JWT 做 token 签发

已于 2022-09-28 17:37:20 修改
阅读量382 收藏
点赞数
分类专栏: SpringBoot Spring Security 文章标签: jwt JWT 做 token 签发 java
于 2020-05-14 22:49:55 首次发布
原文链接:http://chenfu1201.top/2020/05/14/J2EE/jwt/
版权

文章目录

JWT

简介

JWT,全称是 Json Web Token , 是一种 JSON 风格的轻量级的授权和身份认证规范,可实现无状态、分布式的 Web 应用授权。

JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的 Java 实现是 GitHub 上的开源项目 jjwt,地址如下:https://github.com/jwtk/jjwt

JWT 数据格式

JWT 包含三部分数据:

1.Header:头部,通常头部有两部分信息:

  • 声明类型,这里是JWT

  • 加密算法,自定义

我们会对头部进行 Base64Url 编码(可解码),得到第一部分数据。

2.Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了 7 个示例信息:

  • iss (issuer):表示签发人

  • exp (expiration time):表示token过期时间

  • sub (subject):主题

  • aud (audience):受众

  • nbf (Not Before):生效时间

  • iat (Issued At):签发时间

  • jti (JWT ID):编号

这部分也会采用 Base64Url 编码,得到第二部分数据。

3.Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥 secret(密钥保存在服务端,不能泄露给客户端),通过 Header 中配置的加密算法生成。用于验证整个数据完整和可靠性。
生成的数据格式如下图:
图片
注意,这里的数据通过 . 隔开成了三部分,分别对应前面提到的三部分,另外,这里数据是不换行的,图片换行只是为了展示方便而已。

案例

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzaG9wX2lkIjo2NjY2NjYsInVzZXJfaWQiOiJjaGVuZnUiLCJvcGVuX2lkIjoiY2hlbmZ1IiwiYXBwX2lkIjoiY2hlbmZ1In0.Q6qVIxPOf8jpK5idQgm7g3yUatyrh5RnF_JQhyZZeRU

JWT 交互流程

流程图:

图片

步骤翻译:

  1. 应用程序或客户端向授权服务器请求授权

  2. 获取到授权后,授权服务器会向应用程序返回访问令牌

  3. 应用程序使用访问令牌来访问受保护资源(如API)

因为 JWT 签发的 token 中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,这样就符合了 RESTful 的无状态规范。

JWT 存在的问题

说了这么多,JWT 也不是天衣无缝,由客户端维护登录状态带来的一些问题在这里依然存在,举例如下:

  1. 续签问题,这是被很多人诟病的问题之一,传统的 cookie+session 的方案天然的支持续签,但是 jwt 由于服务端不保存用户状态,因此很难完美解决续签问题,如果引入 redis,虽然可以解决问题,但是 jwt 也变得不伦不类了。

  2. 注销问题,由于服务端不再保存用户信息,所以一般可以通过修改 secret 来实现注销,服务端 secret 修改后,已经颁发的未过期的 token 就会认证失败,进而实现注销,不过毕竟没有传统的注销方便。

  3. 密码重置,密码重置后,原本的 token 依然可以访问系统,这时候也需要强制修改 secret。

  4. 基于第 2 点和第 3 点,一般建议不同用户取不同 secret。

实战

实战代码

参考

  1. Spring Security 结合 Jwt 实现无状态登录
CHENFU_JAVA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT - 签发和验证 - java demo
weixin_39923644的博客
03-04 564
引入依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.14.0</version> </dependency> 提供者 签
Django-jwt token生成源码分析
weixin_30906671的博客
07-21 190
一. 认证的发展历程简介   这里真的很简单的提一下认证的发展历程。以前大都是采用cookie、session的形式来进行客户端的认证,带来的结果就是在数据库上大量存储session导致数据库压力增大,大致流程如下:   在该场景下,分布式、集群、缓存数据库应运而生,认证的过程大致如下:   不过该方式还是缓解不了数据库压力,一个项目中应该尽可能多的减少IO操作,于是后来采用签名的...
java-jwt工具类
最新发布
2401_84102759的博客
04-29 729
其它面试题(springboot、mybatis、并发、java中高级面试总结等)获取jwt发布时间*//**其它面试题(springboot、mybatis、并发、java中高级面试总结等)[外链图片转存中…(img-wSMyz8iS-1714320778827)][外链图片转存中…(img-bWdOqYjr-1714320778829)][外链图片转存中…(img-X3VSGU2R-1714320778829)]本文已被。
【web】JWT(Json web token)的原理、签发、验证
冰冷的希望的博客
10-30 921
1.JWT JWT(Json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证。后来出现了cookie和session,传统的session认证虽然安全,但是本身很难得到扩展,不方便在多台服务器认证,一般会增大开销,而且还可能会造成CSRF攻击 而token认证机制不需要考虑用户在哪一台服务器
JWT手动签发| 自动签发
small_MQ的博客
03-18 400
from rest_framework_jwt.serializers import jwt_payload_handler,jwt_encode_handler class UserModelSerializer(ModelSerializer): username = serializers.CharField(max_length=32) class Meta: model = models.UserInfo fields = ['username'
djangorestframework-jwt签发token
weixin_42825774的博客
11-21 786
djangorestframework-jwt 的使用的顺序 1、下载扩展包 2、在restframework中添加 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authenti...
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
jwt_token_test.zip
05-21
另外,由于JWT默认不支持撤销,一旦签发,即使用户注销,也无法立即阻止已签发JWT的使用,这可能引发安全问题。解决方法是在Payload中加入一个短暂的有效期(TTL)或者使用数据库配合黑名单机制。 6. 性能优化: ...
基于JWT前后端token认证
热门推荐
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
自定义user表签发token、自定义认证类、simpleui模块使用
m0_56069948的博客
04-09 1811
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 今日内容概要 自定义User表,签发token 自定义认证类 simpleui的使用 多方式登陆接口(后面也写 内容详细 1、自定义User表,签发token # 如果项目中的User表使用auth的user表,使用快速签发token即可 # 如果自定义User表,签发t
java token生成和验证_Java基于springboot整合jwt 实现token认证
weixin_39800918的博客
11-26 631
随着互联网的不断发展,技术的迭代也非常之快。我们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,这种认证已经不能满足与我们的业务需求了(分布式,微服务)。我们采用了另外一种认证方式:基于token的认证。一、与cookie相比较的优势:1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;2、无状态化,服务端无需存储token,只需...
Token签发和验证JWT
qq_56715703的博客
02-14 1345
使用传统的cookie实现用户登录有缺陷就是很难实现跨域登录,目前流行的使用jwt (json web token)实现跨域登录。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。
java写一个用户登陆的jwt工具类
weixin_35749786的博客
01-04 120
好的,这是一个使用Java编写的JWT工具类供用户登录: import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTCreationException; import com.auth0.jwt.interfaces.DecodedJWT; imp...
JWT 加密
T525174893的博客
04-26 544
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
Java使用JWT 介绍和工具类
ZM_Crazy的专栏
02-02 942
JWT一、简介1、JWTJWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。2、JWT结构JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。
JWT Token 的构成以及生成过程
kun_ers的博客
04-27 1366
根据学习资料总结----
请你结合上面的回答,告诉我使用Django+rest_framework_jwt进行token签发token续签的具体流程
06-09
在使用rest_framework_jwt进行token签发token续签时,我们可以采用以下流程: 1.安装rest_framework_jwt 在Django项目中安装rest_framework_jwt库,可以使用pip命令进行安装: ``` pip install ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值