单点登录SSO----JSON Web Token(JWT)机制

最新推荐文章于 2021-12-02 09:06:16 发布
最新推荐文章于 2021-12-02 09:06:16 发布
阅读量245 收藏
点赞数
分类专栏: 单点登录SSO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Miracle_Gaaral/article/details/101694841
版权

JSON Web Token(JWT)机制

pom.xml

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<groupId>com.sxt</groupId>
	<artifactId>sso-jwt</artifactId>
	<version>1.0</version>
	<packaging>war</packaging>
	<dependencies>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-context</artifactId>
			<version>5.0.6.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
			<version>5.0.6.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-aspects</artifactId>
			<version>5.0.6.RELEASE</version>
		</dependency>
		<!-- JWT核心依赖 -->
		<dependency>
			<groupId>com.auth0</groupId>
			<artifactId>java-jwt</artifactId>
			<version>3.3.0</version>
		</dependency>
		<!-- java开发JWT的依赖jar包。 -->
		<dependency>
		    <groupId>io.jsonwebtoken</groupId>
		    <artifactId>jjwt</artifactId>
		    <version>0.9.0</version>
		</dependency>
		<!-- 给springmvc提供的响应扩展。@ResponseBody -->
		<dependency>
		    <groupId>com.fasterxml.jackson.core</groupId>
		    <artifactId>jackson-databind</artifactId>
		    <version>2.9.5</version>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>jstl</artifactId>
			<version>1.2</version>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>servlet-api</artifactId>
			<version>2.5</version>
			<scope>provided</scope>
		</dependency>
		<dependency>
			<groupId>javax.servlet.jsp</groupId>
			<artifactId>jsp-api</artifactId>
			<version>2.2</version>
			<scope>provided</scope>
		</dependency>
	</dependencies>
	<build>
		<pluginManagement>
			<plugins>
				<!-- 配置Tomcat插件 -->
				<plugin>
					<groupId>org.apache.tomcat.maven</groupId>
					<artifactId>tomcat7-maven-plugin</artifactId>
					<version>2.2</version>
				</plugin>
			</plugins>
		</pluginManagement>
		<plugins>
			<plugin>
				<groupId>org.apache.tomcat.maven</groupId>
				<artifactId>tomcat7-maven-plugin</artifactId>
				<configuration>
					<port>80</port>
					<path>/</path>
				</configuration>
			</plugin>
		</plugins>
	</build>
</project>

JWTSubject.java

package com.sxt.sso.commons;

/**
 * 作为Subject数据使用。也就是payload中保存的public claims
 * 其中不包含任何敏感数据
 * 开发中建议使用实体类型。或BO,DTO数据对象。
 */
public class JWTSubject {

	private String username;

	public JWTSubject() {
		super();
	}

	public JWTSubject(String username) {
		super();
		this.username = username;
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}
	
}

JWTUtils.java

package com.sxt.sso.commons;

import java.util.Date;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.ObjectMapper;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.SignatureException;

/**
 * JWT工具
 */
public class JWTUtils {
	
	// 服务器的key。用于做加解密的key数据。 如果可以使用客户端生成的key。当前定义的常亮可以不使用。
	private static final String JWT_SECERT = "test_jwt_secert" ;
	private static final ObjectMapper MAPPER = new ObjectMapper();
	public static final int JWT_ERRCODE_EXPIRE = 1005;//Token过期
	public static final int JWT_ERRCODE_FAIL = 1006;//验证不通过

	public static SecretKey generalKey() {
		try {
			// byte[] encodedKey = Base64.decode(JWT_SECERT); 
			// 不管哪种方式最终得到一个byte[]类型的key就行
			byte[] encodedKey = JWT_SECERT.getBytes("UTF-8");
		    SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
		    return key;
		} catch (Exception e) {
			e.printStackTrace();
			 return null;
		}
	}
	/**
	 * 签发JWT,创建token的方法。
	 * @param id  jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
	 * @param iss jwt签发者
	 * @param subject jwt所面向的用户。payload中记录的public claims。当前环境中就是用户的登录名。
	 * @param ttlMillis 有效期,单位毫秒
	 * @return token, token是一次性的。是为一个用户的有效登录周期准备的一个token。用户退出或超时,token失效。
	 * @throws Exception
	 */
	public static String createJWT(String id,String iss, String subject, long ttlMillis) {
		// 加密算法
		SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
		// 当前时间。
		long nowMillis = System.currentTimeMillis();
		// 当前时间的日期对象。
		Date now = new Date(nowMillis);
		SecretKey secretKey = generalKey();
		// 创建JWT的构建器。 就是使用指定的信息和加密算法,生成Token的工具。
		JwtBuilder builder = Jwts.builder()
				.setId(id)  // 设置身份标志。就是一个客户端的唯一标记。 如:可以使用用户的主键,客户端的IP,服务器生成的随机数据。
				.setIssuer(iss)
				.setSubject(subject)
				.setIssuedAt(now) // token生成的时间。
				.signWith(signatureAlgorithm, secretKey); // 设定密匙和算法
		if (ttlMillis >= 0) { 
			long expMillis = nowMillis + ttlMillis;
			Date expDate = new Date(expMillis); // token的失效时间。
			builder.setExpiration(expDate);
		}
		return builder.compact(); // 生成token
	}
	
	/**
	 * 验证JWT
	 * @param jwtStr
	 * @return
	 */
	public static JWTResult validateJWT(String jwtStr) {
		JWTResult checkResult = new JWTResult();
		Claims claims = null;
		try {
			claims = parseJWT(jwtStr);
			checkResult.setSuccess(true);
			checkResult.setClaims(claims);
		} catch (ExpiredJwtException e) { // token超时
			checkResult.setErrCode(JWT_ERRCODE_EXPIRE);
			checkResult.setSuccess(false);
		} catch (SignatureException e) { // 校验失败
			checkResult.setErrCode(JWT_ERRCODE_FAIL);
			checkResult.setSuccess(false);
		} catch (Exception e) {
			checkResult.setErrCode(JWT_ERRCODE_FAIL);
			checkResult.setSuccess(false);
		}
		return checkResult;
	}
	
	/**
	 * 
	 * 解析JWT字符串
	 * @param jwt 就是服务器为客户端生成的签名数据,就是token。
	 * @return
	 * @throws Exception
	 */
	public static Claims parseJWT(String jwt) throws Exception {
		SecretKey secretKey = generalKey();
		return Jwts.parser()
			.setSigningKey(secretKey)
			.parseClaimsJws(jwt)
			.getBody(); // getBody获取的就是token中记录的payload数据。就是payload中保存的所有的claims。
	}
	
	/**
	 * 生成subject信息
	 * @param subObj - 要转换的对象。
	 * @return java对象->JSON字符串出错时返回null
	 */
	public static String generalSubject(Object subObj){
		try {
			return MAPPER.writeValueAsString(subObj);
		} catch (JsonProcessingException e) {
			e.printStackTrace();
			return null;
		}
	}
	
}

JWTResponseData.java

package com.sxt.sso.commons;

/**
 * 发送给客户端的数据对象。
 * 商业开发中,一般除特殊请求外,大多数的响应数据都是一个统一类型的数据。
 * 统一数据有统一的处理方式。便于开发和维护。
 */
public class JWTResponseData {

	private Integer code;// 返回码,类似HTTP响应码。如:200成功,500服务器错误,404资源不存在等。
	
	private Object data;// 业务数据
	
	private String msg;// 返回描述
	
	private String token;// 身份标识, JWT生成的令牌。

	public Integer getCode() {
		return code;
	}

	public void setCode(Integer code) {
		this.code = code;
	}

	public Object getData() {
		return data;
	}

	public void setData(Object data) {
		this.data = data;
	}

	public String getMsg() {
		return msg;
	}

	public void setMsg(String msg) {
		this.msg = msg;
	}

	public String getToken() {
		return token;
	}

	public void setToken(String token) {
		this.token = token;
	}
	
}

JWTResult.java

package com.sxt.sso.commons;

import io.jsonwebtoken.Claims;

/**
 * 结果对象。
 */
public class JWTResult {

	/**
	 * 错误编码。在JWTUtils中定义的常量。
	 * 200为正确
	 */
	private int errCode;

	/**
	 * 是否成功,代表结果的状态。
	 */
	private boolean success;

	/**
	 * 验证过程中payload中的数据。
	 */
	private Claims claims;

	public int getErrCode() {
		return errCode;
	}

	public void setErrCode(int errCode) {
		this.errCode = errCode;
	}

	public boolean isSuccess() {
		return success;
	}

	public void setSuccess(boolean success) {
		this.success = success;
	}

	public Claims getClaims() {
		return claims;
	}

	public void setClaims(Claims claims) {
		this.claims = claims;
	}
	
}

JWTController.java

package com.sxt.sso.controller;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.sxt.sso.commons.JWTResponseData;
import com.sxt.sso.commons.JWTResult;
import com.sxt.sso.commons.JWTSubject;
import com.sxt.sso.commons.JWTUsers;
import com.sxt.sso.commons.JWTUtils;

@Controller
public class JWTController {

	@RequestMapping("/testAll")
	@ResponseBody
	public Object testAll(HttpServletRequest request){
		
		String token = request.getHeader("Authorization");
		JWTResult result = JWTUtils.validateJWT(token);
		
		JWTResponseData responseData = new JWTResponseData();
		
		if(result.isSuccess()){
			responseData.setCode(200);
			responseData.setData(result.getClaims().getSubject());
			// 重新生成token,就是为了重置token的有效期。
			String newToken = JWTUtils.createJWT(result.getClaims().getId(), 
					result.getClaims().getIssuer(), result.getClaims().getSubject(), 
					1*60*1000);
			responseData.setToken(newToken);
			return responseData;
		}else{
			responseData.setCode(500);
			responseData.setMsg("用户未登录");
			return responseData;
		}
		
	}
	
	@RequestMapping("/login")
	@ResponseBody
	public Object login(String username, String password){
		JWTResponseData responseData = null;
		// 认证用户信息。本案例中访问静态数据。
		if(JWTUsers.isLogin(username, password)){
			JWTSubject subject = new JWTSubject(username);
			String jwtToken = JWTUtils.createJWT(UUID.randomUUID().toString(), "sxt-test-jwt", 
					JWTUtils.generalSubject(subject), 1*60*1000);
			responseData = new JWTResponseData();
			responseData.setCode(200);
			responseData.setData(null);
			responseData.setMsg("登录成功");
			responseData.setToken(jwtToken);
		}else{
			responseData = new JWTResponseData();
			responseData.setCode(500);
			responseData.setData(null);
			responseData.setMsg("登录失败");
			responseData.setToken(null);
		}
		
		return responseData;
	}
	
}

index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
<script type="text/javascript" src="js/jquery.min.js"></script>
<script type="text/javascript">

function login(){
	var username = $("#username").val();
	var password = $("#password").val();
	var params = "username="+username+"&password="+password;
	$.ajax({
		'url' : '${pageContext.request.contextPath }/login',
		'data' : params,
		'success' : function(data){
			if(data.code == 200){
				var token = data.token;
				// web storage的查看 - 在浏览器的开发者面板中的application中查看。
				// local storage - 本地存储的数据。 长期有效的。
				// session storage - 会话存储的数据。 一次会话有效。
				var localStorage = window.localStorage; // 浏览器提供的存储空间。 根据key-value存储数据。
				localStorage.token = token;
			}else{
				alert(data.msg);
			}
		}
	});
}

function setHeader(xhr){ // XmlHttpRequest
	xhr.setRequestHeader("Authorization",window.localStorage.token);
}

function testLocalStorage(){
	$.ajax({
		'url' : '${pageContext.request.contextPath}/testAll',
		'success' : function(data){
			if(data.code == 200){
				window.localStorage.token = data.token;
				alert(data.data);
			}else{
				alert(data.msg);
			}
		},
		'beforeSend' : setHeader
	});
}

</script>
</head>
<body >
	<center>
		<table>
			<caption>登录测试</caption>
			<tr>
				<td style="text-align: right; padding-right: 5px">
				登录名:
				</td>
				<td style="text-align: left; padding-left: 5px">
				<input type="text" name="username" id="username"/>
				</td>
			</tr>
			<tr>
				<td style="text-align: right; padding-right: 5px">
				密码:
				</td>
				<td style="text-align: left; padding-left: 5px">
				<input type="text" name="password" id="password"/>
				</td>
			</tr>
			<tr>
				<td style="text-align: right; padding-right: 5px" colspan="2">
				<input type="button" value="登录" onclick="login();" />
				</td>
			</tr>
		</table>
	</center>
	<input type="button" value="testLocalStorage" onclick="testLocalStorage();"/>
</body>
</html>

 

Miracle_Gaaral
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
八幅漫画理解使用JSON Web Token设计单点登录系统
cruise技术博客
03-14 2483
上次在《JSON Web Token - 在Web应用间安全地传递信息》中我提到了JSON Web Token可以用来设计单点登录系统。我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统。 如果还没有阅读《JSON Web Token - 在Web应用间安全地传递信息》,我强烈建议你花十分钟阅读它,理解JWT的生成过程和原理。 用户认证八步走 所谓用户认证(Au
基于JSON Web Tokens的单点登录(SSO)或通行证(Passport)系统方案
陈海峰的博客
04-15 6299
首先简要介绍一下什么JWT(JSON Web Token)。 JWT是一种开放的,工业标准的规范,用于在两个应用之间安全地传输信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部部分 {   "alg": "HS256",   "typ": "JWT" } alg描述的是签名算法。 载荷部分 {   "iss": "该Token的签发者",   "sub
使用 JSON Web Token 设计 单点登录SSO)系统
HeatDeath的博客
01-28 2565
用户认证八步走 所谓用户认证(Authentication),就是让用户登录,并且在接下来的一段时间内让用户访问网站时可以使用其账户,而不需要再次登录的机制。 小知识:可别把用户认证和用户授权(Authorization)搞混了。用户授权指的是规定并允许用户使用自己的权限,例如发布帖子、管理站点等。 首先,服务器应用(下面简称“应用”)让用户通过Web表单将自己的用户名和密码发送
sso单点登录Jsonp
sdaujsj1的博客
07-22 1244
单点登录Jsonp SSO英文全称Single Sign On,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 例如天猫和淘宝 登陆一个网站 另一个网站不需要登陆 单点登录的主要问题在于session共享问题 要对session中进行统...
[笔记] JWT Java Json Web Token (一)
weixin_34402408的博客
10-22 113
为什么80%的码农都做不了架构师?>>> ...
hello-sso-jwt:带有JSON Web令牌(JWT)的单一登录(SSO)示例,Spring启动
02-05
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在本示例中,“hello-sso-jwt”...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录SSO)场景。本实例还原了整个的使用流程。建议使用vs2019,framework4.8版本。
Spring Security基于JWT实现SSO单点登录详解
08-25
基于 Spring Security 框架和 JWTJSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个用户名和密码在多个系统中登录。 SSO 的优点: * 提高...
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解是指使用JSON Web TokenJWT)来实现单点登录SSO)的机制。在这种机制中,用户只需要登录一次,就可以访问多个应用服务器上的资源,而不需要再次登录。下面是基于JWT实现SSO单点...
Node-Authentication-With-JWT:可使用jwtJSON Web令牌)处理身份验证的Nodejs api
02-13
可以使用JWT处理身份验证的NodeJs API。 技术栈: ...->快递 ... 令牌被设计为紧凑的,URL安全的,并且特别是在Web浏览器单点登录SSO)上下文中可用。 JWT声明通常可用于在身份提供者和服务提供者之间传
单点登录原理与简单实现
热门推荐
u011277123的博客
11-30 4万+
创未来 2016-11-29 16:09 一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资
用户登录设计之双token设计
CRMEB小程序商城的博客
12-02 5183
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token的过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要双token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
JWT(JSON Web Token)与SSO(Single Sign On)单点登录 - 理解
浴血重生-学习空间
09-29 3554
1. JSON Web Token (JWT) JWT 是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 1.1 使用场景 Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录...
Single Sign On (SSO),JSON Web Token (JWT) ,Spring Boot
https://gitee.com/micai-code
05-21 1197
摘要:这篇文章向您介绍了创建(SSO单点登录应用的过程,使用JSON Web TokenJWT)和Spring Boot实现的可伸缩认证示例。一:您将构建3个独立的服务1.micai-auth-service 身份验证服务:将部署在 localhost:80802.micai-resource-service 资源服务(为了简化,我们使用相同的代码基):将部署在localhost:8180 a...
Jwt-token
weixin_39406672的博客
12-22 155
1:登录账号密码与数据库验证。 package com.sxt.sso.commons; import java.util.HashMap; import java.util.Map; /** * 用于模拟用户数据的。开发中应访问数据库验证用户。 */ public class JWTUsers { private static final Map<String, String&...
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 2040
token 机制 关于**“双 token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
使用Json Web Token设计Passport系统
weixin_33720956的博客
08-05 126
一、Token Auth机制 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。 相比原始的Cookie+Session方式,更适合分布式系统的用户认证,绕开了传统的分布式Session一致性等问题。 基于Token的身份验证的主流程如下: 用户通过用户名和密码发送请求;程序验证;程序返回一个签名的token 给客户端;客户端储存token,并且每次用于...
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4253
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
jwt sso单点登录
最新发布
06-01
JWTJSON Web Token)是一种轻量级的身份验证和授权机制,可以用于实现 SSO(Single Sign-On)单点登录。 在使用 JWT 实现 SSO 单点登录时,用户登录后,认证中心会生成一个 JWT Token,并将 Token 发送给用户客户端。用户在访问其他应用时,只需要在请求头中携带 JWT Token,其他应用就可以通过验证 JWT Token 来判断用户的身份,从而实现单点登录。 需要注意的是,为了保证安全性,JWT Token 必须使用私钥签名,并且在每次验证时都需要对 Token 进行签名验证。同时,JWT Token 的有效期也需要控制在一定范围内,以保证安全性和用户体验的平衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值