Jwt介绍和使用

于 2024-10-02 23:12:11 发布
阅读量408 收藏 5
点赞数 5
文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XINLOVEBO/article/details/142675756
版权

JWT是什么

JWT(JSON Web Token)是一种用于进行身份验证和授权的开放标准,是基于JSON(JavaScript Object Notation)的一种轻量级的身份验证和授权机制。JWT使用一种紧凑且自包含的格式,将声明(claims)安全地传输于不同的应用之间。

JWT的结构

Header(头部)

  • 签名算法:声明签名所用的算法
  • 令牌类型:告诉接收方此令牌是JWT

Payload(负载)

1.注册声明(Registered Claims) 

一组预定义的声明,非强制的,但是推荐使用。包括:

  • iss(Issuer):签发人
  • exp(Expiration Time):过期时间
  • sub(Subject):主题
  • aud(Audience):受众
  • nbf(Not Before):生效时间
  • iat(Issued At):签发时间
  • jti(JWT ID):JWT的唯一标识

2.共有声明(Public Claims)

携带公共的数据,例如:用户状态、用户权限信息等

3.私有声明(Private Claims)

携带私有的数据,例如用户Id、临时授权码等

Signature(签名)

作用

  1. 防止篡改:签名可以确保JWT在传输过程中没有被篡改。如果攻击者试图修改JWT中的任何部分(包括头部、负载或签名本身),接收方在验证签名时将会发现不一致,从而拒绝该令牌。

  2. 验证发送者身份:当使用私钥进行签名时,只有持有对应公钥的一方才能验证签名的有效性。因此,签名可以用于验证发送者的身份。这是一种基于非对称加密的认证机制,确保只有持有私钥的合法发送者才能生成有效的JWT。

  3. 确保数据来源的可信性:签名提供了一种机制,使得接收方可以确信JWT是由一个可信的发送方生成的,而不是由一个恶意的第三方伪造的。

JWT使用

采用的Java 17,如果用的是Java 8或以下可以用 jjwt 依赖

Maven依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
</dependency>

具体实现

package org.example.demo.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import jakarta.servlet.http.HttpServletRequest;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import java.util.*;

@Component
public class TokenService {
    private static final Logger log = LoggerFactory.getLogger(TokenService.class);

    // 令牌自定义标识
    private final String header = "Authorization";

    // 令牌秘钥
    private final String secret = "ASO%#IB43hojas347-#^)&*^sabdjiDGgoui@#8^DF89sa68";

    // 令牌有效期(默认30分钟)
    private final int expireTime = 30;

    protected static final long MILLIS_SECOND = 1000;

    protected static final long MILLIS_MINUTE = 60 * MILLIS_SECOND;

    private static final Long MILLIS_MINUTE_TEN = 20 * 60 * 1000L;

    private final String userId = "userId";

    // 加密算法
    String encodedSecret = Base64.getEncoder().encodeToString(secret.getBytes());


    /**
     * 生成令牌
     *
     * @param userId 用户Id
     * @return JWT 字符串
     */
    public String createToken(Long userId) {
        // 头部
        Map<String, Object> header = new HashMap<>();
        header.put("typ", "JWT");
        header.put("alg", "HS256");

        // 私有声明
        Map<String, Object> claims = new HashMap<>();
        claims.put(this.userId, userId);

        return Jwts.builder()
                .setHeader(header) // 设置头部数据
                .setIssuer("example.com") // 设置签发者(注册声明)
                .setExpiration(new Date(System.currentTimeMillis() + expireTime * MILLIS_MINUTE)) // 设置过期时间(注册声明)
                .setSubject("User Token") // 设置主题(注册声明)
                .setAudience("all") // 设置接收者(注册声明)
                .setNotBefore(new Date(System.currentTimeMillis())) // 设置生效时间(注册声明)
                .setIssuedAt(new Date()) // 设置签发时间(注册声明)
                .setId(UUID.randomUUID().toString()) // 设置JWT ID(注册声明)
                .setClaims(claims) // 设置私有声明
                .claim("https://baiodu.com/roles", "admin") // 添加公共声明
                .signWith(Keys.hmacShaKeyFor(encodedSecret.getBytes()), SignatureAlgorithm.HS256)
                .compact();
    }

    /**
     * 从token中解析UserId
     *
     * @return UserId
     */
    public Long getUserId() {
        String token = getToken();
        if (token == null) {
            throw new RuntimeException("未携带token!或头属性名不为:" + header);
        }
        final Claims claims = parseToken(token);
        try {
            return Long.parseLong(String.valueOf(claims.get(userId)));
        } catch (NumberFormatException e) {
            throw new RuntimeException("解析用户ID失败", e);
        }
    }

    /**
     * 解析 JWT
     *
     * @param token JWT字符串
     * @return 数据声明
     */
    public Claims parseToken(String token) {

        return Jwts.parserBuilder()
                .setSigningKey(encodedSecret.getBytes())
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * 从请求头中获取token
     *
     * @return token or null
     */
    public String getToken() {
        final ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        if (attributes == null) {
            throw new RuntimeException("无法从当前线程获取请求属性!");
        }
        final HttpServletRequest request = attributes.getRequest();
        return request.getHeader(header);
    }

}

可能遇到的异常

解决方案

JWT报错 javax/xml/bind/DatatypeConverter解决办法_javax.xml.bind.datatypeconverter-CSDN博客

这个名字应该没人用吧
关注
jwt介绍和PHP的使用
shaoyangzhuanyong的博客
10-24 1107
适用于分布式单点登录(SSO)
JWT介绍和实践,带demo
03-03
3. **Signature**:由编码后的Header和Payload加上一个秘密(Secret)使用Header中指定的算法(如HMAC SHA256)计算得出,用于验证JWT的完整性和来源。 使用JWT的过程: 1. 用户成功登录后,服务端生成JWT,包含...
JWT介绍使用
wsb_2526的博客
04-27 930
payload和claims的概念在JJWT开源库中使用了,所以这里简单介绍一下。前面已经讲过了payload是一个JSON对象,包含了实际传输的数据。而Payload的主要目的是携带与特定用户或请求相关的信息,这些信息就被称为“claims”。Claims(声明)是Payload中包含的具体键值对数据项,它们用来表述特定的声明或声明集,这些声明描述了与JWT相关的事实。Reserved Claims(保留声明): 这些是JWT标准中预定义的、具有特殊含义的claims。
JWT和Token之间的区别
热门推荐
分享思想,留下痕迹。
11-24 14万+
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉✨特色专栏:🥭本文内容:JWT和Token之间的区别,欢迎大家访问📚个人知识库:,欢迎大家访问。
JWT基本概念和使用介绍
qiaotl的博客
08-23 3084
通过基本概念介绍和实际项目案例的方式讲解jwt使用,包括jwt的生成和验证以及如何通过redis来刷新jwt
JWT介绍及其基本使用
一名编程小白的Java学习日志
06-23 747
JWT介绍及其基本使用
JWT介绍使用
jerry的博客
01-22 960
JWT 介绍使用 简介 JSON WEB Token(JWT),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。 原理: 经过服务器认证之后,生成一个JSON对象,发回给用户,以后,用户域服务器之间通讯时,都要发回这个 JSON 对象。 JWT 的特点 (1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。 (2)JWT 不加密的情
JWT介绍和入门案例
生而为人我很抱歉
07-18 562
JWT全称为JSONWebToken,是目前最流行的跨域身份验证解决方案。JWT是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准。JWT特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可被加密。jjwt是一个提供JWT创建和验证的Java库。永远免费和开源(ApacheLicense,版本2.0),JJWT很容易使用和理解。jjwt的maven坐标...
JWT介绍使用
weixin_43790613的博客
02-13 3348
文章目录JWT数据结构headerpayloadsignature 作用:用户身份验证和数据信息交换 JWT数据结构 JWT的数据结构是:A.B.C,有英文字符点.来分割三部分数据 A - header 头信息 B -payload 有效荷载 C- signature 签名 header 数据结构:{“alg”:“加密算法名称”,“typ”:“JWT”} alg是加密算法名称,如HMACSHA256、RSA typ是token类型,这里固定为JWT payload 在payload数据块中一般记录实体(
JWT介绍和简单使用
Kings_boy的博客
11-25 571
基于传统的token认证 用户登录,服务端给返回token,并将token保存在服务端。------>以后用户再来访问时,需要携带token,服务端获取token后,再去数据库中获取token进行校验。 JWT官网:https://jwt.io/ jwt简介 jwt是指JSON Web Token,也就是JSON格式数据使用加密算法加密后按照一定规则生成的一个字符串token 。 官方解释:https://jwt.io/introduction/ jwt试用场景 ​ Authorization
JWT介绍使用
weixin_45526725的博客
06-01 492
一、什么是jwt ​ 来自官方的回答: ​ JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 ​ 虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。当使用公钥/
jwt简单的介绍和了解
10-27
JSON Web Token(JWT)是一种开放的标准(RFC ...总之,JWT提供了一种轻量级的身份认证机制,广泛应用于现代Web应用和API安全,但使用时需要权衡其优缺点,合理配置和管理JWT的生命周期,以确保系统的安全性和效率。
fastapi-jwt-auth:提供JWT Auth支持的FastAPI扩展(安全,易于使用和轻量级)
04-01
提供JWT Auth支持(安全,易于使用和轻量级)的FastAPI扩展,如果您熟悉flask-jwt-extended,此扩展适合您,则导致此扩展受flask-jwt-extended的启发 :grinning_face: 访问令牌和刷新令牌 新鲜代币 吊销代币 支持...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
JavaScript ArrayBuffer的读写与类型转换
最新发布
白瑕 的博客
10-01 262
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 594
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java开发指南」如何用MyEclipse为iPhone搭建Spring应用程序?
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
09-30 563
本教程将介绍如何用MyEclipse为iPhone搭建Spring应用程序,欢迎下载最新版IDE体验!
spring-boot 整合 mybatis
m0_72168501的博客
09-29 461
spring boot 整合 mybatis
Java内存布局
阿呆的专栏
10-01 703
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
drf中jwt使用和原理
05-18
Django Rest Framework(DRF)是一种基于 Django 的 Web 应用程序开发框架,它提供了许多工具和库,使得开发 Web API 更加容易。JWT 是一种基于 JSON 的 Web Token,它用于在网络应用程序和服务器之间传递声明以使身份验证和授权更加安全。在 DRF 中使用 JWT 可以使得 API 更加安全。 JWT 由三个部分组成:头部、载荷和签名。头部通常包含算法和令牌类型的信息,载荷通常包含用户标识信息和令牌的过期时间,签名则是根据头部、载荷和密钥生成的。 DRF 支持 JWT 验证,可以使用第三方库 djangorestframework-jwt 来实现。实现方式如下: 1. 安装 djangorestframework-jwt ``` pip install djangorestframework-jwt ``` 2. 添加 JWT 相关配置到 settings.py 中 ``` REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ], } JWT_AUTH = { 'JWT_SECRET_KEY': SECRET_KEY, 'JWT_ALGORITHM': 'HS256', 'JWT_VERIFY_EXPIRATION': True, 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=30), } ``` 3. 在 urls.py 中添加 JWT 相关路由 ``` from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token urlpatterns = [ url(r'^api-token-auth/', obtain_jwt_token), url(r'^api-token-refresh/', refresh_jwt_token), url(r'^api-token-verify/', verify_jwt_token), ] ``` 4. 在需要验证的视图中添加 @jwt_authentication_classes 装饰器 ``` from rest_framework.decorators import api_view, permission_classes, jwt_authentication_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) @jwt_authentication_classes def my_view(request): content = {'message': 'Hello, World!'} return Response(content) ``` 以上是 DRF 中使用 JWT 的简单介绍JWT 的原理是将用户标识信息和过期时间等信息进行编码,生成一个安全的 token,并将其传递给客户端。客户端在后续的请求中携带这个 token,在服务端进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值