JWT认证原理、流程整合springboot

已于 2022-01-19 20:54:31 修改
阅读量399 收藏
点赞数
分类专栏: java spring boot 设计模式 文章标签: spring boot java 后端
于 2022-01-19 19:10:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YL3126/article/details/122581557
版权

文章目录

1、JWT 简介

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

  • 头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。
{“typ”:“JWT”,“alg”:“HS256”}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
  • 载荷(playload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

(1)标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

(2)公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

定义一个payload:

{
   "sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

  • 签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4i

2、整合spring boot

1、引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

2、封装JWT工具类(使用双重验证的单例模式,多线程模式下依然可用)

package com.dev.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

//多线程下的双重验锁机制
public class JWTUtils {
   
    private volatile static JWTUtils jwtUtils;
    private final static Integer SESSION_TTL=60;//过期时间一分钟
    private final static String SECRT="@#!saSSdshfvsswaa4621987";
    public static JWTUtils getJwtUtils(){
   
        if(jwtUtils==null){
   
            synchronized (JWTUtils.class){
   
                if(jwtUtils==null){
   
                    jwtUtils=new JWTUtils()
最低0.47元/天 解锁文章
会飞的小蜗
关注
专栏目录
Jwt
玉姬的博客
10-12 825
JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:1...
JWT Claims
热门推荐
weixin_30745641的博客
08-17 1万+
JWT Claims “iss” (issuer) 发行人 “sub” (subject) 主题 “aud” (audience) 接收方用户 “exp” (expiration time) 到期时间 “nbf” (not before) 在此之前不可用 “iat” (issued at) jwt的签发时间 “jti” (JWT ID) jwt的唯一身份标识,主...
jwt认证机制优势和原理_理解JWT(JSON Web Token)认证及实践
weixin_39716510的博客
11-23 447
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT认证方式。这一篇主要内容是 JWT认证原理,以及python 使用 jwt 认识的实践。#python# #Python# #JSON# #认证#几种常用的认证机制HTTP Basic AuthHTTP Basic Auth 在HTTP中,基本认证是一...
Session、Token、Jwt、Oauth2 区别和原理详解
arispy的博客
03-17 6900
1.认证Authentication) 通俗的说就是验证当前用户的身份,证明你是你自己。 2.授权(Authorizatio) 用户授予第三方应用访问该用户某些资源的权限。 实现授权的方式分为: cookie session token OAuth 3.什么是Cookie HTTP是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是独立的,服务端无法分辨上一次的请求发...
JWT4B:Burp Suite的JWT安全利器
最新发布
gitblog_00246的博客
09-14 355
JWT4B:Burp Suite的JWT安全利器 JWT4B 项目地址: https://gitcode.com/gh_mirrors/jw/JWT4B 项目介绍 JWT4...
JSON web token@04#JWT Claims
五石之瓠 以为大樽 浮于江湖 悠笑人生
12-28 7476
4. JWT ClaimsJWT Claims Set 表示一个 JSON 对象,它的成员是 JWT 传输的 claims。JWT Claims Set 中的 Claim Names MUST 是唯一的; JWT 解析器 MUST 拒绝拥有重复 member name 的 JWTs,或者使用 JSON 解析 只返回 重复的成员 name 的最后一个词汇,就像规范 ECMAScript 5.1 [EC
JWT
P_YUX的博客
09-08 629
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “20...
JWT认证原理流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
一、JWT认证原理流程整合springboot实战应用
Garry
11-12 440
前言: 学习过程观看视频:编程不良人[JWT认证原理流程整合springboot实战应用,前后端分离认证的解决方案!] https://www.bilibili.com/video/BV1i54y1m7cP?p=1 欢迎大家支持噢,很良心的老师了 以下内容均为个人学习笔记,若有错误望各位大佬不吝赐教 一、什么是jwt? 二、jwt能做什么? 三、为什么使用jwt 传统的Session认证 例如: 自己搭建一个简单的springboot项目,编写一个简单的测试方法。 我们用postman测试,第一次
JWT认证原理和与SpringBoot整合
qq_47142993的博客
10-11 3973
JWTJWT代码1 什么是JWT1.翻译2.通俗解释2 JWT能做什么1.授权2.信息交换3 为什么是JWT3.1 基于传统的Session认证1.认证方式2.认证流程3.暴露问题3.2 基于JWT认证1.认证流程2.jwt优势4 JWT的结构是什么1.令牌组成2.Header3.Payload4.Signature签名目的信息安全问题5.放在一起5 使用JWT1.引入依赖2.生成token3.根据令牌和签名解析数据4.常见异常信息6 封装工具类7 整合springboot1.搭建环境2.开发数据库3.开发
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1488
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
JWT实现token-based会话管理
weixin_34050005的博客
11-24 261
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT的技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话...
Spring Authorization-自定义JWT中携带的claims与资源服务jwt解析器
qq_33240556的博客
07-18 439
Spring Authorization Server允许你自定义JWT令牌中包含的信息。这通常通过实现一个JwtEncoderbean来完成,特别是当你使用的是JWT令牌作为访问令牌时。// 添加自定义claims claims . claim("custom_claim" , "custom_value");
jwt
断雨的博客
08-17 828
jwtjwt的简介JWT组成JWT实现登录验证 jwt的简介 JSON Web Token (JWT),它是目前最流行的 跨域身份验证 解决方案 JWT的 精髓 在于:“去中心化”,数据是保存在客户端的。 JWT的 工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Ex...
jwt *
qq_59025975的博客
11-16 1459
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt出现的原因及工作原理 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 ①. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Cho...
Springboot 关闭或绕过 jwt用户验证
u010076659的博客
05-27 6826
Springboot绕过jwt用户验证,直接访问后台接口的方法。总结了两种方法: 关闭jwt 简单粗暴,关闭jwt之后,所有接口都对外开放,谨慎使用。方法如下: 在 启动类上添加注解: @EnableAutoConfiguration(exclude = { org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class }) 在 配置类WebSecurityConfigurerAdapte
SpringBoot整合JWT实现认证详解
"本文将详细介绍如何在SpringBoot项目中整合JWT技术进行用户认证。" JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会飞的小蜗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值