JWT的使用

最新推荐文章于 2024-05-30 07:31:24 发布
最新推荐文章于 2024-05-30 07:31:24 发布
阅读量591 收藏
点赞数
分类专栏: JWT 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ScholarTang/article/details/104867979
版权

JWT

1.为什么要使用JWT

比方在一个商城系统中(这个商城为微服务架构),比如现在有这么这么几个服务:
eureka服务注册中心(端口10000)
用户服务(端口10001),
购物车服务(端口10002),
订单服务(端口10003),
zuul网关(端口9000)
其中购物车服务和订单服务需要在登录后才能访问,那么我们如何判断用户是否登录了呢?
我们可能会想到Session。Session是存储在服务器端,现在用户访问用户访问登录并在用户访问中存储了Session,那么我们需要考虑的是在其他服务我们能获取到这个Session吗?答案是不能,因为它们不是同一个服务,如果要访问其他服务需要自己实现Session共享!
这时候我们可以使用token来解决这个问题。在微服务架构中实现token的标准方案是JWT

2.JWT的简介

JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案!

Token官网:https://jwt.io

3.简单的介绍Token的数据格式

普通token:32位UUID
在这里插入图片描述
JWT生成的Token
在这里插入图片描述

如图所示JWT生成的token包含了三部分数据:

  • Header:头部,通常头部有两部分信息:
    • 声明类型type,这里是JWT(type=jwt)
    • 加密算法,自定义的(使用rs256/base64/hs256)

我们会对头部进行base64加密(可解密),得到第一部分数据

  • Payload:载荷,就是有效数据,一般包含下面信息
    • 用户身份信息userid,username(注意:这里因为采用base64加密是可以解密的,因此不要存放敏感信息)
    • 注册声明:如token的签发时间,过期时间,签发人等

这部分也会采用base64加密,得到第二部分数据

  • Signature:base64加密,签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的密钥(secret,盐。不要泄露,最好声明周期跟换),通过加密算法生成,用于验证整个数据完整和可靠

总结

1.JWT生成的token是一个有规则的
2.它有三部分组成:Header.payload.signature,每部分都是通过base64加密而成
3.JWT每个部分都是可以解密的

4.快速上手

1.项目结构

在这里插入图片描述

项目架构分析

在该微服务架构中一个有四个微服务,分别是:
1.auth-service:身份验证服务,该微服务主要用来对用户的身份进行验证以及生成token
2.eureka-server:服务注册中心
3.shopping_cart-service:购物车服务,处理购物车相关的业务
4.zuul-service:网关,用来实现间权,动态路由,负载均衡
common:相当于一个工具包,用来存放常被复用的类,例如:JWT工具类JWTUtil.java,接口响应对象Result.java接口响应对象,接口响应状态管理工具类StatusCode.java

在启动好个个微服务后,个个微服务会将自己注册到eureka当中,并将自己的地址信息交给eureka管理。在不同服务接口的调用不再是直接去访问对应访问中的接口,而是通过zuul网关的动态路由来访问访问中的接口,访问方式如下所举例:
localhost:9000/api/auth-service/auth/login
localhost:9000:网关服务的地址
/api:网关的前缀路径
auth-service:服务的名称
auth:该服务业务层的窄路径
login:对应的是业务层中的接口名
在网关中还会对请求进行鉴权。(在访问需要登录后的接口)
网关中集成了负载均衡,我们在配置文件中进行配置即可

实现的需求

发起请求,请求后端接口,在网关中对请求进行鉴权,(实际上就是在网关中编写了一个拦截器拦截请求),判断请求的uri,如果请求的是用户身份验证服务中的登录接口,直接放行,在该接口中对用户提交的登录信息进行验证,如果身份信息正确颁发jwt凭证,生成token,并将token响应到客户端存储在localStorage中,(客户端每次请求都会携带上这个token)如果失败响应错误信息。`
如果请求的uri不是指定被放行接口的uri,将会拦截该请求,通过HttpServletRequest获取头部信息中的token,判断token是否为空,如果不为空对token进行解析,解析成功放行,负责响应信息提示用户先登录再进行访问。

主要:我这里简单的模拟该需求,并没有使用到关系型数据MySQL

2.导入JWT相关依赖(common)
  	   <properties>
           <jjwt.version>0.7.0</jjwt.version>
           <joda-time.version>2.9.6</joda-time.version>
       </properties>
       
       <dependencies>
           <dependency>
               <groupId>io.jsonwebtoken</groupId>
               <artifactId>jjwt</artifactId>
               <version>${jjwt.version}</version>
           </dependency>
           <!-- https://mvnrepository.com/artifact/joda-time/joda-time -->
           <dependency>
               <groupId>joda-time</groupId>
               <artifactId>joda-time</artifactId>
               <version>${joda-time.version}</version>
           </dependency>
       </dependencies>
3.编写JWTUtil.java(common/com.jn.util.JWTUtil.java)

这个类主要是用来生成token和解析token

package com.jn.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.joda.time.DateTime;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;

/**
 * @Description: token工具类
 */
public class JWTUtil {


    /**
     * 获取token中的参数
     *
     * @param token
     *Z
     */
    public static Claims parseToken(String token, String key) {
        if ("".equals(token)) {
            return null;
        }

        try {
            return Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(key))
                    .parseClaimsJws(token).getBody();
        } catch (Exception ex) {
            return null;
        }
    }

    /**
     * 生成token
     *
     * @param userId
     * @return
     */
    public static String createToken(Integer userId,String username,String key, int expireMinutes) {
        //TODO
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        //生成签名密钥
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(key);

        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        //添加构成JWT的参数
        JwtBuilder builder = Jwts.builder()
                .setHeaderParam("type", "JWT")
                .setSubject(userId.toString())
                .claim("userId", userId) // 设置载荷信息
                .claim("username",username)
                .claim("age",23)
                .setExpiration(DateTime.now().plusMinutes(expireMinutes).toDate())// 设置超时时间
                .signWith(signatureAlgorithm, signingKey);
        //生成JWT
        return builder.compact();
    }
}
4.在zuul网关中编写拦截器,拦截请求(zuul-service/com.jn.filter.JWTFilter.java)
package com.jn.filter;


import com.jn.util.JWTUtil;
import com.netflix.zuul.ZuulFilter;
import com.netflix.zuul.context.RequestContext;
import com.netflix.zuul.exception.ZuulException;
import io.jsonwebtoken.Claims;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;

/**
 * @Author ScholarTang
 * @Date 2020/3/15 10:36 PM
 * @Desc 权限校验(过滤器)
 */

@Component
public class JWTFilter extends ZuulFilter {
    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 1;
    }

    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public Object run() throws ZuulException {

        RequestContext currentContext = RequestContext.getCurrentContext();

        HttpServletRequest request = currentContext.getRequest();

        String uri = request.getRequestURI();

        if (uri.contains("/login")) {
            System.out.println("无需拦截");
            return null;
        }

        String token = request.getHeader("authorization");
        if (token != null) {
            Claims claims = JWTUtil.parseToken(token, "user");
            if (claims != null) {
                return null;
            }
        }

        currentContext.setSendZuulResponse(false);
        currentContext.setResponseStatusCode(401);
        currentContext.setResponseBody("{'flag':'false','msg':'请登录'}");
        currentContext.getResponse().setContentType("text/html;charset=utf-8");
        return null;
    }
}
5.在用户身份验证服务中编写一个校验用户信息的接口(auth-service/com.jn.controller.AuthController.java)
package com.jn.controller;

import com.jn.domain.User;
import com.jn.util.JWTUtil;
import com.jn.vo.Result;
import com.jn.vo.ResultUtil;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;


/**
 * @Author ScholarTang
 * @Date 2020/3/15 10:36 AM
 * @Desc 处理用户登录业务
 */

@RestController
@RequestMapping("/auth")
public class LoginController {
	
	//正确的用户信息
    private final User USER_DATA = new User(1,"123","123");

    /**
     * 模拟登录的方法
     * @param user
     * @return
     */
    @PostMapping("/login")
    public ResponseEntity<Result> login (@RequestBody User user) {
        //简单的校验用户名和密码
        if (user.getAccount().equals(USER_DATA.getAccount())) {
            if (user.getPassword().equals(USER_DATA.getPassword())) {
                //生成token
                String token = JWTUtil.createToken(USER_DATA.getUid(), USER_DATA.getAccount(), "user", 30);
                return ResponseEntity.ok(ResultUtil.SUCCESSFUL(token));
            }
        }
        return ResponseEntity.ok(ResultUtil.FAILURE());
    }
}
6.在购物车服务中编写一个接口模拟获取当前用户的购物车中的商品信息这里我简单处理,只是为了模拟(shopping_cart-service/com.jn.controller.ShoppingCartController.java)
package com.jn.controller;

import com.jn.vo.Result;
import com.jn.vo.ResultUtil;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @Author ScholarTang
 * @Date 2020/3/15 11:04 AM
 * @Desc 处理购物车相关的业务
 */

@RestController
@RequestMapping("/shoppingCart")
public class ShoppingCartController {


    /**
     * 模拟获取所有购物车中的商品列表
     * @return
     */
    @GetMapping("/findAll")
    public ResponseEntity<Result> findAllShoppingCart(){
        return ResponseEntity.ok(ResultUtil.SUCCESSFUL("获取商品列表信息成功"));
    }
}
7.测试
1.在没有登录的情况下通过网关去调用shopping_cart-service服务中的接口,效果如图所示

在这里插入图片描述
分析

网关的拦截器中拦截了该请求(该请求的uri并不是制定被放行的uri),判断了该请求是否携带token,或者说它携带的token在拦截器中无法解析(解析方式是我定义的,该token使用我的解析方式无法解析),这时向客户端响应对应的提示信息

2.在用户进行登录后再去调用shopping_cart-service服务中的接口

1.登录
在这里插入图片描述
2.访问shopping_cart-service服务中的接口
在这里插入图片描述
结果

测试结果为预想结果,OK!

5.码云地址

https://gitee.com/Tang1314521/jwt-demo.git

Tang.Mr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
JSON Web Token 入门教程
12-19 812
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。
Java中Json web token (JWT)的使用
热门推荐
UserGuan的博客
08-29 2万+
JWT是什么? 使用JWT的好处 使用io.jsonwebtoken包的方式 pom.xml导入的jar包 User实体 JjwtUtil类 TestJjwt测试类 打印的结果 使用com.auth0包的方式 pom.xml文件 User实体使用上面的 JWTInterceptor拦截器 spring-context.xml配置文件 web.xml配置文件 JWTUti......
Java中JWT技术解析与实践:安全高效的身份认证
Innocence_0的博客
05-30 959
什么是JWTJSON Web Token)?JWT是一种用于身份验证和授权的开放标准(RFC7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用中进行身份验证。JWT有什么好处,能干啥?轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。
sso单点登录
sjgllllll的博客
03-04 1530
单点登录三种常见方式: 1.1. 单一服务器模式 早期单一服务器,用户认证。(session广播机制:session复制) 缺点:单点性能压力,无法扩展 1.2. SSO(single sign on)模式 分布式,SSO(single sign on)模式 1.在项目任何一个模块登录后,把数据放在两个地方:用redis+cookie (1)redis:在key生成唯一随机值(ip,用户id),在value中存储用户数据。 (2)cookie:把redis里面生成的key值放在cookie里面。 2.访
JSON Web Token (JWT)笔记(token实现单点登录功能)
qq_43813373的博客
04-05 2933
文章目录cookie(浏览器客户端)session(web服务端)单点登录三种方式 cookie(浏览器客户端) 百度百科-cookie(安全威胁) cookie是客户端技术,存储在本地浏览器中,每次发送请求带着cookie值发送。 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一
浅谈 Json Web Token
chrismurphy的博客
09-25 290
JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web TokenJWT)进行身份验证和授权。 什么是 JWTJSON Web TokenJWT)是一种用于身份验证和授权的 token。它是...
Laravel配合jwt使用的方法实例
01-19
测试使用的是Laravel5.5版本。 安装 composer require tymon/jwt-auth=1.0.0-rc.5 配置 生成配置 php artisan vendor:publish --provider=Tymon\JWTAuth\Providers\LaravelServiceProvider ...
fastify-jwt:用于Fastify的JWT实用程序
04-27
Fastify的JWT utils在内部使用 。 fastify-jwt支持Fastify @ 3。 fastify-jwt 支持Fastify @ 2。 安装 npm i fastify-jwt --save 用法 注册为插件。 这将使用标准的方法decode , sign和verify来装饰您的fastify...
详解JWT token心得与使用实例
10-16
例如,`{"typ": "JWT", "alg": "HS256"}` 表示这是一个JWT,并使用HS256算法进行签名。 - **有效载荷(Payload)**:包含了实际的数据,比如用户ID(userid)、签发者(iss)、签发时间(iat)和过期时间(exp)等...
JWT
weixin_44557427的博客
09-08 364
一、 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": ...
JWTjson+web+token>具体实现(后端)
f234344435的博客
05-04 789
前言:jwt介绍看我的上一篇博客,里面很详情的介绍jwt的基础知识与应用场景JWTjson+web+token)的详情与细节_@小杨爱偷懒的博客-CSDN博客 1.添加pox依赖: <!-- JWT生成Token--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version
使用 io.jsonwebtoken 实现token的生成与解码
GetcharZp的博客
12-31 9739
通过 jsonwebtoken 能够方便的生成token和进行token相关解码,参考文档:https://github.com/jwtk/jjwt#base64 ,详细的操作流程如下所示 导入io.jsonwebtoken依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifac...
JWT工具类封装JSON Web Token
摸鱼佬的博客
04-26 896
JWT工具类封装JSON Web Token一、maven依赖二、JWTUtil.java GitHub: link. 欢迎star 注意:本篇博客风格(不多比比就是撸代码!!!) 一、maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; import io.js...
weixin_35751412的博客
12-28 832
这些导入语句用于导入 JSON Web Token(JWT) 相关的类。 io.jsonwebtoken.Claims 类表示 JWT 中的载荷声明。载荷声明包含了 JWT 中包含的信息,如用户名、过期时间等。 io.jsonwebtoken.Jws 接口表示 JWT 的签名部分。 io.jsonwebtoken.Jwts 类提供了用于生成、解析和验证 JWT 的方法。 io.jsonwebto...
谷粒学院 P21 标题创建父项目时出现一系列Maven依赖爆红的解决办法
qq_50963067的博客
07-06 737
谷粒学院 P21 标题创建父项目时出现一系列Maven依赖爆红的解决办法 由于阿里云的部分依赖jar包未开源,所以导致Maven依赖无法直接导入,在IDEA中显示红色状态,那么解决办法是将这些jar包下载后,通过Maven命令的形式将jar包引入本地的Maven仓库 根据两位博主的解决办法,我在此提供本项目需要使用到的jar包 博主博客链接: https://blog.csdn.net/Airuiliya520/article/details/109017091 https://blog.csdn.net/
JWTJson Web Token)简介
crg18438610577的博客
04-01 1292
JWTJson Web Token)简介~
JSON WEB TOKEN从原理到实战(基于java)
Java搜索工程技术栈
06-18 792
JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。简称JWT,在HTTP通信过程中,进行身份认证。我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。因此需要对访问的客户端进行识别,常用的做法是通过session机制:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessio
hertz jwt使用
最新发布
07-24
Hertz JWT 使用通常涉及到在 API 开发中对访问控制、身份验证和授权的管理。JWT (JSON Web Token) 是一种开放标准,用于安全地传输数据作为令牌,并可以在客户端和服务端之间进行验证。当结合 Hertz 框架使用时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值