jwt的概念、非对称加密与对称加密(详细介绍)

已于 2024-02-26 15:03:24 修改
阅读量1.8k 收藏 32
点赞数 41
分类专栏: web开发 登录校验 文章标签: 安全 java web安全 后端 jwt 对称加密 非对称加密
于 2023-11-22 19:14:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YYVeryGood/article/details/134559243
版权

什么是jwt?

JWT是一种用于身份验证和信息传输的开放标准,它的全称是JSON Web Token。

JWT的格式是一个由三部分组成的字符串,分别是头部(header)、载荷(payload)和签名(signature)。头部和载荷都是JSON对象,经过Base64编码后拼接在一起,然后用一个点号(.)分隔。而签名是对头部和载荷进行加密后的结果,用于验证JWT的完整性和来源。

举例说明

  1. 头部(Header):

    头部包含了关于 JWT 的元信息,比如使用的加密算法("alg")和令牌类型("typ")。在示例中,使用了 HS256 算法进行签名。

    • 原本形式:{"alg": "HS256", "typ": "JWT"}
    • Base64 编码后的形式:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

  2. 载荷(Payload):

    载荷包含了实际的信息,例如用户的身份、用户的角色等。在示例中,包含了用户的主题("sub")、姓名("name")和令牌的签发时间("iat")等信息。

    • 原本形式:{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}
    • Base64 编码后的形式:eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

把头部和载荷分别用Base64编码,然后用一个点号(.)连接在一起,形成一个字符串,例如:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

  1. 签名(Signature):

    • 用一个密钥(对称加密)或者私钥(非对称加密)对这个字符串进行加密,生成一个新的字符串,例如:SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

最后,把这个新的字符串也用一个点号(.)连接到原来的字符串后面,形成最终的JWT,例如:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

为什么要使用jwt?

因为好用呀

  • JWT是基于JSON的,可以在不同的平台和语言之间轻松地传递和解析。
  • JWT是无状态的,不需要在服务端保存用户的会话信息,减少了服务端的负担和资源消耗。那什么是有状态的呢,就比如用session来存储用户的信息
  • JWT的签名保证了令牌的完整性和真实性,防止了信息被篡改或伪造。同时,JWT也可以使用加密算法来保护敏感信息,确保令牌只能被可信的接收方解密。
  • JWT可以在载荷中添加自定义的声明,携带更多的用户信息和相关权限,满足不同应用的需求。

如何使用jwt?

首先得把依赖导入进来

    <!--jwt令牌-->
         <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

/**
 * JWT工具类
 */
public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "sangeng";


    /**
     * 唯一标识
     * @return
     */
    public static String getUUID(){
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }

    /**
     * 拿到jwt构建对象
     * @param subject      主题  可以是JSON数据
     * @param ttlMillis     过期时间
     * @param uuid          唯一的ID
     * @return
     */
    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("sg")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);
    }
    
    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }


}

现在就可以开始使用了,例如

 public static void main(String[] args) throws Exception {
        // 拿到jwt
        String jwt = JwtUtil.createJWT("涵哥爱编程");
        System.out.println("jwt: " + jwt);
        /* 结果
        jwt: eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI3Y2Y3MTU5NDdmMDE0ZjcwOTJhMjIyZGRmODBlNTVlNiIsInN1YiI6Iua2teWTpeeIsee8lueoiyIsImlzcyI6InNnIiwiaWF0IjoxNzAwNjUwNDk5LCJleHAiOjE3MDA2NTQwOTl9.DBmdzYr1WTnZKikRaHOuFrTTvlkeGMoIaznQkdk6VuM
         */

        // 我们通过密钥来解析
        Claims claims = JwtUtil.parseJWT(jwt);
        // 拿到我们的数据
        System.out.println(claims);// {jti=7cf715947f014f7092a222ddf80e55e6, sub=涵哥爱编程, iss=sg, iat=1700650499, exp=1700654099}
    }

什么是对称加密?

  • 假设你是一个客户端,你想要向服务器发送一封信,这封信就是JWT,它包含了你的身份和信息。你不想让别人看到你的信,所以你需要给你的信加上一个锁,这个锁就是密钥,它可以保护你的信不被篡改或者窃取。
  • 如果你使用对称加密,那么你和服务器需要使用同一个锁,也就是同一个密钥。你用这个密钥给你的信加锁,然后把信寄给服务器。服务器收到你的信后,用同一个密钥给你的信解锁,然后读取你的信。这样,你和服务器就可以安全地通信了。
  • 但是,这种方法有一个问题,那就是你和服务器如何共享这个密钥呢?如果你把密钥也寄给服务器,那么别人可能会截取你的密钥,然后用它来打开你的信。如果你用其他的方式来传递密钥,那么也可能会有风险,因为你不知道中间有没有人在监听你们的通信。所以,对称加密的安全性取决于密钥的保密性,如果密钥泄露,那么你的信就不安全了。

什么是非对称加密?

  • 如果你使用非对称加密,那么你和服务器不需要使用同一个锁,而是使用一对锁,也就是一对密钥。这对密钥有一个特点,就是它们是互相匹配的,一个可以锁住,另一个可以解开,但是不能互换。我们把可以锁住的密钥叫做公钥,把可以解开的密钥叫做私钥。私钥是私有的,只有你自己知道,公钥是公开的,可以给任何人。
  • 你用非对称加密给你的信加锁的方法是这样的:首先,你向服务器请求它的公钥,服务器会把它的公钥寄给你。你收到服务器的公钥后,用它给你的信加锁,然后把信寄给服务器。服务器收到你的信后,用它自己的私钥给你的信解锁,然后读取你的信。这样,你和服务器就可以安全地通信了。
  • 这种方法的优点是,你不需要和服务器共享密钥,你只需要用服务器的公钥来加密你的信,服务器只需要用自己的私钥来解密你的信。即使别人截取了你的信,或者服务器的公钥,他们也无法打开你的信,因为他们没有服务器的私钥。所以,非对称加密的安全性取决于私钥的保密性,只要私钥不泄露,那么你的信就安全了

喜欢博主的求点一波关注!之后会分享更多的开发知识(详细教学),让我们一起进步!!

涵哥爱编程
关注
  • 41
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JWT加密算法原理及实现
禅与计算机程序设计艺术
10-03 1153
作者:禅与计算机程序设计艺术 1.简介 JSON Web Token(JWT)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。该规范允许用户将登录 credentials 和 session state 作为 JSON 对象进行加密,这些信息可以被验证但无
前台加密后台解密-非对称RSA加密方式-(支持中文)
07-04
项目采用servlet编写,简单明了,前台对数据进行公钥加密,后台用私钥进行解密,并且支持中文加密,项目运行后地址为: http://localhost:8082/rsa/rsaser?worktype=turn 端口号视情况而定
JWT的加密解密
最新发布
weixin_53520295的博客
06-13 1183
JWT的加密解密
916、常见题
m0_64848887的博客
09-19 256
五种数据类型分别是String(字符串),hash(哈希),list(列表),set(集合)及sort set(有序集合)注册中心挂掉之后服务还能用,每次从注册中心拉取服务的注册信息,都会缓存到本地,能用的时间取决于设置的心跳检测的时间。​ 使用string进行修改,需要先进行反序列化,在修改(增大了开销,不适应于并发场合)没有注册中心,需要将ip+端口号写在配置文件中,每次修改和增加东西,都需要去修改配置文件。注册中心的作用就是存放和调用服务,它记录了服务和服务地址的映射关系。jwt采用的是非对称加密
JWT&对称加密&非对称加密
小宝儿的学习之路
03-01 9996
JWT JWT原理图: JWT的数据结构 jwt头:JWT头部分是一个描述JWT元数据的JSON对象 有效载荷:七个默认字段+自定义私有字段 签名=HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret JWT由头部(header)载荷(payload)签证(sign)三部分构成 jwt的头部包含两部...
SpringSecurity(二十四)--OAuth2:使用JWT和加密签名(下)非对称密钥加密
学习不止境的博客
12-30 2124
由于上文对称密钥涉及到的内容比较多,所以这一节的非对称密钥加密拆开成这一节单独讲解。 所以大家尽量先阅读完上一章的内容后再浏览这一章内容会更好。本节将实现OAuth2身份验证的一个示例,其中授权服务器和资源服务器会使用一个非对称密钥对来对令牌签名和验证令牌。有时只让授权服务器和资源服务器共享一个密钥的做法是不可行的。通常,如果授权服务器和资源服务器不是由同一组织开发的,就会发生这种情况。在这种情况下,就可以认为授权服务器不“信任:资源服务器,因此我们不希望授权服务器与资源服务器共享密钥。而且,使用对称密钥,
使用非对称加密加强JWT验证
ThinkStu的博客
02-14 6242
上文谈到,原始的 JWT 加密方式把哈希运算的盐值 secret_key 保存在各大服务器中,不对外公布。但是如果盐值泄露则会造成不可挽回的损失,即其他人也可以拿着盐值对任意用户进行签名,伪造登录。
jwt_token及session及对称加密非对称加密
tianshuiyimo的博客
09-06 711
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。起源说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。
SpringBoot使用SpringSecurity搭建基于非对称加密JWT及前后端分离的搭建
热门推荐
lhc0512的博客
06-04 1万+
安全问题是一个比较复杂的问题,之前使用过Shiro这个安全框架,确实挺简单的,后来使用SpringSecurity,SpringSecurity更细粒度可控,现在做项目基本都使用前后端分离的,很少再使用Thymeleaf这类模板引擎,而基于前后端分离的权限问题,则需要使用JWT(json web token) 本次搭建基于JWT的SpringSecurity,并搭建前后端分离的安全权限的开发环境...
JWT令牌生成采用非对称加密算法
qq_41566980的博客
11-03 837
一、生成密钥证书 keytool -genkeypair -alias xckey -keyalg RSA -keypass xuecheng -keystore xc.keystore -storepass xuechengkeystore keytool是java提供的证书管理工具 -alias: 密钥别名 -keyalg:使用的hash算法 -keypass:密钥的访问密码 -keystore:密钥库文件名,xc.keystore保存了生成的证书 -storepass:密钥库的访问密码 查询证书信息
公私钥非对称加密 生成和验证JSON Web Token (JWT)
智的博客
09-18 1021
JSON Web Token (JWT) 是一种轻量级的身份验证和授权机制,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。其中头部和载荷都是Base64编码的JSON对象,签名是对头部、载荷和秘钥进行加密生成的。JWT的优点在于它是一种无状态的身份验证机制,因此可以在分布式系统中广泛使用。JWT通常作为API的身份验证机制,客户端在请求中携带JWT token,服务端通过验证JWT token来确定请求的合法性。
新版前后端接口安全技术JWT+RSA加密
06-18
【课程介绍】 ? ? ?课程目标:? ? ? ? ? ? ?- 有状态登录和无状态登录的区别? ? ? ? ? ? ?- 常见的非对称加密算法和非对称的加密方式? ? ? ? ? ? ?- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?- 服务端保存大量数据,增加服务端压力- 服务端保存用户状态,无法进行水平扩展- 客户端请求依赖服务端,多次请求必须访问同一台服务器。什么是无状态? 微服务集群中的每个服务,对外提供的都是R
Jwt与RSA非对称加密
竹林幽深
10-16 369
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/qq_41649078/article/details/90947459 Jwt与RSA非对称加密 1. 无状态登录原理 1.1 什么是有状态? 1.2 什么是无状态 1.3 如何实现无状态 1.4 JWT 1.4.1 简介 1.4.2 数...
对称加密非对称加密&JWT
littlewhitevg的博客
05-20 1885
1. 对称加密 对称加密指的就是加密和解密使用同一个秘钥,所以叫做对称加密对称加密只有一个秘钥,作为私钥。 常见的对称加密算法:DES,AES,3DES等等。 2. 非对称加密 非对称加密指的是:加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。公钥加密的信息,只有私钥才能解密。私钥加密的信息,只有公钥才能解密。 常见的非对称加密算法:RSA,ECC 区别 对称加密算法相比非对称加密算法来说,加解密的效率要高得多。但是缺陷在于对于秘钥的管理上,以及在非安全信道中通讯时,密钥交换的安全性不能保障
jwt概念非对称加密对称加密详细介绍)_jwt 非对称加密
2401_83739434的博客
04-15 305
首先得把依赖导入进来。
对称加密、单向加密和非对称加密
GeorgeGuo
06-02 8665
下文主要从加密算法的特征、常用加密算法和加密工具等方面,梳理和比较对称加密、单向加密和公钥加密的概念及其之间的联系。 1. 对称加密 采用单钥密码的加密方法,同一个密钥可以同时用来加密和解密,这种加密方法称为对称加密,也称为单密钥加密。常用的单向加密算法: DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合; 3DES(Trip...
JWT 介绍和使用,对称加密非对称加密,RSA, Tocken
weixin_44917365的博客
04-06 1739
有状态登录:服务器当中记录每一次的登录信息,从而根据客户端发送的数据来判断登录过来的用户是否合法。无状态登录:服务器当中不记录用户的登录信息,而是将登录成功后的合法用户信息以token方式保存到客户端当中,用户每次请求都携带token信息。
Token初识 以及 JAVA语言借助JWT生成、校验Token
qq_42681787的博客
09-11 439
目录 一、什么是JWT (1)JWT起源 (2)基于token的鉴权机制 (3)JWT的结构? (4)如何应用 (5)总结 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑.
4、聊聊常见的加密与JWT
划水的小白白
09-28 2696
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文中存在“
java jwt非对称加密
01-24
Java中使用JWT进行非对称加密可以通过使用jsonwebtoken库中的Jwts类来实现。下面是一个示例代码: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.PrivateKey; import java.security.PublicKey; import java.util.Date; public class JwtExample { public static void main(String[] args) throws Exception { // 生成RSA密钥对 KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA"); keyPairGenerator.initialize(2048); KeyPair keyPair = keyPairGenerator.generateKeyPair(); PrivateKey privateKey = keyPair.getPrivate(); PublicKey publicKey = keyPair.getPublic(); // 创建JWT并设置过期时间 String jwt = Jwts.builder() .setSubject("user123") .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间为1小时 .signWith(SignatureAlgorithm.RS256, privateKey) .compact(); // 解密JWT String subject = Jwts.parserBuilder() .setSigningKey(publicKey) .build() .parseClaimsJws(jwt) .getBody() .getSubject(); System.out.println("JWT: " + jwt); System.out.println("Decoded Subject: " + subject); } } ``` 这个示例代码使用RSA算法生成了一个密钥对,然后使用私钥对JWT进行签名,设置了过期时间为1小时。接着使用公钥对JWT进行解密,获取到JWT中的主题信息。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值