JWT认证原理、流程整合springboot

已于 2022-01-19 20:54:31 修改
阅读量295 收藏
点赞数
分类专栏: java spring boot 设计模式 文章标签: spring boot java 后端
于 2022-01-19 19:10:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YL3126/article/details/122581557
版权
java 同时被 3 个专栏收录
86 篇文章 4 订阅
订阅专栏
spring boot
29 篇文章 0 订阅
订阅专栏
设计模式
7 篇文章 0 订阅
订阅专栏

文章目录

1、JWT 简介

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

  • 头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。
{“typ”:“JWT”,“alg”:“HS256”}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
  • 载荷(playload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

(1)标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

(2)公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

定义一个payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

  • 签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4i

2、整合spring boot

1、引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

2、封装JWT工具类(使用双重验证的单例模式,多线程模式下依然可用)

package com.dev.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

//多线程下的双重验锁机制
public class JWTUtils {
    private volatile static JWTUtils jwtUtils;
    private final static Integer SESSION_TTL=60;//过期时间一分钟
    private final static String SECRT="@#!saSSdshfvsswaa4621987";
    public static JWTUtils getJwtUtils(){
        if(jwtUtils==null){
            synchronized (JWTUtils.class){
                if(jwtUtils==null){
                    jwtUtils=new JWTUtils();
                }
            }
        }
        return jwtUtils;
    }

    //设置token
    public static String getTocken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,SESSION_TTL);//设置过期时间,单位为秒
        builder.withExpiresAt(instance.getTime());//过期时间设置为 60秒
        String sign = builder.sign(Algorithm.HMAC256(SECRT));//设置签名
        return sign;
    }

    //验证签名
    public static DecodedJWT verify(String token){
        DecodedJWT require = JWT.require(Algorithm.HMAC256(SECRT)).build().verify(token);
        return require;
    }
}

3、在网关(推荐)或者为微服务项目中定义JWT拦截器

package com.interceptors;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.dev.util.JWTUtils;
import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.log4j.Log4j2;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.*;
import java.security.SignatureException;
import java.util.HashMap;
import java.util.Map;

/**
 * gateway的JWT拦截器
 * 代码地址:https://gitee.com/chillyCUI/springboot-jwt-2020
 */
@Log4j2
public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, javax.servlet.http.HttpServletResponse response, Object handler) throws Exception {

        String token = request.getHeader("token");
        log.info("toker:[{}]", token);

        Map<String, Object> map = new HashMap<>();

        try {
            JWTUtils.verify(token);
            return true;
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg", "签名不一致");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "令牌过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不匹配");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            map.put("msg", "失效的payload");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token无效");
        }

        map.put("state", false);

        //响应到前台: 将map转为json
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}

4、配置JWT拦截器

package com.dev.config;

import com.dev.interceptors.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer{

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/index/getOrder")//添加需要验证的路由
                .excludePathPatterns("/index/setToken");//不需要验证的路由
    }
}

5、使用

package com.dev.app;

import com.auth0.jwt.interfaces.DecodedJWT;
import com.dev.entity.LogsEntity;
import com.dev.feign.IndexFeignS;
import com.dev.util.JWTUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.HashSet;
import java.util.List;
import java.util.Map;

@RestController
@RequestMapping("/index")
public class IndexController {

    @RequestMapping("/setToken")
    public String setToken(HttpServletRequest request){
        Map<String, String> map = new HashMap<>();
        map.put("userName",(request.getParameter("userName")!=null)?request.getParameter("userName").toString():"默认字符串");
        String str = JWTUtils.getJwtUtils().getTocken(map);
        return str;
    }

    @RequestMapping("/getOrder")
    public String mqInserts(HttpServletRequest request){
        String token = request.getHeader("token").toString();
        DecodedJWT verify = JWTUtils.getJwtUtils().verify(token);//验证token并获取 token里面的信息
        String name = verify.getClaim("userName").asString();
        return name;
    }

}

3、测试(postman)

1、模拟登录,获取token
在这里插入图片描述
2、在头信息中获取token
在这里插入图片描述

会飞的小蜗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT Claims
weixin_30745641的博客
08-17 1万+
JWT Claims “iss” (issuer) 发行人 “sub” (subject) 主题 “aud” (audience) 接收方用户 “exp” (expiration time) 到期时间 “nbf” (not before) 在此之前不可用 “iat” (issued at) jwt的签发时间 “jti” (JWT ID) jwt的唯一身份标识,主...
JWT认证原理流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
JWT令牌
a_318102020789的博客
08-07 159
JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz。将上边的内容使用Base64编码,得到一个字符串就是JWT令牌的第一部分。Jwt载荷部分可以存储业务相关的信息(非敏感的),例如用户信息、角色等。用来存储令牌要携带的数据。
Jwt
weixin_45174537的博客
09-06 1546
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 2. JWT的工作原理 1、是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:...
一文读懂JWT认证含使用教程
最新发布
八戒的博客
05-29 1136
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3801
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
SpringBoot集合JWT实现工具类
qq_25105163的博客
10-28 853
文章目录一、JWT是什么二、JWT构成三、SpringBoot集成JWT 一、JWT是什么 什么是JWT:Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA或ECDSA的公私秘钥对进行签名。 JWT如何获取访问令牌(token)并用于访问资源(API)流程:1、应用端向权限
SpringBoot2.2.6 整合Jwt实现前后端分离
04-23
5. **登录认证流程**: - 用户提交用户名和密码,后端验证成功后,生成JWT并返回给前端。 - 前端将JWT存储在Cookie或LocalStorage中,每次请求时附带JWT。 6. **授权保护资源**: - Spring Security的过滤器链会...
spring boot 整合JWT+shiro
10-09
在本文中,我们将深入探讨如何将`Spring Boot`与`JWT (JSON Web Token)`和`Shiro`框架整合,以实现安全的身份验证和授权管理。`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,...
JWT-SpringBoot
04-07
**JWT-SpringBoot** ...总的来说,JWT-SpringBoot整合提供了强大的身份验证和授权机制,让开发人员能够快速构建安全的RESTful API服务。了解并掌握这些知识点,对于构建高效、安全的现代Web应用程序至关重要。
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-05
**基于SpringBoot+SpringSecurity+JWT的权限管理系统Demo详解** 在现代Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本Demo以SpringBoot为核心框架,结合SpringSecurity进行安全...
JWT小工具
wjs_1997的博客
09-23 335
/** * The most handsome man. * User: jason.Wang * Date: 2020/9/23 * Time: 22:19 * Description: */ /** * JWT工具类 */ public class JwtUtil { //有效期为 public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000 一个小时 //设置秘钥明文 public st.
jwtspringboot实现
身体,灵魂,技术。总要有一个在前进
03-25 1065
什么是JWT JSON Web Token 通过数字签名的方式,以json对象为载体,在不同服务中端之间安全的传递信息。 JWT作用 JWT最常见的场景是授权登录,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都会先进行JWT安全验证,通过之后再进行处理,例如公司进出时的工牌 JWT的组成 JWT总共由三部分组成,并用.拼接 例如 sakakhvhhjasvx5as6xsaxxs51a6.xasyjxsvaxsa6545sx6asxbahvxshsx1a+saxsxn
JWT的学习和JJWT的使用
qq_47948345的博客
09-15 1225
jwt令牌的学习和在java中的整合应用
Java基础之《JWT使用》
csj50的专栏
11-07 3339
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token。
JWT工具类
qq_59066017的博客
10-27 1578
log.debug("Token过期时间:" + new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(expDate));//获取签名秘钥,并采用HS256的加密算法进行提签名。//根据name和type取中相应的value。//解析token中的数据载体部分。秘钥用于signature(签名)部分的加密和解密。//当前时间 + ttl = 过期时间。* ttl token的过期时间。//创建jwt字符串并返回。根据用户传入的ttl计算出过期时间。
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
热门推荐
weixin_42030357的博客
07-12 3万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一...
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9512
基于JWT实现简单的用户登陆验证
登录接口认证方式JWT
Aan___的博客
11-08 85
注:在 path 中,设置可以访问的接口路径。不设置接口路径,并直接访问会出现 401 无权限的问题。1.下载 npm i express-jwt@6。注:不是 @6 版本无法使用JWT。3.在app.js中生成 JWT。4.接口,登录成功返回token。2.在 app.js 中导入。
JWT工作原理流程
08-26
但是,我可以为你提供一个文字描述的JWT工作原理流程JWT(JSON Web Token)的工作原理主要包含三个步骤: 1. 认证:用户在登录时,使用用户名和密码向服务器发送身份验证请求。服务器验证用户的凭据,并生成一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会飞的小蜗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值