JWT详细学习

最新推荐文章于 2024-04-13 11:28:59 发布
最新推荐文章于 2024-04-13 11:28:59 发布
阅读量730 收藏 9
点赞数 3
文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Inmaturity_7/article/details/108449530
版权

JWT学习

B站编程不良人–JWT篇

一、什么是JWT

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA. --[摘自官网]

# 1.官方解释
-官网地址:https://jwt.io/introduction/
-翻译:JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。

# 2.通俗解释
-JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。

二、JWT能做什么

# 1.授权
-这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是今广泛使用JWT的一项功能。因为它的开销很小并且可以在不同的域中轻松使用

# 2.信息交换
JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。

三、JWT和传统Session的区别

JWT介绍以及和传统Session的区别

四、JWT的构成和认证流程

JWT的构成和优势所在

JWT的认证流程和优势

五、JWT的优缺点

JWT的优缺点

六、在SpringBoot中使用JWT

6.1、引入依赖
<!--JWT的依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>
6.2、生成Token
 //获取日历对象
 Calendar calendar=Calendar.getInstance();
 //给calendar对象时间增加90秒
 calendar.add(Calendar.SECOND, 90);
 //生成令牌
 String token = JWT.create()
 .withClaim("username", "刘一手") //设置自定义用户名
 //.withHeader();设置头部参数是map
 .withExpiresAt(calendar.getTime()) //设置过期时间
 .sign(Algorithm.HMAC256("LIUYISHOU@Token666"));//设置签名,盐值需保密且复杂
 //输出令牌
 System.out.println("token = " + token);

--token生成结果:
token = eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTkzODM2NzIsInVzZXJuYW1lIjoi5YiY5LiA5omLIn0.nwh692qE-giG6wTHKdGQhUZG7NukZwOaMSWY82HmW8k
6.3、根据令牌和签名解析数据
//创建验证对象(根据刚刚输入的盐值生成)
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("LIUYISHOU@Token666")).build();
//验证字符串
DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTkzODQyNDUsInVzZXJuYW1lIjoi5YiY5LiA5omLIn0.tvUBEmExSb4QE-H8ACJPShB56Ot6yAUJSgTBtRThV48");
//获取验证之后的数据
String header = verify.getHeader();
System.out.println("header = " + header);

String payload = verify.getPayload();
System.out.println("payload = " + payload);

String signature = verify.getSignature();
System.out.println("signature = " + signature);

String username = verify.getClaim("username").asString();
System.out.println("username = " + username);


String token = verify.getToken();
System.out.println("token = " + token);

String algorithm = verify.getAlgorithm();
System.out.println("algorithm = " + algorithm);

--打印结果:
header = eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
payload = eyJleHAiOjE1OTkzODQyNDUsInVzZXJuYW1lIjoi5YiY5LiA5omLIn0
signature = tvUBEmExSb4QE-H8ACJPShB56Ot6yAUJSgTBtRThV48
username = 刘一手
token = eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTkzODQyNDUsInVzZXJuYW1lIjoi5YiY5LiA5omLIn0.tvUBEmExSb4QE-H8ACJPShB56Ot6yAUJSgTBtRThV48
algorithm = HS256

注意签名的失效时间,如果过了设置的时间,签名无效:

在这里插入图片描述

6.4、JWT工具类封装
package com.lxf.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

public class JWTUtils {
    /**
     * 盐值
     */
    private static final String SING="LIUYISHOU@Token666";


    /**
     * 生成令牌
     * @param map payload载荷声明参数
     * @return
     */
    public  static String getToken(Map<String,String> map){
        //获取日历对象
        Calendar calendar=Calendar.getInstance();
        //默认7天过期
        calendar.add(Calendar.DATE, 7);
        //新建一个JWT的Builder对象
        JWTCreator.Builder builder = JWT.create();
        //将map集合中的数据设置进payload
        map.forEach((k,v)->{
            builder.withClaim(k, v);
        });
        //设置过期时间和签名
        String sign = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SING));

        return sign;
    }

    /**
     * 验签并返回DecodedJWT
     * @param token  令牌
     */
    public  static DecodedJWT getTokenInfo(String token){
       return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }
    
    
}
七、整合SpringBoot
7.1、引入依赖
<!--JWT的依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>
<!--引入mybatis-->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.3</version>
</dependency>
<!--引入lombok-->
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <version>1.18.12</version>
</dependency>
<!--引入druid-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>1.1.19</version>
</dependency>
<!--引入mysql-->
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>5.1.38</version>
</dependency>
7.2、配置文件配置:
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/jwt?useSSL=false&useUnicode=true&characterEncoding=utf8
spring.datasource.username=root
spring.datasource.password=root

mybatis.type-aliases-package=com.lxf.pojo
mybatis.mapper-locations=classpath:mapper/*.xml

logging.level.com.lxf.dao=debug
7.3、数据库新建库和表:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DwkSf4A3-1599464889192)(D:\TyporaPic\image-.png)]

添加一个用户:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o7YxkTqc-1599464889196)(D:\TyporaPic\image-.png)]

7.4、新建实体类
package com.lxf.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@AllArgsConstructor
@NoArgsConstructor
@Data
public class User {
    private Integer id;
    private String name;
    private String password;
}
7.5、dao层
package com.lxf.dao;

import com.lxf.pojo.User;
import org.apache.ibatis.annotations.Mapper;

@Mapper
public interface UserDao {

    /**
     * 登录方法
     * @param user 
     * @return
     */
    User login(User user);
}
7.6、UserMapper.xml文件
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.lxf.dao.UserDao">
    <select id="login"  parameterType="User" resultType="User">
        select id,name,password from user where name=#{name} and password=#{password}
    </select>
</mapper>
7.7、service层
package com.lxf.Service;

import com.lxf.pojo.User;
import org.springframework.stereotype.Service;

@Service
public interface UserService {
    /**
     * 登录方法
     * @param user
     * @return
     */
    User login(User user);
}

package com.lxf.Service.Impl;

import com.lxf.Service.UserService;
import com.lxf.dao.UserDao;
import com.lxf.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

@Service
@Transactional
public class UserServiceImpl implements UserService {
    @Autowired
    private UserDao userDao;


    @Override
    public User login(User user) {
        //接受用户查询数据库
        User userDB = userDao.login(user);

        //查询到这个用户就返回,没有则抛出错误
        if (userDB != null) {
            return userDB;
        }else{
            throw new RuntimeException("登录失败!");
        }
    }
}
7.8、controller层
package com.lxf.controller;

import com.lxf.Service.UserService;
import com.lxf.pojo.User;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@RestController
@Slf4j
public class UserController {

    @Autowired
    private UserService userService;

    @GetMapping("/user/login")
    public Map<String,Object> login(User user){
        log.info("用户名:[{}]",user.getName());
        log.info("密码:[{}]",user.getPassword());
        HashMap<String, Object> map = new HashMap<>();

        try {
            User login = userService.login(user);
            map.put("state", true);
            map.put("msg", "认证成功");
        } catch (Exception e) {
            map.put("state", false);
            map.put("msg", e.getMessage());
        }
        return map;
    }
}
7.9、测试

成功登录:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fEn321rP-1599464889208)(D:\TyporaPic\image-.png)]

登录失败:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bYKvLK1N-1599464889214)(D:\TyporaPic\image-.png)]

7.10、使用JWT
package com.lxf.controller;

import com.lxf.Service.UserService;
import com.lxf.pojo.User;
import com.lxf.utils.JWTUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@RestController
@Slf4j
public class UserController {

    @Autowired
    private UserService userService;

    @Autowired
    private JWTUtils jwtut;


    @GetMapping("/user/login")
    public Map<String,Object> login(User user){
        log.info("用户名:[{}]",user.getName());
        log.info("密码:[{}]",user.getPassword());
        HashMap<String, Object> map = new HashMap<>();

        try {
            //登录用户
            User userDB = userService.login(user);
            //存储载荷声明参数map
            HashMap<String, String> plMap = new HashMap<>();
            plMap.put("name", userDB.getName());
            //生成JWT令牌
            String token = jwtut.getToken(plMap);

            map.put("state", true);
            map.put("msg", "认证成功");
            map.put("token", token);
        } catch (Exception e) {
            map.put("state", false);
            map.put("msg", e.getMessage());
        }
        return map;
    }
}

测试:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QQ7pPpSa-1599464889219)(D:\TyporaPic\image-.png)]

Immature_7
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT详细讲解
m0_71012114的博客
10-19 6156
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
JWT详细介绍
weixin_52028697的博客
07-26 204
JWT
JWT的基础学习知识
wangjingyuing的博客
11-04 243
JWT的基础知识学习
JWT学习
weixin_60257072的博客
01-19 1449
这个过程就是无状态认证。拿到了jwt令牌下一步就要携带令牌去访问资源服务中的资源,本项目各个微服务就是资源服务,比如:内容管理服务,客户端申请到jwt令牌,携带jwt去内容管理服务查询课程信息,此时内容管理服务要对jwt进行校验,只有jwt合法才可以继续访问。令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。
JWT详细教程以及整合SpringBoot的使用(简洁易上手)
热门推荐
小爽帅到拖网速的博客
03-30 1万+
JWT 1、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 9206
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
JWT的介绍与应用
CONSOLE11的博客
12-30 3554
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT学习1
08-08
这些声明提供了关于用户身份和权限的详细信息。 签名(Signature)是JWT安全性的关键。它由编码后的头部和负载,加上一个秘密(secret)通过头部指定的算法(如HMAC SHA256或RSA)进行加密生成。这个签名用于验证...
JWT学习笔记1
08-03
本文主要围绕JWT(JSON Web Token)这一流行的认证机制进行讲解,首先介绍传统的Session验证方式,然后详细解析JWT的工作原理、组成部分及使用方法,并探讨JWT在实际项目中的应用及其优势。 一、Session验证方式 ...
编程不良人redis(baizhiedu.xin).zip
10-07
Redis从入门到精通的资料,可以配套《https://blog.csdn.net/qq_37520561/article/details/108953427》这篇博客一起练习,里面有详细的解说
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端...文章末尾提到的 DEMO 可能包含了完整的 JWT 服务实现,供开发者参考学习。通过这样的实践,可以更好地理解和掌握 JWT Token 的使用方法。
WebApiDemo(net6+swagger+jwt)
05-31
首先,让我们详细了解.NET 6框架。.NET 6是微软推出的最新跨平台的开源框架,它是.NET Core系列的延续,合并了.NET Framework的部分功能。.NET 6提供了更快的性能、更简洁的API以及更好的兼容性,支持多种操作系统,...
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 749
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT学习流程及使用
m0_62356399的博客
07-19 696
然而,Session 是在服务器端的,而 JWT 是在客户端的。因为 JWT 可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。单点登录是现在广泛使用的 JWT 的一个特性,因为它的开销很小,而且可以轻松地跨域使用。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT,即 JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。
jwt教程学习
QQwli的博客
05-26 677
JWT 1、什么是JWT 官网:https://jwt.io/ 学习资料:https://baobao555.tech/archives/40 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于作为JSON对象在各方之间安全地传输信息。可以验证和信任该信息,因为它是数字签名的。jwt可以使用一个秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 简单来说,就是通过JSON形式作为Web应用中的令牌,用于在各方面之间安全的将
JWT详解及实战教程
qq_63438013的博客
04-13 774
RFC 7519HMACRSAorECDSA---[摘自官网]# 1.翻译- 官网地址: https://jwt.io/introduction/- 翻译: jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名​# 2.通俗解释。
go-jwt学习总结
qq_26105397的博客
01-22 7393
一.概念 jwt,全名(json web token),是一种跨域的认证的解决方案,属于一个开放的标准。使用其规定了一种token的实现方式。 二.为什么使用 传统的的web项目,使用的都是session来认证用户的信息,具体的流程如下: 1.用户通过浏览器将账号跟密码传输给后台服务。 2.服务端对用户跟密码校验后会生成一份保存当前用户信息的session和一个对应的session_id。 3.如果返回响应的时候会将生成的session_id一并返回,浏览器会将该值写入cookie中。 4.如
ASP外观专利图像检索平台(源代码+论文).rar
最新发布
07-21
ASP外观专利图像检索平台(源代码+论文)
SpringBoot2.2 JWT入门:理解与实战跨域认证
学习这门教程,开发者可以快速理解JWT的工作原理,并将其应用于前后端接口的安全控制,实现用户身份验证和授权的高效管理。这份教程提供了实践案例和详细步骤,适合初学者和有一定经验的开发人员进一步提升安全意识...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值