jwt,token的单点登录系统

最新推荐文章于 2024-07-31 09:06:52 发布
最新推荐文章于 2024-07-31 09:06:52 发布
阅读量280 收藏 1
点赞数
文章标签: token jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Li2992973708/article/details/135183725
版权

token:

会话技术session:弊端是只适合单体应用,不适用于分布式微服务项目      

token令牌会话技术-登录成功后,在一段时间内不需要重复登录,便可以直接访问系统资源。

是适用于分布式微服务集群的项目的会话技术。

 这里数据认证成功之后,返回数据给前端之前,数据可以往redis中存储,然后再把数据返回给前端。

 

JWT token:

1.JWT的简介

1>什么是JWT

Json Web Token(JWT),是一种⽤于通信双⽅之间传递信息的简洁的、安全的声明规范;作为⼀个开放的标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方之间以Json对象的形式安全的传递信息。

JWT一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息,即传递Token,以便于从资源服务器获取资源;特别适用于分布式站点的单点登录(SSO)场景。

官网:https://jwt.io

2>跨域认证

例如,A网站和B网站是同一家公司的关联服务,现在要求,用户只要在其中一个网站登录,再访问另一个网站就无需登录。如何实现?

1)方案一

将Token持久化,保存到持久层;所有服务收到请求后,都从持久层获取Token进行校验。这种方案的优点是架构清晰;缺点是工程量比较大,另外,持久层万一挂了,就会单点失败。

2)方案二

数据库不再保存 Token了,所有Token都保存在客户端,每次请求都将Token发回服务器,服务器解析校验就行了。JWT就是这种方案的一个代表。

3>总结

JWT是一种用于传递Token的解决方案,而且可以无需持久化Token实现跨域认证。

通俗来讲,JWT是一个含签名并携带用户相关信息的加密串,客户端请求服务端时,请求中携带JWT串到服务端,服务端通过签名加密串匹配校验,保证信息未被篡改,校验通过则认为是可靠的请求,将正常返回数据。

2.JWT的原理

JWT的原理是,服务端认证通过以后,会生成一个JSON对象,发回给客户端,就像下面这样:

{

  "姓名": "张三",

  "角色": "管理员",

  "到期时间": "2018年7月1日0点0分"

}

之后,客户端与服务端通信的时候,都要发回这个JSON对象给服务端,服务端完全只靠这个JSON对象认定用户身份。为了防止用户篡改数据,服务端在生成这个JSON对象的时候,还会加上签名。服务端就不保存任何数据了,即服务端变成无状态了,从而比较容易实现扩展。

3.JWT的数据结构

它是一个很长的字符串,中间用点(.)分隔成三个部分。 

1> Header(头部)

2> Payload(载体)

3> Signature(签名)

1>Header(头部)

Header部分是一个JSON对象,描述了JWT的元数据,通常是下面的样子:

{

  "alg": "HS256",

  "typ": "JWT"

}

alg属性表示签名用的算法(algorithm),默认是HMAC SHA256(写成HS256);

typ属性表示这个令牌(token)的类型(type),JWT统一写为JWT;

最后,将上面的JSON对象使用 Base64URL编码转成字符串。

2>Payload(载体)

Payload部分也是一个JSON对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段供选用:

sub(subject):主题

iat(issuedAt):签发时间

exp(expiresAt):过期时间

iss(issuer):签发人

aud(audience):受众

nbf(notBefore):生效时间

jti(jwtId):编号

除了官方字段,还可以在这个部分定义私有字段,例如:

{

  "sub": "1234567890",

  "name": "John Doe",

  "admin": true

}

JWT默认是不加密的,任何人都可以读到,所以不要把秘密信息(密码,手机号等)放在这个部分;但也是可以加密的,生成原始Token以后,可以用密钥再加密一次。

这个JSON对象也要使用Base64URL编码转成字符串。

3>Signature(签名)

Signature部分是对前两部分的签名,防止数据篡改

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。

然后,使用Header里面指定的算法(HMAC SHA256),按照下面的公式产生签名:

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  secret

)

最后,算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用点(.)分隔,就可以返回给用户了。

4.JWT的传递方式

客户端收到服务端返回的JWT串后,可以储存在Cookie里面,也可以储存在localStorage。

此后,客户端每次请求服务端,请求中都要带上这个JWT串。可以把它放在Cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在请求头Authorization里面,或放在POST请求的数据体里面。

5.JWT的API

创建一个maven工程:

添加jwt的依赖:

pom.xml:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0

http://maven.apache.org/xsd/maven-4.0.0.xsd">


    <modelVersion>4.0.0</modelVersion>
    <groupId>com.mmy</groupId>
    <artifactId>jwt-demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <!--jwt依赖-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.11.0</version>
        </dependency>
    </dependencies>


</project>

编码操作:

src/main/java/com.mmy.jwt.Demo.java:

package com.mmy.jwt;

public class Demo {

    public static void main(String[] args) {
        /*
         eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
         eyJzdWIiOiJ1c2VyLWluZm8iLCJuYW1lIjoibGlzaSIsImlkIjoxMDEsImV4cCI6MTY1NjgyMzU1

MywiaWF0IjoxNjU2ODIzNDMzfQ.
         IghmOPUVvQCGAtXUZaA4udE-4A7h_RCr3mDkID6qlm0
        */
        System.out.println(createToken());

        parseToken(createToken());//101 lisi
    }

    //生成jwt加密串 --- token
    public static String createToken(){

        //创建Map<String,Object>封装Header信息
        Map<String,Object> header = new HashMap<>();
        header.put("alg", "HS256");//签名用的算法
        header.put("typ", "JWT");//token类型,统一为JWT

        //当前时间 -- 签发时间
        Date createTime = new Date();
        //两小时后的时间 -- 过期时间
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.MINUTE, 2);
        Date expireTime = calendar.getTime();

        String token = JWT.create()
                //设置Header
                .withHeader(header)
                //设置Payload(载体)
                .withSubject("user-info")//设置主题
                .withIssuedAt(createTime)//设置签发时间
                .withExpiresAt(expireTime)//设置过期时间
                .withClaim("id", 101)//设置私有字段id
                .withClaim("name", "lisi")//设置私有字段name
                //设置Signature(签名)
                .sign(Algorithm.HMAC256("mmy-123"));//指定秘钥为mmy-123

        return token;
    }


    //解析jwt加密串
    public static void parseToken(String token){

        //指定秘钥拿到JWT解析器
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("mmy-123")).build();
        //传递jwt加密串(token),拿到解析后的jwt
        DecodedJWT decodedJWT = jwtVerifier.verify(token);
        //从解析后的jwt串中获取相关信息
        Claim idClaim = decodedJWT.getClaim("id");//用户id--私有字段id
        System.out.println(idClaim.asInt());
        Claim nameClaim = decodedJWT.getClaim("name");//用户名--私有字段name
        System.out.println(nameClaim.asString());
    }
}

 

小小懒懒
关注
单点登录JWT
qq614452400的博客
07-17 207
1 单点登录三种方法(第二三种常用) 2 第三种token可以使用jwt实现生成字符串 怎么使用jwt 1,在pom中添加依赖 2 写工具类 public class JwtUtils { //EXPIRE表示token过期时间 APP_SECRET密钥为了做加密编码 public static final long EXPIRE = 1000 * 60 * 60 * 24; public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWu
基于JWT实现单点登录
热门推荐
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
jwt单点登录
m0_61682705的博客
11-20 1479
在我们日常开发中登录是每个系统都要做的,对于单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。开一下传统登录:单点登录:通俗讲:用户登录一次,就可已访问系统里的其他子系统
基于SpringBoot+JWT实现单点登录解决方案
最新发布
qq_53723451的博客
07-31 181
基于SpringBoot+JWT实现单点登录解决方案
如何使用JWT实现单点登录功能
02-16 976
我们平时自己开发项目,分布式的结构时,访问量不大,但是又不想搭建redis服务器,这时我觉得jwt不错. 个人理解,jwt就是类似于一把锁和钥匙,客户来租房(登录),我们需要给他进来(第一次登录)登记消息,配把钥匙给他(使用jwt生成一个token,存放在用的cookie中),我们这边也需要配置一把我们需求的锁(jwt的生成token,解析token规则我们来写),接下来看下我最近运用...
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4397
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web TokenJWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security基于JWT实现SSO单点登录详解
08-25
基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个用户名和密码在多个系统中登录。 SSO 的优点: * 提高...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议使用vs2019,framework4.8版本。
微服务安全之访问令牌
希冀
07-06 1316
文章目录第一章(单点登录)一、用户身份认证1、单一服务器模式2、SSO(Single Sign On)模式3、Token模式第二章(JWT令牌)一、访问令牌的类型二、JWT令牌1、什么是JWT令牌2、JWT令牌的组成3、JWT的用法三、JWT问题和趋势第三章(JWT测试)一、创建Maven项目1、项目2、基本依赖二、测试JWT1、生成token2、解析token 第一章(单点登录) 一、用户身份认证 1、单一服务器模式 一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户名,用
JSON Web Token (JWT)笔记(token实现单点登录功能)
qq_43813373的博客
04-05 3181
文章目录cookie(浏览器客户端)session(web服务端)单点登录三种方式 cookie(浏览器客户端) 百度百科-cookie(安全威胁) cookie是客户端技术,存储在本地浏览器中,每次发送请求带着cookie值发送。 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一
JWT生成Token实现单点登录
qq_43750656的博客
06-19 1928
一、单点登录概述 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。不同于传统的单体应用,所有业务都在一个应用中,在分布式服务中,会有很多独立的项目,而这些项目又是有联系的,如A项目为购物车模块,B项目为订单模块,当我在向购物车加入商品的时候需要登录,而当我查询订单的时候也需要登录,那单点登录就是如果我登陆了购物车应用或者订单应用其中之一,再登陆其他的应用时便不需要登录。 如百
JWT单点登录
weixin_45427945的博客
06-09 1988
JWT单点登录
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 845
什么是JSON Web TokenJWT)?JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其...
JWT token 实现单点登录
qq_58003121的博客
04-04 2415
package com.xiexin.interceptor; import com.alibaba.fastjson.JSONObject; import com.auth0.jwt.JWT; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.ser.
手把手教你,使用JWT实现单点登录,一起来揭开它神秘的面纱
weixin_47083537的博客
05-15 813
JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱! 一、故事起源 说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。 传统session交互流程,如下图: 当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。 当浏览器再次发送请求时,会在请求头部的cookie中放入sessionId,将请求数据一并发送给服务器。 服务器就
JWT 单点登录
severl的博客
09-19 1659
JWT单点登录相关概念问题及基础操作介绍,附加面试题。
Spring Boot JWT实现单点登录详解
Spring Boot结合JWT实现单点登录是现代应用架构中一种高效且安全的身份验证方式,通过简化用户登录流程,提升系统的可用性和用户体验。通过以上步骤,开发人员可以快速集成JWT到现有的Spring Boot项目中,实现实例中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小懒懒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值