什么是JWT

最新推荐文章于 2023-07-07 02:30:00 发布
最新推荐文章于 2023-07-07 02:30:00 发布
阅读量166 收藏
点赞数
文章标签: 前端 json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wobegone/article/details/126050118
版权

1. 什么是JWT

JWT本质是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。

2.JWT的认证流程如下:

  1. 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探
  2. 后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串
  3. 后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可
  4. 前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)

后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等
6.
验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果

在这里插入图片描述

3.JWT优势

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

4.Demo

4.1导入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
 
注意:JDK版本1.8以上 要导入下面的依赖
<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.0</version>
</dependency>
<dependency>
    <groupId>com.sun.xml.bind</groupId>
    <artifactId>jaxb-impl</artifactId>
    <version>2.3.0</version>
</dependency>
<dependency>
    <groupId>com.sun.xml.bind</groupId>
    <artifactId>jaxb-core</artifactId>
    <version>2.3.0</version>
</dependency>
<dependency>
    <groupId>javax.activation</groupId>
    <artifactId>activation</artifactId>
    <version>1.1.1</version>
</dependency>

4.2 编写测试用例

package com.itheima;

import io.jsonwebtoken.*;
import org.junit.jupiter.api.Test;

import java.util.Date;
import java.util.HashMap;

public class JWTTest {
    @Test
    public void generateJwtTest(){
        //1.定义数据
        HashMap hashMap = new HashMap();
        hashMap.put("userId", String.valueOf(12345));
        hashMap.put("phone", String.valueOf(1311111212));

        long now = System.currentTimeMillis();

        //2.创建jwt
        String token = Jwts.builder()
                //1.header 加密算法 2.playload 3.自定义字符串
                .signWith(SignatureAlgorithm.HS256, "renxu")
                .setClaims(hashMap)
                .setExpiration(new Date(now + 500000))
                .compact();
        System.out.println(token);
    }

    @Test
    public void paraseJwtTest(){
        String token ="eyJhbGciOiJIUzI1NiJ9.eyJwaG9uZSI6IjEzMTExMTEyMTIiLCJleHAiOjE2NTg4ODgyMDAsInVzZXJJZCI6IjEyMzQ1In0.5i6tr0DjJ8Fq00S9KopZCiRfE5ca3sxp-MngTCO3s4M";

        try {
            Claims claims = Jwts.parser()
                    .setSigningKey("renxu")
                    .parseClaimsJws(token)
                    .getBody();

            String userId = (String) claims.get("userId");
            String phone = (String) claims.get("phone");
            System.out.println(userId);
            System.out.println(phone);
        } catch (ExpiredJwtException e) {
            System.out.println("token失效");
        } catch (SignatureException e){
            System.out.println("token有误");
        }

    }

}
人形自动化bug脚本
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用JWT实现单点登录(完全跨域方案)
Helon的博客
09-10 19万+
首先介绍一下什么是JSON Web Token(JWT)? 官方文档是这样解释的:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密...
JWT攻击实战
不想当脚本小子的脚本小子
06-07 883
事情是这样的,这个 token 让我觉得很突兀,通常 token 要么用作身份凭证、要么用于防 CSRF,若是前者,就不应该与同样表示身份凭证的 cookie 同时存在,若是后者,通常为 16 位或 32 位的哈希值,而非用点号分隔的三段 base64。于是,我依次将每段解码: ...
什么是 JWT(Json Web Token)
wjiaman
10-27 979
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
什么是JWT(JSON Web Token)?
wzxue1984的博客
07-07 430
它通过数字签名来验证信息的合法性,并且具有自包含性,即它包含了足够的信息以供验证和识别。总结来说,JWT是一种安全的令牌传输方式,适用于跨系统间进行身份验证和授权,并提供了简便性、可扩展性和安全性等优势。JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。1. 无状态:服务器不需要在后端存储用户的会话信息,因为令牌中已经包含了所有必要的信息。3. 安全性:使用密钥对JWT进行签名,确保数据的完整性和真实性。2. 服务器验证用户身份,并返回一个包含JWT的令牌。
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
什么是JWT
Steve Wang's blog
03-14 2万+
什么是JWT?它的结构,工作方式,优点。
JWT 实战教程,什么是JWT
04-26
JWT 实战教程
JWT学习笔记
01-21
什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关处理。在数据传输过程中,JWT可以确保信息的安全和完整性。 JWT的结构 JWT由三部分...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
基于JWT.NET的使用(详解)
08-28
1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的...
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。它通过使用数字签名来确保数据的完整性和真实性。JWT在Spring Boot中的整合是常见的应用场景,尤其是在构建RESTful API时,它...
JWT
03-21
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWTs可以用于认证和授权,以及...
JWT爆破篡改工具-离线
最新发布
04-03
从爆破到篡改,完美闭环
使用JJWT实现JWT代码示例
学亮编程手记
03-21 892
Json web token(JWT)攻防
网安君的博客
05-09 912
JWT介绍 JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 “令牌使用私人秘密或公钥/私钥进行签名。例如,服务器可以生成具有“以管理员身份登录”声明的令牌并将其提供给客
JWT接口自动化工具类
莫名奇妙的战士
05-17 408
jwt自动化工具
jwt.rar_jwt
09-22
JWT,全称JSON Web Token,是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 已经被广泛用于实现...
什么是JWT token
05-18
JWT (JSON Web Token) 是一种基于 JSON 的安全传输标准,用于在网络上传递声明(例如用户身份信息和权限)。它是一种轻量级的认证方式,可以在客户端和服务器之间传递信息,并保持信息的完整性和安全性。JWT Token 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含 Token 的类型和加密算法,载荷包含需要传递的信息,签名用来验证 Token 的真实性和完整性。JWT Token 通常用于身份验证和授权,可以在 Web 应用中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值