JWT

最新推荐文章于 2024-08-04 12:53:38 发布
最新推荐文章于 2024-08-04 12:53:38 发布
阅读量132 收藏
点赞数
分类专栏: SpringCloud 文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Huang_Y_hui/article/details/100104740
版权

一、JWT简介

a. JWT(JSON Web Token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
b. 相比于session,它无需保存在服务器,不占用服务器内存开销。
c. 无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。
d. 前后端分离,支持跨域访问。

二、JWT的组成

JWT是由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串。
就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT包含了三部分:
Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型)
Payload 负载 (类似于飞机上承载的物品, 这里指的就是数据本身)
Signature 签名/签证

Header - JWT的头部承载两部分信息:token类型和采用的加密算法。
{
“alg”: “HS256”,
“typ”: “JWT”
}
声明类型:这里是jwt
声明加密的算法:通常直接使用 HMAC SHA256
加密算法是单向函数散列算法,常见的有MD5、SHA、HAMC。
MD5(message-digest algorithm 5) (信息-摘要算法)缩写,广泛用于加密和解密技术,常用于文件校验。不管文件多大,经过MD5后都能生成唯一的MD5值
SHA (Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,安全性高于MD5
HMAC (Hash Message Authentication Code),散列消息鉴别码,基于密钥的Hash算法的认证协议。用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。常用于接口签名验证

Payload - 载荷就是存放有效信息的地方。
有效信息包含三个部分
1.标准中注册的声明
2.公共的声明
3.私有的声明
标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: 面向的用户(jwt所面向的用户)
aud: 接收jwt的一方
exp: 过期时间戳(jwt的过期时间,这个过期时间必须要大于签发时间)
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息

signature - jwt的第三部分是一个签证信息,这个签证信息由三部分组成
header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和进行验证,所以需要保护好。

三、SpringBoot整合JWT

  1. 添加maven依赖
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.8.2</version>
</dependency>
  1. 创建JWT工具类或Service类


import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator.Builder;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.apache.commons.lang.time.DateUtils;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

public class JwtUtils {
    private static JWTVerifier verifier;
    private static final String SECRET = "A_string_of_arbitrary_length|Also_can_be_the_user's_password.";
    private static final String ISSUER = "PEGASUS";
    private static final String NAME = "JWT_ID";
public static String createToken(String id) {
    Map&lt;String, String&gt; payload = new HashMap&lt;&gt;();
    payload.put(NAME, id);
    return create(payload);
}

public static String analyseToken(String token) {
    DecodedJWT decodedJWT = JwtUtils.verify(token);
    return decodedJWT.getClaim(NAME).asString();
}

public static String create(Map&lt;String, String&gt; payload) {
    Algorithm algorithm = Algorithm.HMAC256(SECRET);
    Map&lt;String, Object&gt; headers = new HashMap&lt;String, Object&gt;();
    headers.put("alg", "HS256");
    headers.put("typ", "JWT");
    Builder builder = JWT.create() // 创建JWT构建器
            .withJWTId(UUID.randomUUID().toString()) // 设置JWT的ID
            .withHeader(headers) // 设置头部信息
            .withIssuer(ISSUER) // 签名的生成者
            .withSubject("SUBJECT") // 签名主题
            .withNotBefore(new Date()) // 定义在什么时间之前,该JWT都是不可用的
            .withAudience("AUDIENCE") // 签名的接受者
            .withIssuedAt(new Date()) // 生成签名的时间
            .withExpiresAt(DateUtils.addMinutes(new Date(), 10)); // 签名过期时间
    payload.forEach((key, value) -&gt; builder.withClaim(key, value));
    return builder.sign(algorithm);
}

public static DecodedJWT verify(String token) {
    Algorithm algorithm = Algorithm.HMAC256(SECRET);
    if (verifier == null) {
        verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
    }
    return verifier.verify(token);
}
}
  1. 调用测试


import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.HashMap;
import java.util.Map;

public class App {
    public static void main(String[] args) {
        Map&lt;String, String&gt; payload = new HashMap&lt;&gt;();
        payload.put("name", "张三");
        payload.put("age", "18");
        payload.put("sex", "男");
        String sign = JwtUtils.create(payload);
        System.out.println(sign);

        DecodedJWT verify = JwtUtils.verify(sign);
        System.out.println(verify.getClaim("name").asString());
        System.out.println(verify.getClaim("age").asString());
        System.out.println(verify.getClaim("sex").asString());

    }
}
鱼蛋。
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
springboot 配置 jjwt
fengxing_2的专栏
08-09 1690
JWT全名JSON WEB Token主要作用为用户身份验证, 广泛应用与前后端分离项目当中. JWT 的优缺点 :https://www.jianshu.com/p/af8360b83a9f 一、pom.xml 引入jar文件 <dependency> <groupId>io.jsonwebtoken&...
JWT解密用的的方法讲解Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
最新发布
u010055960的博客
08-04 414
将这些部分组合起来,整行代码的作用是:使用指定的密钥验证 JWT签名,去除 JWT 字符串的前缀(如果有),然后解析 JWT 并获取其负载部分,以便访问其中的声明。库中,这段代码用于解析并验证一个 JWT(JSON Web Token)。在这个示例中,我们首先定义了密钥和 JWT 字符串的前缀,然后使用。方法并传入去除了前缀的 JWT 字符串,最后通过调用。方法获取了 JWT 的负载部分,并从中访问了主题声明(对象,并设置了签名密钥。
Spring Boot整合JWT实现用户认证
z_ssyy的博客
12-06 678
JWT(Json Web Token),是一种工具,格式为的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录操作,通过JWT就可以实现这样一个用户认证的功能。当然使用Session可以实现这个功能,但是使用Session的同时也会增加服务器的存储压力,而JWT是将存储的压力分布到各个客户端机器上,从而减轻服务器的压力。JWT由3个子字符串组成,分别
使用JWT进行跨域身份验证
Java—wang的博客
07-30 180
<dependencies> <!-- JWT--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> </dependencies> import io.jsonwe...
jwt
qq_43697072的博客
04-23 1422
jwt是jsonwebtoken的简称,用来生成token。在登陆状态验证完成时发送给前台一个token,之后前台的请求都要带着token,后台验证其token的正确性及有效性之后才会回应其数据,在用户和服务器端之间安全的传递消息。 jwt实际是一个字符串,由三部分组成,头部,数据和签名。 生成token const jwt = require('jsonwebtoken') 我们在页面引入jso...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWT(JSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
thinkphp+jwt实现前后端分离
03-15
本项目是基于Thinkphp6框架和JWT(Json Web Token)技术实现的前后端分离示例,旨在帮助开发者理解如何在实际项目中运用这两种技术。 **Thinkphp6** 是一个轻量级、高性能的PHP框架,具有良好的模块化设计,支持MVC...
JWT解密Token报错解决
李家小二
04-24 3249
JWT SignatureException
配置 Spring Security 和 JWT(四)
qiuweifan的博客
03-29 1535
userDetail和生成和验证JWT的实用程序类详解
JWT初学-生成与解密
qq_34819372的博客
10-31 2860
JWT初学-简单了解一下 demo代码git地址 jwt的maven依赖 &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;...
JWT使用
阿伟的博客
03-06 977
JWT(JSON WEB TOKEN)使用
JAVA代码优化:Token验证处理
码字码字码字
12-04 1436
Token验证处理是指在客户端和服务端之间进行身份验证和授权的过程。在这个过程中,客户端通常会提供一个令牌(Token),用于证明其合法性和权限。服务端接收到该令牌后,需要对其进行验证,以确定该请求是否来自合法的客户端。JWT是一种常见的Token验证处理方式。
JWT初步了解
早上真起不来的博客
06-20 189
JWT 文章目录JWTJwt 底层组成部分:1、头部2、Payload 装载的数据3、验证签名JWT优缺点 1、Session 存放服务器端— Session ID 2、Token + Redis Session 缺点集群无法共享 — redis 中 Token 类似于 Session ID Token 依赖于 Redis 真实 token 存放 value 值 使用 Token 缺点:每次都需要根据 token查询真实的内容,对服务器端压力就非常大。 jwt 先学习 json、token (加密算法
配置中心Config加密
Huang_Y_hui的博客
08-27 1549
一、配置中心加密 配置文件统一存储在GIT中,虽然增强了管理和版本控制,但是文件内容的安全性也成了问题。如果外部任意知道了GIT地址或spring-cloud-config-server的地址,那么配置文件的全部内容相当于对外完全开放。这个时候就需要提供配置内容加解密逻辑。将加密后的配置内容保存在GIT仓库中,在spring-cloud-config-client访问spring-cloud-c...
SpringBoot整合JWT实战指南
"在SpringBoot应用中使用JWT的实践指南" 在现代Web开发中,安全性是至关重要的,尤其是在构建RESTful API时。JSON Web Token(JWT)作为一种轻量级的身份验证机制,被广泛应用于SpringBoot项目中。JWT允许在不存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值