[JWT][JAVA]JSON Web Tokens的简单使用(java-jwt)

最新推荐文章于 2024-07-09 09:57:35 发布
最新推荐文章于 2024-07-09 09:57:35 发布
阅读量3.4k 收藏 1
点赞数 2
分类专栏: 网站|服务器|网络|通信 JAVA 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shenpibaipao/article/details/88431445
版权
本文详细介绍了JWT的原理和结构,包括JWT的头部、载荷和签名三部分,并提供了Java环境下使用java-jwt库的实践样例代码,帮助理解JWT在认证和信息交换中的应用。
摘要由CSDN通过智能技术生成

文章目录

前导

前一篇中介绍了Token的机制以及一个简单实现了一个Token管理类。
这篇中介绍的是现有的工业化框架—— JWT (JSON Web Tokens)。

JWT简介

什么是JWT

概括来说,JWT是一种符合RFC 7519工业体系设计的、基于JSON对象的、利用RSA等算法签发的Token框架/标准。

  • JWT在通常情况下,并不对Token数据进行加密(和上一篇中简单利用数字摘要技术产生的Token不同,JWT签发的Token是可以进行逆向解码的),只关注于Token令牌本身的签发时效性、完整性、合法性。
  • JWT同样可以利用加密手段对Token进行签发。但通常来说并不推荐这么做,相比于利用HTTP传递一个经过JWT加密的Token,更好的做法是利用HTTPS传递一个Token。同时也不建议在JWT签发的Token中传递敏感信息——但合理的利用加密Token传递数据可以有效减轻服务器负载。

对于JWT,它的通用环境主要有两种:

  • 认证:广泛应用于分布式集群网络、跨域访问和单页面应用等。
  • 信息交换:尽管这不是个很安全的做法,但合理利用JWT,基于数据层安全协议可以有效减轻服务器频繁读取所造成的负载。

注:官方对此有更详细的说明:

  • Authorization: This is the most common scenario for using JWT. Once the user is logged in, each subsequent request will include the JWT, allowing the user to access routes, services, and resources that are permitted with that token. Single Sign On is a feature that widely uses JWT nowadays, because of its small overhead and its ability to be easily used across different domains.
  • Information Exchange: JSON Web Tokens are a good way of securely transmitting information between parties. Because JWTs can be signed—for example, using public/private key pairs—you can be sure the senders are who they say they are. Additionally, as the signature is calculated using the header and the payload, you can also verify that the content hasn’t been tampered with.

跨语言的特点

JWT是一套框架和标准,其实现含有JavaPythonC#Node.js,每种语言也有不同的实现库。因此,基于JWT可以实现跨语言的Token签发、认证、解码。

Ref: JWT.IO-Libraries for Token Signing/Verification

主体结构

JWT的主体结构为:

  • Header
  • Payload
  • Signature

习惯上分别将之称作头部、载荷、签名。

大部分时候,我们在代码中只关心头部中的加密算法和载荷中的信息。

1 头部(Header)

头部主要包含两类信息,加密算法(alg)和令牌签发类型(typ),一个示例如下:

{
   
  "alg": "HS256",
  "typ": "JWT"
}
  • 注意:出于简洁和数据传输时的开销考虑,每个JSON字符串的索引都是三个字符的缩写,如alg(algorithm)。

2 载荷(Payload)

  • 载荷是我们在编程中需要着重关注和实现的地方。

载荷包含三种声明域(Claims):

  1. 签发域(Registered claims)

Ref:签发域标准——RFC 7519:Registered Claim Names

签发域是我们需要着重关注和了解的第一个域。其中重中之重主要有四个:iss(issuer),exp(expiration time),sub(subject),aud(audience)。但此处将会把每一个都罗列:

缩写 子域名 说明
iss Issuer *(必需项) 签发此Token的发行者,如 CSDN
sub Subject 标识主体,用于识
最低0.47元/天 解锁文章
身披白袍
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2872
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web TokenJWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
jwt-java:JSON Web Tokens的简单java实现
06-18
JSON Web Tokens(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
java使用JWT
男儿当自强
01-04 7082
JWTJSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
Java实现JWT认证的完整指南:如何从零开始构建安全认证系统
最新发布
weixin_46372265的博客
07-09 430
JWT是一种基于JSON的开放标准,用于在各方之间作为JSON对象安全地传输信息。它特别适合于在无状态环境中(如RESTful API)进行身份验证和信息交换。通过以上步骤,我们成功地在Java中实现了基于JWT的身份认证系统。这个系统具有高度的安全性和扩展性,适用于各种需要身份认证的应用场景。希望这篇文章对大家有所帮助,如果你觉得这篇文章对你有所帮助,欢迎关注我的博客。未来,我会继续分享更多关于Java开发的干货。让我们一起在技术的道路上不断探索,勇往直前!
JWT的认识以及使用
weixin_43840538的博客
08-26 243
互联网用户认证一般就是,用户向服务端发送用户名和密码,服务端通过验证后存入session,并向用户返回session_id,写入用户的cookie,而后用户的每次请求都会通过cookie返回一个session_id, 服务器通过这个ID进行身份认证。 问题 :这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据...
JavaJWT使用方法
LX_LE的博客
07-13 2572
JavaJWT使用方法
Java 整合JWT
czxy_xingchen的博客
04-23 435
JWT,全称是JSON Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;Token需要加密,进行保护,采用RSA加密。
actix-web-rest-api-with-jwt使用Actix-web,Diesel和JWT简单CRUD后端应用程序
02-05
这是一个基于Rust编程语言构建的后端应用程序,利用了Actix-web、Diesel和JWTJSON Web Tokens)技术,实现了RESTful API接口的创建、读取、更新和删除(CRUD)功能。以下是对这些技术及其在项目中的应用的详细解释...
JSON Web Tokens的实现原理
09-21
### JSON Web Tokens (JWT) 的实现原理 #### 一、前言 随着互联网技术的发展,安全性和便捷性成为了网络通信的重要考量因素。JSON Web Tokens(JWT)作为一种轻量级的数据交换标准,它允许以安全的方式来传输信息...
koa-jwt-login:使用json web令牌作为身份认证
02-03
`Koa`是Node.js的一个轻量级、高效的Web框架,而`JWTJSON Web Tokens)`则是一种流行的身份验证标准。本篇文章将深入探讨如何在`Koa`应用中利用`JWT`进行用户登录认证。 首先,我们来理解`JWT`的基本概念。`JWT`...
delphi-jose-jwt:JOSE(JSON对象签名和加密)和JWTJSON Web令牌)的Delphi实现
04-30
JWTJSON Web令牌)和JOSE(JSON对象签名和加密)规范套件的实现。 该库通过几种JOSE算法支持JWS(已计划JWE支持)紧凑序列化。 :books: 有关使用Delphi-JOSE的文章 -JWT和身份验证技术介绍(使用Delphi) -...
java-jwtJSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
java-jwt-3.8.1.jar
05-07
java-jwt-3.8.1.jar下载
java-jwt:3.7.0备份
03-12
java-jwt 3.7.0的jar包备份,由于用maven下载还多一道工序,因此直接编译成jar包方便简单导入。 用于教学和试用。 https://github.com/auth0/java-jwt
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token
xp-express-json-web-tokens:使用 express-jwt 进行基于 JWT 的身份验证的实验
06-19
通过 express-jwtjsonwebtoken 模块在 Express 中使用 JSON Web 令牌的示例。 Apache 2.0 许可证。 服务端在application.js ,示例客户端在client.js 。 该死的! 我是程序员 Jim,不是安全专家。 如果您正在做...
Java - JWT简单介绍和使用
Zong_0915的博客
11-06 9018
目前自己在做一个云直播个人项目,后端架构是微服务,目前准备用JWT来做Token的校验。借此机会来复习和学习一遍JWT的相关知识。
什么是JWTjava中如何使用JWT
qq_44137182的博客
05-10 1192
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 扩展 在JWT之前,需要了解一下基于token的认证和传统的session认证的区别。 传统的.
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 864
什么是JWT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值