JWT简介与使用(安卓注意事项)

最新推荐文章于 2024-04-19 09:56:10 发布
最新推荐文章于 2024-04-19 09:56:10 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: 安卓 文章标签: java json http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MagicSound/article/details/124632333
版权

JWT简介

token进行用户身份验证流程:
①客户端使用用户名+密码请求登录
②服务端收到请求验证用户名和密码
③验证成功后,服务端发送一个token给客户端
④客户端将token保存起来
⑤后续请求资源需要携带这个token
⑥服务端进行token验证,验证成功则执行请求

token相比于session优点:
①节约服务器资源,对移动端友好
②支持跨域访问(跨域名访问):cookie无法跨域,而token放到请求头中可不使用cookie,故跨域后不存在信息丢失问题(即发送token不是针对某个域名单独进行,任何域名使用的token可以相同,而cookie对不同域名不同处理)
③无状态:用token后,服务端不需要存储session信息,因为token包含了所有登录用户的信息,可减轻服务端压力
④更适合CDN
⑤更适用于移动端
⑥无需考虑CSRF(cookie中跨站请求伪造,即盗取cookie信息进行冒名登陆)

JWT:JSON Web Token,token的一种具体实现方式
本身就是一个字符串,将用户信息保存到JSON字符串并编码后得到(有签名信息)

JWT结构

由三部分组成:①标头(Header)②有效载荷(Payload)③签名(Signature)
传输时会将三部分分别进行Base64编码后,用‘.’进行拼接形成字符串

Header
JWT头是一个描述JWT元数据的JSON对象,alg表示签名用的算法,typ表示令牌的属性(统一JWT)

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload
有效载荷是JWT主体内容部分,也是JSON对象,包含需要传递的数据,有如下七个字段:
①iss:发行人
②exp:到期时间
③sub:主题
④aud:用户
⑤nbf:在此之前不可用
⑥iat:发布时间
⑦jti:JWT ID,用于标识该JWT
上述是JWT预定义可以选用的字段,还可以额外自定义私有字段。
给字段赋值拼接为JSON后就作为JWT的Payload部分。
注:JWT默认情况下是未加密的,只用Base64算法,可以通过内容获取传递的信息,故类似密码等用户敏感信息不能通过JWT传递。

Signature
签名哈希部分是对上述两部分数据的签名,需要使用base64编码后的header和payload数据,通过指定算法生成哈希,确保数据不被篡改。
首先需要指定一个秘钥,该密码保存在服务器中,使用签名算法(默认HMAC SHA256)生成签名。

作用
header和payload可以直接用base64获得原文。
header用于获取哈希签名使用的算法,payload获取具体数据
signature作为上述的整合,作用是检验token是否被篡改,利用获得的算法和秘钥对前两部分加密,比对加密后数据和客户端发送的是否一致。

JWT java使用

首先引入依赖:

    compile 'com.auth0:java-jwt:3.4.0'

JWT生成token:

public void testGenerateToken(){
        // 指定token过期时间为10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 10);

        String token = JWT.create()
                .withHeader(new HashMap<>())  // Header
                .withClaim("userId", 21)  // Payload
                .withClaim("userName", "baobao")
                .withExpiresAt(calendar.getTime())  // 过期时间
                .sign(Algorithm.HMAC256("!34ADAS"));  // 签名用的secret

        System.out.println(token);
    }

头部是hashmap键值对,payload部分可以手动设置,签名部分需要由用户传入秘钥。

解析JWT字符串:

public static String checkUserToken(String token) {
        if (token != null && token.length() > 1) {
            try {
                DecodedJWT decodeJwt = JWT.require(Algorithm.HMAC256("123")).build().verify(token);
                if (decodeJwt != null) {
                    Date expriteat = decodeJwt.getExpiresAt();
                    if (expriteat.getTime() < new Date().getTime()) {
                        return "null";
                    }
                    return decodeJwt.getClaim("id").asString();
                }
            } catch (Exception e) {
                e.printStackTrace();
                return "";
            }
        }
        return null;
    }

解析token字符串后,可以通过其自身预定义的字段decodeJwt.getExpiresAt()获取数据,也可以通过decodeJwt.getClaim("id")获取自定义字段。

JWT安卓使用

但上述操作在安卓可以生成JWT字符串,但解析时由于Base64冲突,无法进行。
故在安卓解析部分需要使用另一个库:

    implementation 'com.auth0.android:jwtdecode:1.1.1'

客户端只需要用base64解析header和payload部分获取数据即可

public boolean checkUserToken(String token) {
        if (token != null && token.length() > 1) {
            JWT jwt = new JWT(token);

            Date expiresAt = jwt.getExpiresAt();
            
            Claim abc = jwt.getClaim("abc");
            System.out.println(abc.asInt());
            if (expiresAt.getTime() < System.currentTimeMillis()) {
                return false;
            }
            return true;
        }
        return false;
    }

解析token字符串后,可以通过其自身预定义的字段jwt.getExpiresAt()获取数据,也可以通过jwt.getClaim("abc")获取自定义字段。

注:JAVA使用方法会将JWT检测篡改,故传入的参数还需要秘钥、算法进行签名的解码,结合其解析,说明该解法通常用于服务器,客户端不应该知道密码,并且也不需要认识篡改。
安卓用法就比较纯粹,单纯取出header和payload部分进行base64解码获取数据。

魔幻音
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
IOS小技能:应用上架材料的准备、打包注意事项、app 转让、加急审核
iOS逆向与安全
11-16 3969
文章目录引言上架前的准备1.1 开通个人或者公司的账号(续费)1.2 上架前的准备see also 引言 IOS应用上架材料是iOS开发的必备小技能 上架前的准备 android 上架应用市场需要软著, 计算机软件著作权登记需要的材料: 源码 APP操作手册 信息采集表 1.1 开通个人或者公司的账号(续费) 2020苹果开发者续费教程(通过 Apple Developer 网站完成的注册,则不支持通过 Apple Developer app 续订会员资格) https://blog.csdn.net
JWTJavaAndroid中的使用
2401_84149505的博客
04-18 838
Android 详细知识点思维脑图(技能树)】其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。这只能说明 Android 中级以下的岗位饱和了,现在高级工程师还是比较缺少的,很多高级职位给的薪资真的特别高(钱多也不一定能找到合适的),所以努力让自己成为高级工程师才是最重要的。
Android JWT 简单使用
happy_horse的博客
02-16 9011
一、什么是JWTJWT 的定义:JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.JWT的作用:1、JWT可以理解为一串通过特定算法生成的字符串,在API的请求中,将这段字符串放入请求参数中。API Server通过判
JWTDecode.Android,一个库,帮助您解码AndroidJWTS.zip
10-12
android为核心的java库,提供json web令牌(jwt)解码。
推荐项目:JWTDecode.Android - Android平台上的JSON Web Token解析库
最新发布
gitblog_00086的博客
04-19 441
推荐项目:JWTDecode.Android - Android平台上的JSON Web Token解析库 JWTDecode.AndroidA library to help you decode JWTs for Android项目地址:https://gitcode.com/gh_mirrors/jw/JWTDecode.Android 项目简介 是一个由Auth0开发并维护的Androi...
jwt android
u013317653的专栏
07-08 233
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.1</version> </dependency> package ...
android使用jwt token(json web token)--java
weixin_34127717的博客
07-02 214
http://blog.csdn.net/mingzhnglei/article/details/51119836   下面贴上自己项目中的一个小小的example import com.nimbusds.jose.JOSEException; import com.nimbusds.jose.JWSAlgorithm; import com.nimbusds.jose.JWSHea...
cpp-jwt:C ++的JSON Web令牌库
02-05
### 安全注意事项使用JWT时,确保遵循最佳安全实践: - 使用强密钥来签名JWT,防止被破解。 - 不要在JWT中存储敏感信息,因为它们可以在网络上明文传输。 - 设置合理的过期时间,避免长时间有效的JWT导致安全风险...
JWTJSON Web Token)
m0_46364778的博客
04-02 1588
JWT
安卓Android源码——简易微信客户端和服务器源码.rar
10-10
- “JavaApk源码说明.txt”可能包含了源码的简介使用指南或开发注意事项。 - “点这里查看更多优质源码~.url”是一个链接,指向更多开源项目资源,对于学习和研究非常有价值。 总之,这个压缩包提供了一个学习...
Android-一个Java库专注于在Android上提供JsonWebTokenJWT解码
08-13
一个Java库,专注于在Android上提供Json Web Token(JWT)解码
Android代码-JWTDecode.Android
08-07
JWTDecode.Android Java library with focus on Android that provides Json Web Token (JWT) decoding. Install The library is be available both in Maven Central and JCenter. To start using it add this line to your build.gradle dependencies file: implementation 'com.auth0.android:jwtdecode:1.2.0' Usage Decode a JWT token String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ"; JWT jwt = ne
Android代码-jjwt
08-06
Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation based on the JWT, JWS, JWE, JWK and JWA RFC specifications. The library was created by Stormpath's CTO, Les Hazlewood and is now maintained by a community of contributors. Stormpath is a complete authentication and user management API for developers. We've also added some convenience extensions that are
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
Java JWT:适用于JavaAndroidJSON Web令牌-Android开发
05-26
Java JWT:适用于JavaAndroidJSON Web令牌JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是纯Java实现的专有Java JWTJavaAndroidJSON Web令牌JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是完全基于JWT,JWS,JWE,JWK和JWA RFC规范以及Apache 2.0许可条款下的开源的纯Java实现。 该图书馆由Okta的高级建筑师Les Hazlewood创建,并由贡献者社区提供支持和维护。 Okta是一个完整的身份验证
Android使用生物识别
Android开发者
06-08 584
为了保护隐私和敏感数据,应用往往会增加用户登录功能。如果您的应用使用了传统的登录方式,那么它的授权过程可能类似如图 1 中所示: 用户输入用户名和密码,应用会根据输入的数据生成设备凭据,然...
JWTJavaAndroid中的使用,【面试总结】
m0_61418377的博客
09-05 258
public void JWTDecode(String token) { try { DecodedJWT jwt = JWT.decode(token); /** * Header Claims */ //Returns the Algorithm value or null if it's not defined in the Header. String algorithm = jwt.g.
Android 解析登录后返回的JWT加密串
qq_37069091的博客
09-02 596
标题 Android 解析登录后返回的JWT加密串 方法1 用base64解密 String jwt;//需要解析的字符串 String[] split = jwt.split("\\."); //header byte[] decodedBytes = Base64.decode(split[1], Base64.URL_SAFE); String header= new String(decodedBytes, "UTF-8"); //body
java token生成和验证_Java基于springboot整合jwt 实现token认证
weixin_39800918的博客
11-26 632
随着互联网的不断发展,技术的迭代也非常之快。我们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,这种认证已经不能满足与我们的业务需求了(分布式,微服务)。我们采用了另外一种认证方式:基于token的认证。一、与cookie相比较的优势:1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;2、无状态化,服务端无需存储token,只需...
laravel jwt的配置与使用
07-28
laravel-jwt 是一个用于在 Laravel 应用程序中实现 JSON Web Token (JWT) 认证的扩展包。要配置和使用 laravel-jwt,可以按照以下步骤进行: 1. 安装扩展包:可以使用 Composer 在 Laravel 项目中安装 laravel-jwt。打开终端并运行以下命令: ``` composer require tymon/jwt-auth ``` 2. 配置扩展包:安装完成后,需要发布配置文件和生成 JWT 密钥。运行以下命令: ``` php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider" php artisan jwt:secret ``` 3. 配置环境变量:在 `.env` 文件中配置 JWT 相关的环境变量。在 `.env` 文件中添加以下配置项: ``` JWT_SECRET=your_secret_key JWT_TTL=60 ``` `your_secret_key` 是你生成的 JWT 密钥,`JWT_TTL` 是 JWT 的过期时间(以分钟为单位)。 4. 配置用户认证:打开 `config/auth.php` 文件,将 `api` 驱动程序更改为 `jwt`: ```php 'guards' => [ 'api' => [ 'driver' => 'jwt', 'provider' => 'users', ], ], ``` 5. 生成 JWT:你可以使用 `jwt()` 函数来生成 JWT。例如,可以在控制器中使用以下代码生成 JWT: ```php use Illuminate\Support\Facades\Auth; use Tymon\JWTAuth\Facades\JWTAuth; $token = JWTAuth::fromUser(Auth::user()); ``` 6. 验证 JWT:你可以使用 `jwt()` 函数来验证 JWT。例如,可以在路由中使用以下代码进行 JWT 验证: ```php Route::middleware('auth:api')->get('/user', function (Request $request) { return $request->user(); }); ``` 这些是基本的配置和使用步骤。你可以根据具体的需求进一步定制和使用 laravel-jwt。有关更多信息,请参阅 laravel-jwt 的文档。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

魔幻音

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值