JWT安全认证,速度学会上手

最新推荐文章于 2024-06-27 15:10:28 发布
最新推荐文章于 2024-06-27 15:10:28 发布
阅读量138 收藏
点赞数
分类专栏: 安全 文章标签: 安全 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anna_with_mask/article/details/129924641
版权

文章目录

1.Session认证


1.1 认证过程

用户----发送用户名和密码—>服务器

服务器: 验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等。

服务器---- 返回一个 session_id----->用户: 写入用户的 Cookie。

用户----发送请求,传回cookie中的session_id–>服务器

服务器 -----根据session_id查询到用户信息,返回user----> 用户


1.2 缺陷

session 认证的方式应用非常普遍,但也存在一些问题,扩展性不好。如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。

1.3 解决方法

way1:

session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。

way2:

所有数据都保存在客户端,服务器不再保存 session 数据,每次请求都发回服务器。Token认证就是这种方案的一个代表。



2.Token认证

Token 是在服务端产生的一串字符串,是客户端访问资源接口(API)时所需要的资源凭证。


2.1 认证过程

用户----发送用户名和密码—>服务器

服务器---- 验证通过后,签发一个token ----->用户: 存储起来(cookie/localStorage)

用户----发送请求,传回token–>服务器

服务器 -----解析token,查询到用户信息,返回user----> 用户


2.2 特点

服务端no数据:基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据。

时间换空间:用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库

token 完全由应用管理,所以它可以避开同源策略



3. JWT实现token认证


3.1 JWT组成

  • Header(头部):描述 JWT 的元数据
    • (alg:签名算法;type:JWT)
  • Payload(负载):存放实际需要传递的数据
    • issuer(签发人)、expiration(过期时间)、subject(主题)、audience(受众)、Not Before(生效时间)、issued At(签发时间)、JWTID(编号)
  • Signature(签名):对前两部分的签名,防止数据篡改
    • 指定secret(密钥),安装头部的签名算法将密钥生成签名。

3.2 使用流程

step1:加入依赖

<!--JWT认证-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

step2:封装成JwtUtils工具类

public class JwtUtils {
    //7天过期(自定义)
    private static long expire = 604800;
    //32位秘钥(自定义)
    private static String secret = "asdfghjklzxcvbnmlkjhgfdsazxcvbnm";
    
    //生成token
    public static String generateToken(String subject){
        //....
    }

    //解析token
    public static Claims getClaimsByToken(String token){
       // ....
    }
    
    //....
}
生成token
//生成token
public static String generateToken(String subject){
    Date now = new Date();
    Date expiration = new Date(now.getTime() + 1000 * expire);
    return Jwts.builder()
        .setHeaderParam("type","JWT")
        .setSubject(subject)
        .setIssuedAt(now)
        .setExpiration(expiration)
        .signWith(SignatureAlgorithm.HS256,secret)
        .compact();
}
解析token
//解析token
public static Claims getClaimsByToken(String token){
    return Jwts.parser()
        .setSigningKey(secret)
        .parseClaimsJws(token)
        .getBody();
}
//解析token获取其subject
public static String  getSubjectByToken(String token){
    return JwtUtils.getClaimsByToken(token).getSubject();
}

step3:使用JwtUtils进行token认证

登录认证
//jwt登录认证
@RequestMapping("login")
public JsonResult<String> login(int id, String password){
    //认证密码正确与否
    User user = service.login(id, password);
    //获取token
    String token = JwtUtils.generateToken(user.getId().toString());
    //返回token
    return new JsonResult<String>(OK,token);
}
获取信息
//获取用户信息
@RequestMapping("getUser")
public JsonResult<User> getUser(String token){

    //解析token获取用户id
    String subject = JwtUtils.getSubjectByToken(token);

    //根据id获取数据库的user信息
    User user = service.getById(userId);
    return new JsonResult<User>(OK,user);
}
Yvonne_3528
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成 Jwt 实现Token验证访问拦截
树欲静而风不止
08-07 3329
1、Jwt 简介 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作 为JSON对象传输。由于此信息是经过数字签名的,因此可以进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或 ECDSA的公钥/私钥对对JWT进行签名。 2、应用场景 授权:这是使用JWT最常见的方案。当用户登录后,每个后续请求将会在header带上JWT,允许用户访问允许使用该令牌的路由、服务和资源。...
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4184
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
token的注册,登录生成,token的时间过期
weixin_45993202的博客
10-13 1179
博主小白互相学习 首先导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</vers...
SpringBoot 使用jwt进行身份验证
码农书生
08-14 4492
这里只供参考,比较使用jwt方式进行身份验证感觉不好,最不行的就是不能退出 登陆时设定多长过期时间,只能等这个时间过了以后才算退出,服务端只能验证请求过来的token是否通过验证 Code: /** * Created by qhong on 2018/6/7 15:34 * 标注该注解的,就不需要登录 **/ @Target({ElementType.METHOD,ElementT...
JWT安全认证
qq_45244974的博客
04-09 414
JWT安全相关代码![在这里插入图片描述](https://img-blog.csdnimg.cn/2020040923251333.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ1MjQ0OTc0,size_16,color_...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web Token(JWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
python中JWT用户认证的实现
09-16
主要介绍了python中JWT用户认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Asp.net Core 3.1 JWT 认证Demo
12-27
Asp.net Core 3.1 JWT 认证Demo,简单的调用Demo,需要重新封装完善
gateway和jwt网关认证实现过程解析
08-25
Gateway 和 JWT 网关认证实现过程解析 Gateway 和 JWT 网关认证是当前 Web 应用程序中最常用的身份验证方法之一。Gateway 作为入口点,负责处理所有的请求,而 JWT(JSON Web Token)则是用于身份验证和授权的 ...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 215
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
WEB攻防【5】——JS项目/Node.js框架安全/识别审计/验证绕过
weixin_42090431的博客
06-27 316
JS开发的WEB应用和PHP、java.NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。网站检查网络下面加载了哪些js文件、以及js文件里面有没有嵌套别的js文件。一般有/static/js/app.j8 等顺序的js文件。2、开发框架-Vulhub-Node.JS安全。3、真实应用-APP应用直接重置密码。4、真实应用-违法彩彩文件上传安全。1、原生JS&开发框架-安全条件。4、如何获取更多的Js文件?2、流行的Js框架有那些?3、如何判定Js开发应用?5、如何快速获取价值代码?
韩国锂电池工厂火灾:行业安全警钟再次敲响
iotsensor的博客
06-27 297
这些传感器可以实时监测锂电池的温度、压力、气体浓度等参数,一旦发现异常情况,可以立即发出警报并采取相应措施,从而有效避免火灾事故的发生。同时,也需要加大研发力度,推动锂电池安全技术的不断进步和创新,以确保锂电池的安全可靠使用。等传感器监测防护区内CO气体浓度、氢气浓度、VOC浓度、可燃气体浓度和电池表面温度的变化,智能判断锂电池是否发生热失控,提前预警,有效避免火灾事故的发生。随着新能源汽车和储能领域的快速发展,锂电池的应用规模不断扩大,但与此同时,其潜在的安全风险也在不断提升。、氢气(H2)传感器。
访问外网的安全保障——反向沙箱
Canon_YK的博客
06-21 460
目前许多安全厂家因为使用的需求,进而研制出反向沙盒,其中深信达SPN(Sandbox Proxy Network)安全上网解决方案,是直接把终端传统外网物理断开,然后在内网中部署一个沙盒安全上网网关主机,在需要访问外网的终端上安装一个沙盒,当需要访问互联网的时候,在这个隔离沙盒内访问互联网。然而,需要注意的是,虽然反向沙箱为我们提供了强大的网络安全防护能力,但它并非万能的解决方案。由此可见,反向沙箱的运行逻辑是和正常的沙箱是相反的,只能通过沙盒的安全空间以及网关上的设置使得上外网只能通过改途径。
专业软件测试公司分享:安全测评对于软件产品的重要性
卓码测评
06-26 361
在互联网普及的今天,随着各类软件的大规模使用,安全问题也变得愈发突出。因此,对软件进行全面的安全测评,不仅可以有效保障用户的信息安全,还能提升软件产品的信任度和市场竞争力。
AI大模型安全挑战和安全要求解读
最新发布
WangsuSecurity的博客
06-27 584
大模型应用正面临严峻的安全挑战和威胁,包括数据隐私泄露、网络攻击、注入漏洞等
Linux安全配置
m0_62207482的博客
06-26 669
Linux系统审计信息有:系统启动日志(boot.log)、记录用户执行命令日志(acct/pacct)、记录使用su命令的使用(sulog)、记录当前登录的用户信息(utmp)、用户每次登陆和退出信息(wtmp)、最近几次成功登陆及最后一次不成功登陆日志(lastlog) 最小特权原则指系统中每一个主体只能拥有完成任务所必要的权限集。最小特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限,组织特权乱用。为此,特权的分配原则是“按需使用”这条原则保证系统不会将权限过多的分配给用户,从而
振弦采集仪在大型工程安全监测中的应用探索
duxi222333的博客
06-27 265
它可以实时监测结构的振动和变形情况,帮助工程师和监测人员预测结构的健康状况,发现和解决潜在的安全隐患,保障工程的安全运行。通过安装振弦采集仪,可以实时监测结构的振动状态,发现结构的异常变化,预测结构的使用寿命,及时采取维修或加固措施,保证工程的安全可靠运行。通过安装振弦采集仪,可以实时监测结构的振动,及时了解工程受到的外部影响,预测风险隐患,并做出相应的防范和应对措施,提高工程的安全性。振弦采集仪可以实时监测结构的变形情况,通过对变形数据的分析,可以判断结构的稳定性,避免结构的过度变形导致安全事故的发生。
AI风险管理新利器:SAIF CHECK利用Meta Llama 3保障合规与安全
2301_79342058的博客
06-24 665
每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领域的领跑者。点击订阅,与未来同行!订阅:https://rengongzhineng.io/随着人工智能越来越多地融入商业运营和日常生活,公司必须意识到潜在风险并遵守当地法律,否则可能面临严厉的后果,包括法律诉讼和巨额罚款。虽然跟上风险变化不易,但却是必要的。
springboot jwt用户认证
09-04
Spring Boot JWT(Json Web Token)用户认证是一种基于令牌的用户认证机制,可以帮助开发人员在Spring Boot应用中实现用户身份验证和授权。 下面是一些步骤来实现Spring Boot JWT用户认证: 1. 添加依赖:在你的pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 2. 创建JWT工具类:创建一个JWT工具类来处理JWT的生成、验证和解析。该类应包含以下方法:生成JWT验证JWT、解析JWT等。 3. 创建用户认证服务:创建一个用户认证服务类,该类应包含以下方法:用户注册、用户登录、生成JWT等。 4. 创建登录接口:创建一个登录接口,该接口用于接收用户的登录请求,并返回生成的JWT。 5. 创建鉴权过滤器:创建一个鉴权过滤器,该过滤器用于校验请求中的JWT是否有效,如果有效则允许请求继续执行,否则返回未授权错误。 6. 配置Spring Security:配置Spring Security以启用鉴权过滤器,并配置哪些请求需要进行鉴权。 这些步骤是实现Spring Boot JWT用户认证的基本流程。你可以根据具体需求进行修改和扩展。同时,你还可以参考一些开源项目或教程来了解更多关于Spring Boot JWT用户认证的实现方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值