JWT笔记

最新推荐文章于 2022-12-17 17:06:02 发布
最新推荐文章于 2022-12-17 17:06:02 发布
阅读量172 收藏 1
点赞数
分类专栏: JWT 后端技术 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LA_LA_LA_HAHAHA/article/details/123864826
版权

JWT

什么是jwt?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

为什么是jwt

首先说一下基于传统的Session认证

  1. 认证方式

    http协议本身就是一种无状态协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还需要进行一次用户认证,因为根据http协议我们并不知道是哪个用户发出的请求,所以为了让我们让我们应用能识别是哪个用户发送的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们应用,这样我们的应用就能识别出是哪个用户了,这就是基于传统的session认证

  2. 认证流程

    image-20211021103625869

  3. 暴露问题

    image-20211021103655613

基于jwt认证

image-20211021104224720

  • session是存在服务器内存上的,而jwt是存储在本地浏览器上的

image-20211021104916399

jwt结构

image-20211021105222061

image-20211021105417642

image-20211021105644942

image-20211021110507954

image-20211021110728385

使用JWT

              <dependency>
                    <groupId>com.auth0</groupId>
                    <artifactId>java-jwt</artifactId>
                    <version>3.18.1</version>
                </dependency>

生成token

//生成token
    @Test
    void testToken(){
        HashMap<String, Object> map = new HashMap<>();
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND,100000000);
        String token =  JWT.create()
                .withHeader(map)
                .withClaim("id",22)
                .withClaim("username","zs")
                .withExpiresAt(calendar.getTime())
                .sign(Algorithm.HMAC256("!&*^hdad"));
        System.out.println(token);
    }

验证token

@Test
void testExam(){
    //创建验证对象
    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!&*^hdad")).build();
    //通过这个对象可以拿出负载信息
    DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MjIsImV4cCI6MTczNDgwMTE4NSwidXNlcm5hbWUiOiJ6cyJ9.md55tFKkqiH878dNQTEeAWugspQyNPai_7qHwcWuDxY");
    System.out.println(verify.getClaim("id").asInt());
    System.out.println(verify.getClaim("username").asString());
    System.out.println(verify.getHeader());
}

封装工具类

public class jwtUtil {
    private static final String signture = "!&*^hdad&*T*GUGyyugu&*T^T*";
    /**
     * 生成token header.payloder.signture
     */
    public static String getToken(Map<String,String> map){
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE ,7);//默认7天过期
        //创建jwtbuilder
        JWTCreator.Builder builder = JWT.create();
        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        String token = builder.withExpiresAt(calendar.getTime())
                .sign(Algorithm.HMAC256(signture));
        return token;
    }
    /**
     * 验证token合法性
     */
    public static DecodedJWT verify(String token){
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(signture)).build().verify(token);
        return verify;
    }

    /**
     * 获取token信息的方法
     */
//    public static DecodedJWT getTokenInfo(String token){
//        DecodedJWT verify = JWT.require(Algorithm.HMAC256(signture)).build().verify(token);
//        return verify;
//    }
}

随便写一个登录验证

Service

@Override
public Users login(Users user) {
    QueryWrapper wrapper = new QueryWrapper();
    wrapper.eq("username",user.getUsername());
    wrapper.eq("password",user.getPassword());
    Users users = mapper.selectOne(wrapper);
    if (users!=null){
        return users;
    }else {
        throw new RuntimeException("登录失败");
    }
}

controller

@Autowired
private UsersService service;
@PostMapping("/login")
public Map<String,Object> login(Users users){
    Map<String,Object> map = new HashMap<>();
    try {
        Users userDB  = service.login(users);
        Map<String,String> payload = new HashMap<>();
        //生成jwt令牌
        payload.put("id",userDB.getId().toString());
        payload.put("username",userDB.getUsername());
        String token = jwtUtil.getToken(payload);
        map.put("state",200);
        map.put("msg","登录成功");
        map.put("token",token);//响应token
    }catch (Exception e){
        map.put("state",408);
        map.put("msg",e.getMessage());
    }
    return map;
}

image-20211021171222525

image-20211021171253753

配置拦截器

public class jwtInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求头中的令牌
        String token = request.getHeader("token");
        Map<String,Object> map = new HashMap<>();
        try {
            jwtUtil.verify(token);//验证令牌
            return true;//放行请求
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","算法不一致");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","其他异常");
        }
        map.put("state",false);
        //将map专为jsos
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}

config配置interceptor

@Configuration
public class interceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
         registry.addInterceptor(new jwtInterceptor())
                 .addPathPatterns("/user/test")
                 .excludePathPatterns("/user/login");
    }
}

必须header里有token信息才可以访问到

image-20211021194613486

image-20211021194651076

Austin St.N
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT token过期后自动续期的解决方案
leeta的博客
08-20 3311
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
JWT简单介绍
weixin_51971817的博客
11-16 1447
JWT简单的介绍和使用
JWT Token 自动续期的解决方案
孤独的大佬
09-24 3661
后端 在登录接口中 如果校验账号密码成功 则根据用户id和用户类型创建jwt token(有效期设置为-1,即永不过期),得到A 更新登录日期(当前时间new Date()即可)(业务上可选),得到B 在redis中缓存key为ACCESS_TOKEN:userId:A(加上A是为了防止用户多个客户端登录 造成token覆盖),value为B的毫秒数(转换成字符串类型),过期时间为7天(7 * 24 * 60 * 60) 在登录结果中返回json格式为{“result”:“success”,“token”
JWT教程
u010913170的博客
05-19 911
jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名
常用工具类之jwt的学习使用
weixin_53998054的博客
10-22 1120
jwt的使用
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT学习笔记1
08-03
背景了解户身份认证的种式、session验证1、客户端使户名和密码请求登录2、服务端接收请求,验证信息,成功后,在当前对话(session)保存相关数据,如户、
Golang 的JWT
05-26
// Create JWT instance jwtInstance := objects.NewJWT(secretKey, refreshKey, tokenExpire) // Generate a JWT token for user with ID 123 tokenString, err := jwtInstance.GenerateToken(userID)
Redis+MySQL+JWT
04-06
Redis+MySQL+JWT
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在终章笔记中主要介绍一下JWT以及总结Cookie到JWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,Cookie到JWT场景,安全等的...
token 过期后,如何自动续期?
码农code之路
06-30 3064
JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。JWT标准里面定义的标准claim包括:iss(Issuser):JWT的签发主体;sub(Subject):JWT的所有者;aud(Audience):JWT的接收对象;exp(Expiration time):JWT的过期时间;nbf(Not Be...
权限管理后端篇(七)之整合JWT实现token认证
qq_57919779的博客
12-17 520
整合JWT实现token认证
JWT
lzm123456的博客
05-01 140
json web token ,一般用于用户认证(前后端分离/微信小程序/app开发) 码云地址
springboot 基于jwt实现用户权限访问的简单实现
qq_61931568的博客
05-10 675
这里博主对于JWT就不再赘述,我往期博客上也有,我们就直接来聊聊是怎么简单实现的 这里先说一下 博主在查看了很多博客上面都没有关于JWT实现权限访问的,大多数又只是简单做一下登录,我看到了其中一个博客用的是注解方式实现但我觉得不太适合,也过于繁琐,这里博主只做一个简单的学习记录和交流 首先 先讲一下需求: 要求不同的用户只能访问不同的资源(如:学生只能访问学生的信息,但不能访问其他,老师可以访问教师信息,但不能访问其他信息) 1.这里我已经实现了JWT 就只需要把用户的职称放入TOKEN里面就可以
来来来,咱们聊一下 JWT。安全验证的知识 两篇文章就够了
qq_52252193的博客
05-10 868
目录 1. 为什么要用 JWT ? 认证 2.什么是 JWT 3. JWT 的结构 3.1 标头 3.2 载荷 3.3 签名 4. JWT 的认证流程 5. JWT 的使用 6. JWT 工具类 7. JWT 案例 7.1 用户登录 7.1.1 创建 SpringBoot 项目 7.1.2 引入依赖 7.1.3 application.yml 7.1.4 创建用户表 7.1.5 用户实体类 7.1.6 Service 和实现类 7.1.7 Dao 和 mapper.xm
jwt 的签发 和 jwt 的验证
phpfzh的博客
09-12 2462
jwt 文档地址:https://github.com/auth0/java-jwt
JWT全面解读、使用步骤
热门推荐
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
拒绝长篇大论,快速使用JWT(json web token)
好记性不如烂笔头
06-27 578
拒绝搬砖,拒绝长篇大论 什么是JWT JWT全称json web token。是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它其实就是平常用的token认证机制,只不过它有它自己的一套规范。 根据JWT规范生成的token字符串由三部分组成:头部、载荷、签名。 示例(中间由.隔开): 相较于普通的token生成方式,JWT生成的token由上面...
ruoyi jwt认证
最新发布
08-23
ruoyi是一个开源的Java框架,提供了一套快速开发管理系统的解决方案。在ruoyi框架中,可以使用JWT(JSON Web Token)进行身份认证。 JWT是一种规范,不与特定的编程语言绑定在一起。在ruoyi框架中,常用的Java实现是jjwt项目,它是一个开源项目,可以在GitHub上找到它的源代码。 要在ruoyi框架中使用JWT,首先需要在项目的pom.xml文件中添加JWT依赖项。可以通过添加如下代码来引入java-jwt依赖: ```xml <!-- jwt jar --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> ``` 接下来,可以通过在ruoyi框架中增加JWT登录方法来实现JWT认证。通常,可以使用一个名为JwtAuthenticationTokenFilter的认证过滤器来处理认证逻辑。 该过滤器继承自OncePerRequestFilter类,表示它只会过滤一次。在该过滤器中,可以实现JWT的验证逻辑,包括解析和验证JWT,获取用户信息等。 通过在ruoyi框架中实现JWT认证,可以实现基于JWT的身份认证和授权机制,提供更安全、可靠的权限管理功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [若依管理系统自学笔记二:JWT](https://blog.csdn.net/HDUCheater/article/details/119141978)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [若依集成jwt实现登录授权访问(单体版)](https://blog.csdn.net/qq_19309473/article/details/123650385)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值