JWT(Json Web Token)

已于 2022-08-08 17:57:11 修改
阅读量929 收藏 2
点赞数 1
分类专栏: java web安全 json 文章标签: java json web安全
于 2022-08-08 16:15:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SteinsGate_zero/article/details/126229797
版权
java 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
web安全
1 篇文章 0 订阅
订阅专栏
json
1 篇文章 0 订阅
订阅专栏

一. JWT简介

Json Web Token,将用户数据通过json格式在client与server之间传输,并在传输过程中可加密、签名。

类似session保持登录状态。

原理:

在这里插入图片描述

用户使用"用户名/密码"请求服务器—>服务器验证"用户名/密码"—>服务器通过验证后,生成jwt(本质上就是json字符串)的header、payload、signature,并将jwt发送给用户—>客户端接收服务器返回的jwt,可存储在 Cookie 或 localStorage —>客户端每次与服务器通信,都要带上这个jwt—>服务端验证JWT的有效性后,返回数据。

应用场景:用户认证,尤其是单点登录(SSO,Single Sign On,在多个应用中,用户只需要登录一次,就可以访问所有相互信任的应用)。

二. JWT的结构

  • Header

    {
    "alg": "HS256"
    "typ": "JWT"
}
    • alg:为签名的算法,如RSAHS256
    • typ :令牌的类型,如JWT

  • payload

    要传输的数据,如用户数据,不建议包含敏感信息。

    {
    "id": "1",
    "name": "tom"
}

  • signature(签名):

    使用 header 和 payload 的base64编码,外加一个指定的 secret ,再利用 header 中指定的加密算法生成的字符串。

    作用:用于校验后端接收到的jwt是否有效。

三. 传统Session与JWT的对比

传统Session:

  • 优点:易于实现。
  • 缺点:
    • 在服务器中保存用户信息,当访问量多时,服务器内存压力大。
    • 不适合单点登录。

JWT:

  • 优点:

    • 以json加密形式保存在客户端,不占用服务端内存。
    • 适合移动端应用,如微信小程序等,没有 cookie ,但有 localStorage 。
    • 适合单点登录。
    • jwt的 payload 中可以存储一些常用信息,降低服务器查询数据库的次数。

  • 缺点:

    • 不利于用户修改密码:

      假设号被盗了,用户修改密码之后,盗号者在原 jwt 有效期内仍可以继续访问系统。

      解决:

      • 减少 jwt 的有效时间。
      • 将secret设计成和用户相关的属性,而不是所有用户公用的统一值,在用户注销或修改密码后,若 jwt 没有变化,由于 secret 不存在或改变,则无法完成校验。

    • 无法满足token续签的场景:

      传统的 cookie 续签方案一般都是开发框架自带的,如 session 有效期 30 分钟,30 分钟内如果有访问,session 有效期被刷新至 30 分钟。但是 jwt 本身的 payload 中也有一个 exp 过期时间参数,一旦 exp 修改,整个 jwt 串就变了( signature 是通过 payload + header + secret 生成的),所以jwt 不支持续签。

      解决:

      • 在服务端生成新 jwt ,再写回客户端。

四. 实现

1. 添加依赖

<!-- jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

2. 创建JWTUtils

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

public class JWTUtils {

    private static String secret = "hello";

    // 生成token
    public static String getToken(Map<String, String> map) {
        JWTCreator.Builder builder = JWT.create();

        // payload
        map.forEach(builder::withClaim);

        // Calendar instance = Calendar.getInstance();
        // instance.add(Calendar.DATE, 7);
        // // 指定令牌的过期时间,默认为7天
        // builder.withExpiresAt(instance.getTime());

        // signature,返回 jwt/token
        return builder.sign(Algorithm.HMAC256(secret));
    }

    // 验证jwt/token,若数据被修改过或过期都会抛出异常
    public static DecodedJWT verify(String token) {
        return JWT.require(Algorithm.HMAC256(secret)).build().verify(token);
    }
}

3. JWT校验

package org.example.interceptor;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.example.util.JWTUtils;
import org.example.vo.ResponseResult;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求头中的令牌
        String token = request.getHeader("token");
        System.out.println("拦截器:token:" + token);

        ResponseResult rs = new ResponseResult();
        try {
            JWTUtils.verify(token);

            return true;
        } catch (SignatureVerificationException e) {
            rs.setMsg("签名不一致");
        } catch (TokenExpiredException e) {
            rs.setMsg("令牌过期");
        } catch (AlgorithmMismatchException e) {
            rs.setMsg("算法不匹配");
        } catch (InvalidClaimException e) {
            rs.setMsg("失效的payload");
        } catch (Exception e) {
            rs.setMsg("token无效");
        }
        rs.setCode(401);

        // 响应到前端
        String json = new ObjectMapper().writeValueAsString(rs);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);

        return false;
    }
}

4. 应用

代码:

jwt/pom.xml:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.2</version>
        <relativePath/>
    </parent>

    <groupId>org.example</groupId>
    <artifactId>jwt</artifactId>
    <version>0.0.1-SNAPSHOT</version>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- jwt -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

jwt/src/main/java/org/example/util/JWTUtils.java:

package org.example.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

public class JWTUtils {

    private static String secret = "hello";

    // 生成token
    public static String getToken(Map<String, String> map) {
        JWTCreator.Builder builder = JWT.create();

        // payload
        map.forEach(builder::withClaim);

        // Calendar instance = Calendar.getInstance();
        // instance.add(Calendar.DATE, 7);
        // // 指定令牌的过期时间,默认为7天
        // builder.withExpiresAt(instance.getTime());

        // signature,返回 jwt/token
        return builder.sign(Algorithm.HMAC256(secret));
    }

    // 验证jwt/token,若数据被修改过或过期都会抛出异常
    public static DecodedJWT verify(String token) {
        return JWT.require(Algorithm.HMAC256(secret)).build().verify(token);
    }
}

jwt/src/main/java/org/example/interceptor/JWTInterceptor.java:

package org.example.interceptor;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.example.util.JWTUtils;
import org.example.vo.ResponseResult;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求头中的令牌
        String token = request.getHeader("token");
        System.out.println("拦截器:token:" + token);

        ResponseResult rs = new ResponseResult();
        try {
            JWTUtils.verify(token);

            return true;
        } catch (SignatureVerificationException e) {
            rs.setMsg("签名不一致");
        } catch (TokenExpiredException e) {
            rs.setMsg("令牌过期");
        } catch (AlgorithmMismatchException e) {
            rs.setMsg("算法不匹配");
        } catch (InvalidClaimException e) {
            rs.setMsg("失效的payload");
        } catch (Exception e) {
            rs.setMsg("token无效");
        }
        rs.setCode(401);

        // 响应到前端
        String json = new ObjectMapper().writeValueAsString(rs);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);

        return false;
    }
}

jwt/src/main/java/org/example/config/CustomMvcConfig.java:

package org.example.config;

import org.example.interceptor.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CustomMvcConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/test")
                .excludePathPatterns("/user/login");
    }
}

jwt/src/main/java/org/example/pojo/User.java:

package org.example.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@NoArgsConstructor
@AllArgsConstructor
@Data
public class User {

    private Integer id;
    private String username;
    private String password;
}

jwt/src/main/java/org/example/controller/UserController.java:

package org.example.controller;

import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.example.pojo.User;
import org.example.service.UserService;
import org.example.util.JWTUtils;
import org.example.vo.ResponseResult;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;

@RestController
@Slf4j
public class UserController {

    @Autowired
    private UserService userService;

    @PostMapping("/user/login")
    public ResponseResult login(@RequestBody User user) {
        try {
            User userDB = userService.login(user);

            Map<String, String> payload = new HashMap<>();
            payload.put("id", userDB.getId().toString());
            payload.put("username", userDB.getUsername());

            return ResponseResult.success(JWTUtils.getToken(payload));
        } catch (Exception e) {
            e.printStackTrace();
        }

        return ResponseResult.fail(401, "jwt校验失败");
    }

    @PostMapping("/user/test")
    public ResponseResult test(HttpServletRequest request) {
        String token = request.getHeader("token");
        System.out.println(token);

        DecodedJWT verify = JWTUtils.verify(token);

        String id = verify.getClaim("id").asString();
        String username = verify.getClaim("username").asString();

        log.info("用户id:{}", id);
        log.info("用户名:{}", username);

        return ResponseResult.success();
    }
}

jwt/src/main/java/org/example/service/UserService.java:

package org.example.service;

import org.example.pojo.User;

public interface UserService {

    User login(User user);
}

jwt/src/main/java/org/example/service/impl/UserServiceImpl.java:

package org.example.service.impl;

import org.example.pojo.User;
import org.example.service.UserService;
import org.springframework.stereotype.Service;

import java.util.Arrays;
import java.util.List;

@Service
public class UserServiceImpl implements UserService {

    @Override
    public User login(User user) {
        // 模拟数据库查询
        List<User> users = Arrays.asList(
                new User(1, "a1", "123"),
                new User(2, "a2", "456")
        );
        for (User u : users) {
            if (u.getUsername().equals(user.getUsername())
                    && u.getPassword().equals(user.getPassword())
            ) {
                return u;
            }
        }

        throw new RuntimeException("认证失败");
    }
}

jwt/src/main/java/org/example/vo/ResponseResult.java:

package org.example.vo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class ResponseResult {

    private int code;

    private String msg;

    private Object rs;

    private String token; // jwt

    public static ResponseResult success() {
        return new ResponseResult(
                200,
                "success",
                null,
                null
        );
    }

    public static ResponseResult success(String token) {
        return new ResponseResult(
                200,
                "success",
                null,
                token
        );
    }

    public static ResponseResult success(Object rs, String token) {
        return new ResponseResult(
                200,
                "success",
                rs,
                token
        );
    }

    public static ResponseResult fail(Integer code, String msg) {
        return new ResponseResult(
                code,
                msg,
                null,
                null
        );
    }
}

jwt/src/main/resources/public/login.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="jquery.min.js"></script>
    <script>
        let login = () => {
            $.ajax({
                url: '/user/login',
                type: 'post',
                data: JSON.stringify({
                    username: $('input[name=username]').val(),
                    password: $('input[name=password]').val()
                }),
                dataType: 'json',
                contentType: 'application/json;charset=UTF-8',
                headers: {
                    token: localStorage.getItem('token')
                },
                success(res) {
                    localStorage.setItem('token', res.token)
                    location.href = "success.html"
                }
            })
        }
    </script>
</head>
<body>
    <input name="username" placeholder="用户名"/> <br/>
    <input name="password" placeholder="密码"/> <br/>
    <input type="button" onclick="login()" value="登录"/>
</body>
</html>

jwt/src/main/resources/public/success.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="jquery.min.js"></script>
    <script>
        let f = () => {
            $.ajax({
                url: '/user/test',
                type: 'post',
                dataType: "json",
                headers: {
                    token: localStorage.getItem('token')
                },
                success(res) {
                    alert(res.msg)
                }
            })
        }
    </script>
</head>
<body>
    <input type="button" onclick="f()" value="测试"/>
</body>
</html>

jwt执行结果:

自行测试。

睡醒的人想拯救世界
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 4713
JSON Web Token (JWT)详解
什么是 JWTJson Web Token
wjiaman
10-27 934
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
十分钟,带你看懂JWTJson Web Token
最新发布
cul1n的博客
02-20 1276
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWTJWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
Tangzx_的博客
01-28 1354
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
jwt(JWT-Json-Web-Token)使用文档
weixin_56175042的博客
06-14 1427
Web中Cookie、session、jwt的详细说明,以及各个区别与联系和各优缺点。
JWT认证概念
蜗牛专栏
12-24 1792
JWT 介绍 JWTJSON Web Token,是用 JSON 形式安全传输信息的方法。 我们可以在jwt.io上在线解析 token,可以清楚看懂 JWT 的数据结构。 对 JWT 解码,可以得到以下内容: Header:TOKEN 的类型,就是JWT,签名的算法,如 HMAC、 SHA256 Payload:携带的信息,比如用户名、过期时间等,一般叫做 Claim Signature:签名,是由header、payload 和你自己维护的一个 secret 经过加密得来的。 JW..
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JWT-JSON Web Token實作分享1
08-08
JWT-JSON Web Token實作分享1
什么是 JWT -- JSON WEB TOKEN
zhoupenghui168的博客
02-10 224
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认
JwtJSON Web Token)
qq_62797382的博客
08-02 65
JSON Web Token (Jwt), 他是流行的跨域身份验证解决方案JWT的精髓在于: “去中心化”, 数据是保存在客户端的是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下:之后,当用户与服务器通信时,客户在请求中发回JSON对象为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名。JWT实际结构:它是一个很长的字符串,中间用点(.)分隔成三个部分。
了解JWT(Json Web Token)
qq_65567681的博客
04-17 733
JWT全称为JSON Web Token,是目前最流行的跨域身份验证解决方案。JWT是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可被加密。jjwt是一个提供JWT创建和验证的Java库。
JWTJson Web Token)详解
Vinjcent
09-09 1267
JSON Web TokenJWT)is an open standard()that defines a compact and self-contained way for securely transmitting information between parties as a JSON object.This information can be verified and trusted because it is digitally signed. JWTs can be signed us
JWTJSON WEB TOKEN
S_ZaiJiangHu的博客
08-26 461
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。......
JWTjson web token
努力学习,努力爱你!
07-22 1094
JWT,全称是JsonWebToken,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;https//jwt.iohttps我们最终可以利用jwt实现无状态登录在Web应用中,别再把JWT当做session使用,绝大多数情况下,传统的cookie-session机制工作得更好。...
JSON Web Tokens(JWT
小卡拉米的博客
12-10 1004
JWT 即:JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT 常用于代替 Session,用于识别用户身份。
认识JWT
anpinmao8082的博客
07-31 250
1. JSON Web Token是什么   JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorizat...
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睡醒的人想拯救世界

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值