JSON Web Token(JWT)基础概念详解(Java)

最新推荐文章于 2024-05-30 07:31:24 发布
最新推荐文章于 2024-05-30 07:31:24 发布
阅读量299 收藏 1
点赞数 1
文章标签: json 前端 java Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DevNinja/article/details/132787088
版权

JSON Web Token(JWT)基础概念详解(Java)

在现代的 Web 应用程序中,身份验证和授权是非常重要的安全机制。JSON Web Token(JWT)是一种广泛使用的身份验证和授权解决方案,它通过在不同的实体之间传递安全令牌来验证用户身份。本文将详细介绍JWT的基本概念,并提供使用Java实现JWT的示例代码。

什么是JSON Web Token(JWT)?

JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在不同实体之间安全传输信息。它由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的格式如下所示:

xxxxx.yyyyy.zzzzz

其中,xxxxx代表Base64编码的头部,yyyyy代表Base64编码的载荷,zzzzz代表签名。

JWT的工作原理

JWT的工作原理非常简单。当用户成功登录后,服务器将生成一个JWT并将其作为响应的一部分发送给客户端。客户端在后续的请求中将该JWT作为身份验证凭证一并发送给服务器。服务器通过验证JWT的签名来确认用户的身份和权限。

JWT的头部包含了算法和令牌类型等信息,通常使用HMAC SHA256或RSA算法进行签名。载荷部分包含了关于用户的一些声明信息,例如用户ID、角色等。签名部分用于验证JWT的完整性,防止篡改。

Java中的JWT实现

在Java中,我们可以使用第三方库来方便地实现JWT的创建和验证。下面是一个使用jjwt库的示例代码:

首先,我们需要添加jjwt库的依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

然后,我们可以使用以下代码创建和解析JWT:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtils {
    private static final String SECRET_KEY = "your-secret-key";
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(String userId, String role) {
        Date now = new Date();
        Date expirationDate = new Date(now.getTime() + EXPIRATION_TIME);

        return Jwts.builder()
                .setSubject(userId)
                .claim("role", role)
                .setIssuedAt(now)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    public static Claims parseToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
}

在上面的代码中,generateToken方法用于生成JWT,传入用户ID和角色作为声明信息,并设置过期时间。parseToken方法用于解析JWT,并返回包含声明信息的Claims对象。

使用JWT进行身份验证

假设我们有一个需要身份验证的API接口,我们可以使用JWT来验证用户的身份。以下是一个示例代码:

import io.jsonwebtoken.Claims;

public class AuthController {
    public static void main(String[] args) {
        // 模拟用户登录成功
        String userId = "123";
        String role = "admin";

        // 生成JWT
        String token = JwtUtils.generateToken(userId, role);
        System.out.println("JWT: " + token);

        // 模拟请求中携带JWT
        String requestToken = "xxxxx.yyyyy.zzzzz"; // 假设这是从请求中获取的JWT

        // 解析JWT
        Claims claims = JwtUtils.parseToken(requestToken);
        String subject = claims.getSubject();
        String userRole = (String) claims.get("role");

        // 验证用户身份和权限
        if (subject != null && subject.equals(userId) && userRole != null && userRole.equals(role)) {
            System.out.println("用户身份验证成功");
            // 执行接口逻辑
        } else {
            System.out.println("用户身份验证失败");
            // 返回错误信息
        }
    }
}

在上面的代码中,我们首先模拟用户登录成功后生成JWT,并将其打印出来。然后,我们模拟请求中携带JWT,并使用parseToken方法解析JWT获取用户的身份和角色信息。最后,我们验证用户的身份和权限,如果验证成功,则执行接口逻辑;否则,返回错误信息。

总结:

本文详细介绍了JSON Web Token(JWT)的基本概念和工作原理,并提供了使用Java实现JWT的示例代码。通过使用JWT,我们可以在不同实体之间传递安全令牌,实现身份验证和授权功能。使用第三方库如jjwt可以简化JWT的创建和验证过程,提高开发效率。希望本文能够帮助您理解和应用JWT的基本概念。

DevNinja
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 835
什么是JWT
JWT使用
pscool的博客
11-02 3019
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
JavaJWT技术解析与实践:安全高效的身份认证
最新发布
Innocence_0的博客
05-30 660
什么是JWTJSON Web Token)?JWT是一种用于身份验证和授权的开放标准(RFC7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用中进行身份验证。JWT有什么好处,能干啥?轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。
java-jwt
qq_29799655的博客
05-15 986
目录一. JWT 基础解释二. JWT Token 组成三. JavaJWT1. java-jwt2. jjwt-root三. 实际开发中 JWT 的使用 一. JWT 基础解释 先了解几个问题 JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果 SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依
java中使用JWT
男儿当自强
01-04 7062
JWTJSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
JWT---Json Web Token
龙梓琦的博客
04-22 1541
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
详解JSON Web Token 入门教程
12-04
JSON Web TokenJWT)是一种广泛使用的安全认证机制,尤其在跨域认证场景中。它解决了传统基于Session的认证方式在扩展性和分布式环境中的问题。JWT的出现使得服务器无需存储session数据,而是通过生成一个包含认证...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
Jwt选型和实现
qq_45317823的博客
02-19 493
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token
java-jwtJSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
jwtoken-java:JSON Web令牌的实现
05-26
JWToken Java 的实现。 介绍 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘密(使用HMAC算法)对JWT进行签名。 用法 JWToken.sign(声明,秘密,算法) return Token claim是包含索赔的索赔对象。 secret是一个字符串,其中包含HMAC算法的密钥。 algorithm是用于Hmac的算法 可用算法 该库使用以下算法实现JWT验证和签名: JWS 算法 描述 HS256 HMAC256 带SHA-256的HMAC HS384 HMAC384 带SHA-384的HMAC HS512 HMAC512 带有SHA-512的HMAC 规范定义了更多的签名算法。
JWTjson web token)认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1285
会将空转为字符串“null”生成jwt:sign(
什么是JWTJSON WEB TOKEN
weixin_34280237的博客
11-18 274
转自于:http://www.jianshu.com/p/576dbf44b2ae 什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供...
JAVA面试题分享五百二十五:JWT认证绕过的几种基操
之乎者也·的博客
02-17 1562
在这种情况下,攻击者就可以使用众所周知的秘密的单词列表来暴力破解服务器的加密密钥。JWE 也是一样的,只是令牌的实际内容是加密的,而不仅仅是编码的。由于我们知道/dev/null目录是一个空文件,kid的参数改为它后会导致服务器会使用该文件的内容来对JWT签名进行验证,所以我们签名的密钥就是空(Base64加密为`AA==`)如果攻击者生成自签名证书并使用相应的私钥创建伪造的令牌,并将“x5c”参数的值替换为新生成的证书并修改其他参数,即 n、e 和 x5t,那么基本上伪造的令牌将被接受由服务器。
Java JWT
XY02120624的博客
02-17 439
Java JWT 笔记
Java基础之《JWT使用》
csj50的专栏
11-07 3313
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token
jwt生成token详解
06-01
JWTJSON Web Token)是一种用于身份验证的开放标准(RFC 7519)。它通过数字签名验证消息的完整性,因此,JWT可以安全地传输信息。JWT通常用于Web应用程序中,以验证用户的身份。 生成JWT token的步骤如下: 1. 首先,需要选择一个加密算法,如HMAC SHA256或RSA。 2. 构建JWT token的header部分。header部分是一个JSON对象,它描述了JWT的类型和加密算法。例如: ``` { "alg": "HS256", "typ": "JWT" } ``` 其中,"alg"表示使用的加密算法,"typ"表示JWT的类型。 3. 构建JWT token的payload部分。payload部分也是一个JSON对象,它包含要传输的信息,例如用户ID、用户名、过期时间等。例如: ``` { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } ``` 其中,"sub"表示主题(通常是用户ID),"name"表示用户名,"iat"表示JWT的发布时间。 4. 使用密钥对header部分和payload部分进行签名。签名可以确保消息的完整性和真实性。签名的方法取决于所选择的加密算法。例如,如果使用HMAC SHA256,签名可以如下计算: ``` HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` 其中,"secret"是一个密钥,用于计算签名。 5. 将header部分、payload部分和签名组合在一起,用"点"连接起来,形成JWT token。例如: ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIy. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 其中,第一个部分是base64UrlEncode后的header部分,第二个部分是base64UrlEncode后的payload部分,第三个部分是签名。 因为JWT token包含签名,所以接收方可以验证它的完整性和真实性。如果签名验证失败,说明该消息可能已被篡改或伪造。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值