JWT验证用户信息功能与OAuth2协议

已于 2022-07-24 14:09:58 修改
阅读量1.2k 收藏
点赞数
分类专栏: springsecurity 文章标签: restful
于 2020-12-31 18:53:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZGL_cyy/article/details/112050128
版权

1 简介

JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。
在这里插入图片描述

在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。

每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在授权标头中使用Bearer schema。后端服务器接收到带有 JWT 的请求时, 首先要做的是验证token。

2 格式

  • JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为:A.B.C

  • A由JWT头部信息header经过base64加密得到

    #默认的头信息
    {
      "alg": "HS256",
      "typ": "JWT"
    }
    
    #官网测试:https://jwt.io/
    #base64加密后的字符串为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

  • B是payload,存放有效信息的地方,这些信息包含三个部分:

  • 标准中注册的声明 (建议但不强制使用)

    • iss: jwt签发者
    • sub: jwt所面向的用户
    • aud: 接收jwt的一方
    • exp: jwt的过期时间,这个过期时间必须要大于签发时间
    • nbf: 定义在什么时间之前,该jwt都是不可用的.
    • iat: jwt的签发时间
    • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

  • 公共的声明

  • 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

  • 私有的声明

    • 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
    #存放的数据:
    {
      "sub": "1234567890",
      "name": "John Doe",
      "iat": 1516239022
    }
    
    #base64后的字符串为:
    eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

  • C由A和B通过加密算法得到,用作对token进行校验,看是否有效

    • 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
    #secret为:oldlu
    #得到的加密字符串为:DwMTjJktoFFdClHqjJMRgYzICo6FJOUc3Jmev9EScBc
    
    #整体的token为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.DwMTjJktoFFdClHqjJMRgYzICo6FJOUc3Jmev9EScBc

3 流程

在这里插入图片描述

4 示例

导入依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

编写测试用例:

package com.tanhua.sso.service;

import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.JwsHeader;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.Test;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class TestJWT {

    String secret = "oldlu";

    @Test
    public void testCreateToken(){

        Map<String, Object> header = new HashMap<String, Object>();
        header.put(JwsHeader.TYPE, JwsHeader.JWT_TYPE);
        header.put(JwsHeader.ALGORITHM, "HS256");

        Map<String, Object> claims = new HashMap<String, Object>();
        claims.put("mobile", "1333333333");
        claims.put("id", "2");

        // 生成token
        String jwt = Jwts.builder()
                .setHeader(header)  //header,可省略
                .setClaims(claims) //payload,存放数据的位置,不能放置敏感数据,如:密码等
                .signWith(SignatureAlgorithm.HS256, secret) //设置加密方法和加密盐
                .setExpiration(new Date(System.currentTimeMillis() + 3000)) //设置过期时间,3秒后过期
                .compact();

        System.out.println(jwt);

    }

    @Test
    public void testDecodeToken(){
        String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtb2JpbGUiOiIxMzMzMzMzMzMzIiwiaWQiOiIyIiwiZXhwIjoxNjA1NTEzMDA2fQ.1eG3LpudD4XBycUG39UQDaKVBQHgaup-E1OLWo_m8m8";
        try {
            // 通过token解析数据
            Map<String, Object> body = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
            System.out.println(body); //{mobile=1333333333, id=2, exp=1605513392}
        } catch (ExpiredJwtException e) {
            System.out.println("token已经过期!");
        } catch (Exception e) {
            System.out.println("token不合法!");
        }
    }

}

2、校验token

在整个系统架构中,只有SSO保存了JWT中的秘钥,所以只能通过SSO系统提供的接口服务进行对token的校验,所以在SSO系统中,需要对外开放接口,通过token进行查询用户信息,如果返回null说明用户状态已过期或者是非法的token,否则返回User对象数据。

2.1、UserController

    /**
     * 校验token,根据token查询用户数据
     *
     * @param token
     * @return
     */
    @GetMapping("{token}")
    public User queryUserByToken(@PathVariable("token") String token) {
        return this.userService.queryUserByToken(token);
    }

2.2、UserService

	public User queryUserByToken(String token) {
        try {
            // 通过token解析数据
            Map<String, Object> body = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();

            User user = new User();
            user.setId(Long.valueOf(body.get("id").toString()));

            //需要返回user对象中的mobile,需要查询数据库获取到mobile数据
            //如果每次都查询数据库,必然会导致性能问题,需要对用户的手机号进行缓存操作
            //数据缓存时,需要设置过期时间,过期时间要与token的时间一致
            //如果用户修改了手机号,需要同步修改redis中的数据

            String redisKey = "TANHUA_USER_MOBILE_" + user.getId();
            if(this.redisTemplate.hasKey(redisKey)){
                String mobile = this.redisTemplate.opsForValue().get(redisKey);
                user.setMobile(mobile);
            }else {
                //查询数据库
                User u = this.userMapper.selectById(user.getId());
                user.setMobile(u.getMobile());

                //将手机号写入到redis中
                //在jwt中的过期时间的单位为:秒
                long timeout = Long.valueOf(body.get("exp").toString()) * 1000 - System.currentTimeMillis();
                this.redisTemplate.opsForValue().set(redisKey, u.getMobile(), timeout, TimeUnit.MILLISECONDS);
            }

            return user;
        } catch (ExpiredJwtException e) {
            log.info("token已经过期! token = " + token);
        } catch (Exception e) {
            log.error("token不合法! token = "+ token, e);
        }
        return null;
    }

2.3、测试

数据已经存储到redis中

2.4、查询好友动态

查询好友动态其实就是查询自己的时间线表,好友在发动态时已经将动态信息写入到了自己的时间线表中。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

赵广陆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
python-docx 如何获取当前字号_spring oauth2如何获取当前登录用户信息
weixin_39822443的博客
11-26 122
使用spring oauth2框架做授权鉴定。想获取当前用户信息怎么办?我们知道spring oauth2是基于spring security的实现的。spring security可以通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前用户信息。而spring oauth2通过SecurityCo...
Spring Security OAuth2 内省协议JWT 结合使用指南
new_ord的博客
12-06 543
本文介绍OAuth2.0令牌内省和JWT结合使用,受保护资源可能会接受来自两个不同授权服务器的令牌,受保护资源可以先解析 JWT,弄清楚令牌颁发自哪一个授权服务器,然后向对应的授权服务器发送内省请求。
OAuth2和JWT
Minor的Java技术博客
07-25 1675
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的版本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
JWT身份验证
m0_65300193的博客
01-13 2917
1.JWT: 概念:全称就是Json Web Token,通过数字签名,以Json对象作为载体,在不同的服务终端之间安全的传输信息 作用:授权登录,用户登录后,他后续进行的每个请求都是带着他自己的token的,系统处理每次请求时都会进行JWT验证,即验证该token,通过才处理请求; 组成:JWT有三个组成部分: Header(头部信息):一般有两部分组成---(1).token类型(2).算法,然后进行base64的加密; Paylode(载荷):一般储存一些有效数据,密码,登陆时间等,然后进行b
spring boot oauth2 jwt 中文文档.docx
03-03
OAuth2 授权框架是一种协议,允许用户授权第三方网站或应用程序访问用户受保护的资源,而不必披露其长期凭据甚至身份。OAuth 引入了一个授权层,将客户端角色与资源所有者角色分开。客户机不是使用资源所有者的凭证...
spring security oauth2 实现jwt sso
11-14
Spring Security OAuth2 与 JWT 实现的SSO详解 在当今的互联网应用中,单点登录(Single Sign-On,简称SSO)已经成为一种常见的身份验证机制,它允许用户在一个系统中登录后,无需再次登录就能访问其他关联系统。在...
springboot与security oauth2整合例子
08-01
当我们谈论"springboot与security oauth2整合例子",实际上是在讨论如何将OAuth2协议集成到Spring Boot和Spring Security中,以实现基于令牌(Token)的身份验证和授权机制。OAuth2是一种开放标准,用于授权第三方...
12.OAuth2授权之基于JWT完成单点登录
01-01
OAuth2授权协议可以实现单点登录功能,即用户只需登录一次,即可访问多个需要登录的系统。 在本文中,我们将使用Spring Cloud Security框架来实现OAuth2授权,并结合JWT(JSON Web Token)来实现单点登录功能。在这...
单点登录JWT、CAS、Oauth2、SAML几种技术方案对比分析
最新发布
11-19
JWT的登录流程包括用户通过浏览器访问IDaaS,发起SSO请求,IDaaS生成JWT令牌发送给业务系统,业务系统验证令牌并获取用户信息,创建本地会话,最后用户被重定向至应用页面完成登录。JWT的优势在于其轻量级和自包含,...
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. `client1`解析令牌并登录 8. `client1`访问`client2` 9. `client2`将请求导向`sso-server` 10. 同意授权 11. 携带授权码`code`返回`client2` 12. `client2`拿着授权码请求令牌 13. 返回`JWT`令牌 14. `client2`解析令牌并登录
05-基于JWT实现用户登录、根据token获取userId
NikoChina的博客
05-15 2198
验证过程:服务端验证 浏览器携带的用户名和密码,验证通过后生成用户凭证保存在服务端(session),浏览器再次访问时,服务端查询session,实现登录状态保持。缺点:随着用户的增多,服务端压力增大;若浏览器cookie被攻击者拦截,容易受到跨站请求伪造攻击;分布式系统下扩展性不强。
JWT介绍
zibuyu2015的博客
10-04 118
介绍jwt认证,使用python简单实现。
JWT以及TokenAuth
m0_47944994的博客
02-14 2820
JWT以及TokenAuth
JWT用于长时间保存用户认证信息
m0_75015716的博客
11-09 1506
JWT用于长时间保存用户认证的信息
Token认证之Jwts原理及使用
piaolaoshi的博客
03-18 9574
Jwts的原理及具体使用方式
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3105
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
Spring Cloud ~ 从JWT中获取当前用户信息
热门推荐
说淑人的所思所想
04-25 1万+
前言 当完整的搭建了Spring Security Oauth2 + JWT工程之后,我在想该如何获取当前用户的信息?这本质算不上是太大问题,配合Redis很容易就能解决,但既然JWT的优点就在于保存了用户信息,再去Redis中去拿就显得多此一举。 这就像是明明身上带着足够的钱,买东西时却偏偏要求你去银行取一样(线上支付让我的例子显得有些苍白无力)。 要做到这一点算不上难,但教材中没有讲述,网上的...
SpringCloud OAuth2 JWT单点登录详解与实战
OAuth2基于JWT的单点登录涉及客户端应用与授权服务器之间的交互,通过JWT实现用户信息的安全传输,同时利用Spring Cloud Security提供的框架,简化了权限管理和身份验证的过程。这种实现方式不仅提升了用户体验,也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵广陆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值