常规操作之JWT

最新推荐文章于 2023-02-13 14:09:28 发布
最新推荐文章于 2023-02-13 14:09:28 发布
阅读量281 收藏
点赞数
分类专栏: 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GKTDSR/article/details/104333534
版权

简介

由于HTTP协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此时又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
那么我们可不可以让认证令牌的发布者自己去识别这个令牌是不是我曾经发布的令牌呢(JWT核心思想),这是JWT最大的优点也是最大的缺点,优点是简单快捷、不需要依赖任何第三方操作就能实现身份认证,缺点就是对于任何拥有用户发布令牌的请求都会认证通过。

JWT Token结构

JWT的token一般由三个部分构成:
JWT Token格式
Header(头部):Json串格式对象,其中包含了Token类型(typ)和加密所用的算法类型(alg)
Pavload(负载):其中包含应用自定义的需要负载的内容例如用户相关信息(身份,权限等等)
Signature(签名):其中是对前面两个部分的进行加密验证,分发token时通过只存在服务端的私钥加上头部信息中的加密的算法来加密生成签名,可以保证Token不会被篡改。

在使用Jwt颁发的Token时因为不用保留Session和Cookie信息所以大大减小的服务端存储压力但是在每次请求验证时增加了解密验证的步骤所以会加大请求时间。

加密工具类

依赖包

 <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.5.0</version>
</dependency>

public class TokenUtil {
    //Token的过期时间
    private static final long EXPIRE_TIME = 30 * 60 * 1000;
    //Token的私钥
    private static final String TOKEN_SECRET = "jytoken_secret";
    
    
    /**
     * 生成签名,30分钟过期
     * @param **userInfo**  用户信息 用户姓名
    * @param **other** 用户其他信息 用户id
    * @return
     */
    public static String sign(String userInfo, String other) {
        try {
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            //私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HS256");
            // 返回token字符串
            return JWT.create()
                    .withHeader(header)
                    .withClaim("userInfo", userInfo)
                    .withClaim("other", other)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
    
    /**
     * 生成签名,30分钟过期
     * @param **userInfo**  用户信息 用户姓名
    * @param **other** 用户其他信息 用户id
    * @return
     */
    public static String sign(String userInfo, String other,long expire) {
        try {
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + expire);
            //私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HS256");
            // 返回token字符串
            return JWT.create()
                    .withHeader(header)
                    .withClaim("userInfo", userInfo)
                    .withClaim("other", other)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
    
    
    /**
     * 检验token是否正确
     * @param **token**
    * @return
     */
    public static boolean verify(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            verifier.verify(token);//未验证通过会抛出异常
            return true;
        } catch (Exception e){
            return false;
        }
    }
    
    /**
     * 从token中获取info信息
     * @param **token**
    * @return
     */
    public static String getUserName(String token,String info){
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(info).asString();
        } catch (JWTDecodeException e){
            e.printStackTrace();
        }
        return null;
    }
    
}
GKTDSR
关注
专栏目录
【微服务实战系列】从数据库读取用户和认证信息jwt改造实现
qq_36305027的博客
06-08 230
上面的实现,将token都存储到了数据库里面,同时资源服务器每次请求都需要到认证服务器来授权和验证,如果请求量比较大,会消耗性能。这部分将进行jwt方式的改造,适合生产访问量大的场景,同时数据信息都是从数据库中读取。​ 将上述搭建的模块中的OauthServerConfiger的代码修改如下,代码中的修改主要是将JdbcTokenStore改成JwtTokenStore: ​ 上述代码用到了一个自定义的Dream21thAccessTokenConvertor(AccessTok
gin框架使用JWT鉴定权限
abcnull 的博客
02-10 2267
文章目录简介引入源码代码模型router 中写法middlerware 中写法ParseToken 解析 token string => *jwt.TokensecretKey 密钥AuthClaims 结构体GenerateToken 生成 *jwt.Tokenlogin 登录后响应头设置 cookie常规 HandlerFunc 使用用户信息 简介 目前主流的 gin 的鉴权框架有 github 上的 dgrijalva/jwt-go 和 golang-jwt/jwt,但是 dgrijalva/
最佳jwt详细教程
MX_YANG_的博客
10-13 1000
先谈一谈为什么有Session认证机制还需要用到jwt认证机制。 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证 注意: 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制 前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制 jwt
13-3、Oauth + jwt :从数据库加载数据
JoyceYoung的博客
01-09 432
目录一、从数据库加载Oauth2客户端信息(一)数据库(二)pom(三)配置文件添加datasource(四)配置类(五)测试二、从数据库验证⽤户合法性(一)创建user表(二)写查询接口(三)实现UserDetailsService类(四)配置类修改(五)测试 一、从数据库加载Oauth2客户端信息 (一)数据库 表名及字段是固定的 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Tabl
Java实现token的生成与验证-登录功能
qq_42362007的博客
12-04 1527
一、token与cookie相比较的优势 1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的; 2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session; 3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可; 4、更适用于移动端(Android,iOS,小程序等等),像这种原生平台不支
32-Jwt+Shiro实现认证和权限控制
weixin_46449115的博客
03-28 380
原文链接:https://blog.csdn.net/weixin_44852935/article/details/107683290 一、Spring Boot 整合Jwt + Shiro 实现认证和权限控制 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId>
fastapi操作sql以及jwt
Ang-l
08-27 3293
fastapi操作sql以及jwt使用fastapiinstallFile Structuresqlfastapi使用sql执行 使用fastapi install pip install fastapi pip install uvicorn pip install sqlalchemy File Structure sqlapp database.py # 连接数据库文件 crud.py # 增删改查 models.py # 表文件 schemas.py utils
orbit-jwt:这是一个用于在Angular Web Apps中处理JWT的帮助程序库。
03-04
它还具有许多辅助方法,这些方法可用于执行诸如解码JWT操作。 该库没有任何功能(或关于实现用户身份验证和检索JWT的意见)。 这些详细信息将根据您的设置而有所不同,但是在大多数情况下,您将使用常规的HTTP...
[golang] 实现 jwt 方式登录
咸鱼老罗的博客
02-13 1000
JSON Web Token(缩写 JWT)是目前流行的跨域认证解决方案,原理是生存的凭证包含标题 header,有效负载 payload 和签名组成。用户信息payload中,后端接收时只验证凭证是否有效,有效就使用凭证中的用户信息。签名是通过标题 header,有效负载 payload 和密钥(后端保存,不可泄露)生成。JWT 介绍:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html。
jwt_security.zip
04-19
总结,`jwt_security.zip`提供的教程涵盖了构建安全的Web应用程序所需的多个核心组件,包括快速开发的`Spring Boot`、强大的安全框架`Spring Security`、安全的令牌认证机制JWT以及数据库操作的`MyBatis`。...
JWT详解
weixin_30826761的博客
08-08 586
目录 1.前言 2.JWT的数据结构 2.1 Header 2.2 Payload 2.3 Signature 2.4 Base64URL 3. JWT的实现 1.前言 定义:JSON Web...
jwt 原理
weixin_48334703的博客
10-05 1937
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
jwt的token要存mysql吗,将JWT存储在数据库中有意义吗?
weixin_31423955的博客
01-27 556
I've implemented a basic authentication system with Spring Boot, Spring Security, OAUTH2 and JWT as auth tokens. It works alright but I was thinking if it makes sense to store JWT in a database and ch...
八幅漫画理解使用JSON Web Token设计单点登录系统
cruise技术博客
03-14 2498
上次在《JSON Web Token - 在Web应用间安全地传递信息》中我提到了JSON Web Token可以用来设计单点登录系统。我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统。 如果还没有阅读《JSON Web Token - 在Web应用间安全地传递信息》,我强烈建议你花十分钟阅读它,理解JWT的生成过程和原理。 用户认证八步走 所谓用户认证(Au
Token令牌入门学习一
从放弃到开始
06-01 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思. 如果觉得文章不错,对你有帮助,请作者喝杯咖啡,谢谢!如果对您有帮助 ,请多多支持.多少都是您的心意与支持,一分也是爱,再次感谢!!!打开支付宝首页搜“556723462”领红包,领到大红包的小伙伴赶紧使用哦!感谢大家的支持!您的支持,我会继续分享更多的文章,欢迎关注! (信息安全术语) Token, 令牌,代表执...
后台实战——用户登录之JWT
itKingOne的博客
03-26 1万+
现在的app往往会有登录功能,一般移动端app登录后都会得到一个token,今天就将token的一种实现方式Json Web Token(JWT),对于不了解JWT的同学可以参考这里,这里还有一个在线的的JWT生成器。在java中要使用jwt,需要pom.xml中添加如下依赖[html] view plain copy&lt;dependency&gt;      &lt;groupId&gt;c...
使用jwt完成sso单点登录
weixin_41282397的博客
12-17 1万+
JWT 在了解jwt之前,先了解一下常用的会话管理 基于server-session的管理方式 cookie-based的管理方式 token-based的管理方式 一.基于server-session的管理 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同...
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
热门推荐
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
springboot使用jwt实现登录操作
最新发布
04-16
JWT 是一种用于身份验证和授权的标准,它可以在客户端和服务器之间传递 JSON Web Token。在 Spring Boot 中,可以使用 Spring Security 和 JWT 来实现用户登录和权限验证。需要在后端生成 JWT Token,然后将它发送到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值