JWT 做 token 签发

已于 2022-09-28 17:37:20 修改
阅读量514 收藏
点赞数
分类专栏: SpringBoot Spring Security 文章标签: jwt JWT 做 token 签发 java
于 2020-05-14 22:49:55 首次发布
原文链接:http://chenfu1201.top/2020/05/14/J2EE/jwt/
版权

文章目录

JWT

简介

JWT,全称是 Json Web Token , 是一种 JSON 风格的轻量级的授权和身份认证规范,可实现无状态、分布式的 Web 应用授权。

JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的 Java 实现是 GitHub 上的开源项目 jjwt,地址如下:https://github.com/jwtk/jjwt

JWT 数据格式

JWT 包含三部分数据:

1.Header:头部,通常头部有两部分信息:

  • 声明类型,这里是JWT

  • 加密算法,自定义

我们会对头部进行 Base64Url 编码(可解码),得到第一部分数据。

2.Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了 7 个示例信息:

  • iss (issuer):表示签发人

  • exp (expiration time):表示token过期时间

  • sub (subject):主题

  • aud (audience):受众

  • nbf (Not Before):生效时间

  • iat (Issued At):签发时间

  • jti (JWT ID):编号

这部分也会采用 Base64Url 编码,得到第二部分数据。

3.Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥 secret(密钥保存在服务端,不能泄露给客户端),通过 Header 中配置的加密算法生成。用于验证整个数据完整和可靠性。
生成的数据格式如下图:
图片
注意,这里的数据通过 . 隔开成了三部分,分别对应前面提到的三部分,另外,这里数据是不换行的,图片换行只是为了展示方便而已。

案例

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzaG9wX2lkIjo2NjY2NjYsInVzZXJfaWQiOiJjaGVuZnUiLCJvcGVuX2lkIjoiY2hlbmZ1IiwiYXBwX2lkIjoiY2hlbmZ1In0.Q6qVIxPOf8jpK5idQgm7g3yUatyrh5RnF_JQhyZZeRU

JWT 交互流程

流程图:

图片

步骤翻译:

  1. 应用程序或客户端向授权服务器请求授权

  2. 获取到授权后,授权服务器会向应用程序返回访问令牌

  3. 应用程序使用访问令牌来访问受保护资源(如API)

因为 JWT 签发的 token 中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,这样就符合了 RESTful 的无状态规范。

JWT 存在的问题

说了这么多,JWT 也不是天衣无缝,由客户端维护登录状态带来的一些问题在这里依然存在,举例如下:

  1. 续签问题,这是被很多人诟病的问题之一,传统的 cookie+session 的方案天然的支持续签,但是 jwt 由于服务端不保存用户状态,因此很难完美解决续签问题,如果引入 redis,虽然可以解决问题,但是 jwt 也变得不伦不类了。

  2. 注销问题,由于服务端不再保存用户信息,所以一般可以通过修改 secret 来实现注销,服务端 secret 修改后,已经颁发的未过期的 token 就会认证失败,进而实现注销,不过毕竟没有传统的注销方便。

  3. 密码重置,密码重置后,原本的 token 依然可以访问系统,这时候也需要强制修改 secret。

  4. 基于第 2 点和第 3 点,一般建议不同用户取不同 secret。

实战

实战代码

参考

  1. Spring Security 结合 Jwt 实现无状态登录
CHENFU_JAVA
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
JWT - 签发和验证 - java demo
weixin_39923644的博客
03-04 609
引入依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.14.0</version> </dependency> 提供者 签
Django-jwt token生成源码分析
weixin_30906671的博客
07-21 202
一. 认证的发展历程简介   这里真的很简单的提一下认证的发展历程。以前大都是采用cookie、session的形式来进行客户端的认证,带来的结果就是在数据库上大量存储session导致数据库压力增大,大致流程如下:   在该场景下,分布式、集群、缓存数据库应运而生,认证的过程大致如下:   不过该方式还是缓解不了数据库压力,一个项目中应该尽可能多的减少IO操作,于是后来采用签名的...
基于jwttoken验证、原理及流程
最新发布
2401_85239883的博客
07-23 738
就写到这了,也算是给这段时间的面试一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
【web】JWT(Json web token)的原理、签发、验证
冰冷的希望的博客
10-30 978
1.JWT JWT(Json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证。后来出现了cookie和session,传统的session认证虽然安全,但是本身很难得到扩展,不方便在多台服务器认证,一般会增大开销,而且还可能会造成CSRF攻击 而token认证机制不需要考虑用户在哪一台服务器
JWT手动签发| 自动签发
small_MQ的博客
03-18 431
from rest_framework_jwt.serializers import jwt_payload_handler,jwt_encode_handler class UserModelSerializer(ModelSerializer): username = serializers.CharField(max_length=32) class Meta: model = models.UserInfo fields = ['username'
djangorestframework-jwt签发token
weixin_42825774的博客
11-21 831
djangorestframework-jwt 的使用的顺序 1、下载扩展包 2、在restframework中添加 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authenti...
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
Java实现JWTToken认证机制
m0_75011249的博客
05-03 982
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims//为了方便测试,我们将过期时间设置为1分钟//当前时间//过期时间为1分钟.setSubject(“小白”)System.out.println(“签发时间:”+sdf.format(claims.getIssuedAt()));System.out.println(“过期时间:”+sdf.format(claims.getExpiration()));
基于JWT前后端token认证
热门推荐
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
自定义user表签发token、自定义认证类、simpleui模块使用
m0_56069948的博客
04-09 1831
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 今日内容概要 自定义User表,签发token 自定义认证类 simpleui的使用 多方式登陆接口(后面也写 内容详细 1、自定义User表,签发token # 如果项目中的User表使用auth的user表,使用快速签发token即可 # 如果自定义User表,签发t
java token生成和验证_Java基于springboot整合jwt 实现token认证
weixin_39800918的博客
11-26 635
随着互联网的不断发展,技术的迭代也非常之快。我们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,这种认证已经不能满足与我们的业务需求了(分布式,微服务)。我们采用了另外一种认证方式:基于token的认证。一、与cookie相比较的优势:1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;2、无状态化,服务端无需存储token,只需...
token的颁发、保存与携带
qq_60602244的博客
04-24 3665
目录token的颁发、保存与携带一、JWT实现token的机制1.header2.payload3.signature二、登录接口中颁发token的实现1.生成公钥与私钥2.将公钥与私钥放到配置文件中3.登录接口中颁发令牌4.验证前端请求携带的token三、前端保存token和请求携带token1.保存token2.请求携带token token的颁发、保存与携带 http是无状态协议(不知道上一次是否登录过了),所以要返回一个登录凭证(如cookie+session、token)。这里我们使用token
jwt身份令牌数据处理 前后端分离式开发
Bugxiu_fu的博客
10-15 2221
jwt入门 jwt的理解 和基本使用控制用户登陆后台与前台分离部分实例
搞懂 JWT 这个知识点
程序员成长指北
09-22 658
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
java写一个用户登陆的jwt工具类
weixin_35749786的博客
01-04 127
好的,这是一个使用Java编写的JWT工具类供用户登录: import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTCreationException; import com.auth0.jwt.interfaces.DecodedJWT; imp...
Java工具类03: 使用JWT实现用户登录认证
mongo1944的博客
05-25 489
使用JWT实现用户登录认证
请你结合上面的回答,告诉我使用Django+rest_framework_jwt进行token签发token续签的具体流程
06-09
当用户通过Django REST framework进行登录时,服务器会使用Django自带的认证系统验证用户的身份,并生成一个JWT(JSON Web Token)作为用户的身份凭证。JWT是一个加密的字符串,其中包含了用户的身份信息和一些元数据,例如过期时间等。 在使用rest_framework_jwt进行token签发token续签时,我们可以采用以下流程: 1.安装rest_framework_jwt 在Django项目中安装rest_framework_jwt库,可以使用pip命令进行安装: ``` pip install djangorestframework-jwt ``` 2.在settings.py中配置rest_framework_jwt 在Django项目的settings.py文件中添加rest_framework_jwt相关配置,例如: ``` REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } JWT_AUTH = { 'JWT_ENCODE_HANDLER': 'rest_framework_jwt.utils.jwt_encode_handler', 'JWT_DECODE_HANDLER': 'rest_framework_jwt.utils.jwt_decode_handler', 'JWT_PAYLOAD_HANDLER': 'rest_framework_jwt.utils.jwt_payload_handler', 'JWT_PAYLOAD_GET_USER_ID_HANDLER': 'rest_framework_jwt.utils.jwt_get_user_id_from_payload_handler', 'JWT_RESPONSE_PAYLOAD_HANDLER': 'rest_framework_jwt.utils.jwt_response_payload_handler', 'JWT_SECRET_KEY': SECRET_KEY, 'JWT_ALGORITHM': 'HS256', 'JWT_VERIFY': True, 'JWT_VERIFY_EXPIRATION': True, 'JWT_LEEWAY': 0, 'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300), 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_AUTH_HEADER_PREFIX': 'JWT', } ``` 3.生成JWT 在用户认证通过后,可以通过调用rest_framework_jwt库中的jwt_encode_handler()方法生成JWT: ``` from rest_framework_jwt.utils import jwt_encode_handler payload = jwt_payload_handler(user) token = jwt_encode_handler(payload) ``` 其中,jwt_payload_handler()方法用于生成JWT的payload,其中包含了用户的身份信息和一些元数据,例如过期时间等。 4.返回JWT 将生成的JWT返回给客户端,客户端在后续的请求中可以通过HTTP请求头中的Authorization字段携带JWT进行身份验证。 5.续签JWTJWT即将过期时,可以通过调用rest_framework_jwt库中的jwt_refresh_handler()方法进行续签: ``` from rest_framework_jwt.utils import jwt_refresh_handler new_token = jwt_refresh_handler(token) ``` 其中,token为即将过期的JWT,new_token为续签后的新JWT。 以上就是使用Django+rest_framework_jwt进行token签发token续签的具体流程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值