失效时间

  • @param jwt

  •        被复制的jwt令牌

  • @param ttlMillis

  •        jwt的有效时间(单位毫秒),当前时间+有效时间=过期时间

  • @return

*/

public static String copyJwt(String jwt, Long ttlMillis) {

Claims claims = parseJwt(jwt);

// 生成JWT的时间,即签发时间

long nowMillis = System.currentTimeMillis();

// 下面就是在为payload添加各种标准声明和私有声明了

// 这里其实就是new一个JwtBuilder,设置jwt的body

JwtBuilder builder = Jwts.builder()

// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的

.setClaims(claims)

// 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。

// 可以在未登陆前作为身份标识使用

//.setId(UUID.randomUUID().toString().replace(“-”, “”))

// iss(Issuser)签发者,写死

// .setIssuer(“zking”)

// iat: jwt的签发时间

.setIssuedAt(new Date(nowMillis))

// 代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可放数据{“uid”:“zs”}。此处没放

// .setSubject(“{}”)

// 设置签名使用的签名算法和签名使用的秘钥

2401_87029843
关注
JWT相关问题及答案(2024)
qq_43012298的博客
01-12 1195
总之,安全地存储JWT需要使用安全的传输协议、定期轮换密钥、选择适当的加密算法、验证签名和令牌完整性,防止令牌泄露和盗用,使用短期有效的令牌,维护令牌撤销列表或黑名单,强化访问控制和授权机制,以及进行监控和审计。需要注意的是,在生成和验证JWT时,要确保使用安全的密钥、合适的算法和正确的配置,以保证JWT的安全性和可靠性。相反,通常建议在JWT中只包含必要的信息,如用户ID或角色。需要注意的是,这些方法都需要在验证JWT的时候进行额外的逻辑处理,并且需要选择合适的存储机制来维护黑名单或废弃令牌列表。
JWT优缺点及应用介绍
码农的日常收集
06-06 1835
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT应用
qq_63492318的博客
09-16 741
JWT的全称:JSON Web Token,它是目前最流行的跨域身份验证的解决方案。
jwt的简单React应用程序:带jwt的简单React应用程序
02-11
标题中的“带jwt的简单React应用程序”指的是一个使用JWT(JSON Web Token)身份验证机制的React前端应用JWT是一种安全的、轻量级的身份验证方式,广泛用于Web应用的单点登录(SSO)和API认证。React是Facebook...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWT(JSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
JWT Token生成及验证
07-16
JWT在身份验证和授权场景中广泛应用,尤其是在微服务架构和API安全中。 在C#中实现JWT Token的生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header...
Servlet学习详解--基本涵盖所有Servlet知识点
qq_45794852的博客
09-13 438
Cookie 是一种在网站和应用程序中用于存储用户信息的小型文本文件。在一次会话的范围内的多次请求间,共享数据。当用户访问一个网站或应用程序时,该网站或应用程序会将一个包含用户信息的 Cookie 发送到用户的浏览器。浏览器会将该 Cookie 存储在用户的计算机上,并在以后的访问中将该 Cookie 发送回网站或应用程序。虽然 Cookie 对于提供个性化体验和方便用户来说非常有用,但它们也引发了一些隐私和安全问题。例如,第三方 Cookie 可以用于跟踪用户在多个网站上的活动,可能会侵犯用户的隐私。
JAVAWeb-Servlet
最新发布
mmmmazhiyuan的博客
09-13 944
Servlet (server applet) 是运行在服务端(tomcat)的Java小程序,是sun公司提供一套定义动态资源规范;从代码层面上来讲Servlet就是一个接口用来接收、处理客户端请求、响应给浏览器的动态资源。在整个Web应用中,Servlet主要负责接收处理请求、协同调度功能以及响应数据。我们可以把Servlet称为Web应用中的控制器不是所有的JAVA类都能用于处理客户端请求,能处理客户端请求并做出响应的一套技术标准就是Servlet。
深入理解Servlet的并发处理机制小波制图流程图
qq_35915504的博客
09-10 982
Servlet的并发处理机制展示了Java Web开发的强大和灵活性。通过单例模式和多线程处理,Servlet能够高效地处理大量并发请求。在Java Web开发中,Servlet是处理HTTP请求的核心组件。理解Servlet如何处理并发请求对于开发高性能Web应用至关重要。本文将深入探讨Servlet的生命周期、实例化过程以及多线程处理机制。Servlet遵循单例模式,对于每个Servlet类,通常只会创建一个实例。这个实例由Servlet容器(如Tomcat)管理,而不是由开发者直接控制。
hive表格统计信息不准确
weixin_41956627的博客
09-10 220
有个hive分区表,orc存储格式,有个分区,查询结果是0, 但查询又能查到数据,去hdfs对应目录下查看,也能看到有数据文件。
如何实现过滤器、拦截器和全局异常捕获?
w6437286的博客
09-09 836
过滤器是Servlet规范的一部分,用于在请求到达Servlet之前或响应发送给客户端之后进行预处理和后处理。拦截器(Interceptor)用于在处理HTTP请求之前、之后或请求处理过程中进行拦截,以实现如身份验证、日志记录、权限检查等功能。在Spring框架中,实现全局异常处理的一种常见方法是使用@ControllerAdvice注解。这个注解允许定义一个类来全局处理异常,而不需要在每个控制器中单独处理。
RMAN-08137 rman delete archivelog force
jnrjian的博客
09-09 827
RunOnce doneorWorkaround=========
初级练习[3]:Hive SQL子查询应用
qq_45115959的博客
09-10 482
没有学全所有课,也就是该学生选修的课程数 < 总的课程数。学生选修的课程数 = 3。
Hive原理剖析
hello.reader
09-09 759
Apache Hive是一个基于Hadoop的开源数据仓库软件,为分析和管理大量数据集提供了SQL-like的接口。最初由Facebook开发并贡献给Apache,Hive现已成为大数据处理领域的重要工具之一。它将传统的SQL功能与Hadoop的强大分布式处理能力结合,使用户可以通过熟悉的SQL语法处理海量数据,而无需深入了解MapReduce编程。Hive的架构基于Hadoop分布式文件系统(HDFS)和MapReduce编程模型。
记一次Hiveserver2连接异常的解决-腾讯云-emr
atbigapp的博客
09-10 574
离线任务跑的好好的,忽然有一天失败了,查看海豚上的任务执行日志发现是hiveserver2连接超时了。
如何在本地Windows运行hadoop
ABU009的博客
09-10 201
#在windows上运行hadoop#配置winutils
JWT完全手册:理解与应用
出版,版本0.14.1,发布于2016-2018年间,涵盖了JWT(JSON Web Token)的基础知识、实际应用以及详细解析等内容。" JWT,全称为JSON Web Token,是一种轻量级的身份验证机制,用于在各方之间安全地传输信息。该手册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值