JWT令牌生成与校验

最新推荐文章于 2024-04-27 22:19:39 发布
最新推荐文章于 2024-04-27 22:19:39 发布
阅读量2.4k 收藏 6
点赞数 2
分类专栏: springsecurity 文章标签: json http restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZGL_cyy/article/details/122817557
版权

目录

1 JWT介绍

通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。

解决上边问题:

令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

1.1 什么是JWT?

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。

官网:JWT.IO

标准: JSON Web Token (JWT)

JWT令牌的优点:

1)jwt基于json,非常方便解析。

2)可以在令牌中自定义丰富的内容,易扩展。

3)通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。

4)资源服务使用JWT可不依赖认证服务即可完成授权。

缺点:

1)JWT令牌较长,占存储空间比较大。

1.2 JWT令牌结构

通过学习JWT令牌结构为自定义jwt令牌打好基础。

JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz

  • Header

头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)

一个例子如下:

下边是Header部分的内容

{ 
  "alg": "HS256",
  "typ": "JWT"
}

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

  • Payload

第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。

此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。

最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。

一个例子:

{ 
  "sub": "1234567890",
  "name": "456",
  "admin": true
}
  • Signature

第三部分是签名,此部分用于防止jwt内容被篡改。

这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明签名算法进行签名。

一个例子:

HMACSHA256( 
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

base64UrlEncode(header):jwt令牌的第一部分。

base64UrlEncode(payload):jwt令牌的第二部分。

secret:签名所使用的密钥。

2 配置JWT令牌服务

在uaa中配置jwt令牌服务,即可实现生成jwt格式的令牌。

1、TokenConfig

@Configuration 
public class TokenConfig {
    private String SIGNING_KEY = "uaa123";
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(SIGNING_KEY); //对称秘钥,资源服务器使用该秘钥来验证
        return converter;
    }
}

2、定义JWT令牌服务

@Autowired
private JwtAccessTokenConverter accessTokenConverter;
 @Bean
 public AuthorizationServerTokenServices tokenService() {
      DefaultTokenServices service=new DefaultTokenServices();
      service.setClientDetailsService(clientDetailsService);
      service.setSupportRefreshToken(true);
      service.setTokenStore(tokenStore);
TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
service.setTokenEnhancer(tokenEnhancerChain);
service.setAccessTokenValiditySeconds(7200); // 令牌默认有效期2小时
      service.setRefreshTokenValiditySeconds(259200); // 刷新令牌默认有效期3天
      return service;
  }

3 生成JWT令牌

在这里插入图片描述
响应:
在这里插入图片描述

4 校验JWT令牌

资源服务需要和授权服务拥有一致的签字、令牌服务等:

1、将授权服务中的TokenConfig类拷贝到资源 服务中

2、屏蔽资源 服务原来的令牌服务类

@Configuration 
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResouceServerConfig extends
        ResourceServerConfigurerAdapter {
    public static final String RESOURCE_ID = "res1";
    @Autowired
    TokenStore tokenStore;
    //资源服务令牌解析服务
//    @Bean
//    public ResourceServerTokenServices tokenService() {
//        //使用远程服务请求授权服务器校验token,必须指定校验token 的url、client_id,client_secret
//        RemoteTokenServices service=new RemoteTokenServices(); 
//        service.setCheckTokenEndpointUrl("http://localhost:53020/uaa/oauth/check_token");
//        service.setClientId("c1");
//        service.setClientSecret("secret");
//        return service;
//    }
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(RESOURCE_ID)
                .tokenStore(tokenStore)
                .stateless(true);
    }

3、测试

1)申请jwt令牌

2)使用令牌请求资源

在这里插入图片描述

小技巧:

令牌申请成功可以使用/uaa/oauth/check_token校验令牌的有效性,并查询令牌的内容,例子如下:

在这里插入图片描述

5 JWT整合Spring Security

截止目前客户端信息和授权码仍然存储在内存中,生产环境中通过会存储在数据库中,下边完善环境的配置:

5.1 创建表

在user_db中创建如下表:

DROP TABLE IF EXISTS `oauth_client_details`;
CREATE TABLE `oauth_client_details`  (
  `client_id` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '客户端标
识',
  `resource_ids` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL
COMMENT '接入资源列表',
  `client_secret` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL
COMMENT '客户端秘钥',
  `scope` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `authorized_grant_types` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  `web_server_redirect_uri` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  `authorities` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `access_token_validity` int(11) NULL DEFAULT NULL,
  `refresh_token_validity` int(11) NULL DEFAULT NULL,
  `additional_information` longtext CHARACTER SET utf8 COLLATE utf8_general_ci NULL,
  `create_time` timestamp(0) NOT NULL DEFAULT CURRENT_TIMESTAMP(0) ON UPDATE
CURRENT_TIMESTAMP(0),
  `archived` tinyint(4) NULL DEFAULT NULL,
  `trusted` tinyint(4) NULL DEFAULT NULL,
  `autoapprove` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`client_id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '接入客户端信息'
ROW_FORMAT = Dynamic;
INSERT INTO `oauth_client_details` VALUES ('c1', 'res1',
'$2a$10$NlBC84MVb7F95EXYTXwLneXgCca6/GipyWR5NHm8K0203bSQMLpvm', 'ROLE_ADMIN,ROLE_USER,ROLE_API',
'client_credentials,password,authorization_code,implicit,refresh_token', 'http://www.baidu.com',
NULL, 7200, 259200, NULL, '2019‐09‐09 16:04:28', 0, 0, 'false');
INSERT INTO `oauth_client_details` VALUES ('c2', 'res2',
'$2a$10$NlBC84MVb7F95EXYTXwLneXgCca6/GipyWR5NHm8K0203bSQMLpvm', 'ROLE_API',
'client_credentials,password,authorization_code,implicit,refresh_token', 'http://www.baidu.com',
NULL, 31536000, 2592000, NULL, '2019‐09‐09 21:48:51', 0, 0, 'false');

oauth_code表,Spring Security OAuth2使用,用来存储授权码:

DROP TABLE IF EXISTS `oauth_code`;
CREATE TABLE `oauth_code`  (
  `create_time` timestamp(0) NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `code` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `authentication` blob NULL,
  INDEX `code_index`(`code`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

6 配置授权服务

(1)修改AuthorizationServer:

ClientDetailsService和AuthorizationCodeServices从数据库读取数据。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends
AuthorizationServerConfigurerAdapter {        
@Autowired    
private TokenStore tokenStore;    
@Autowired    
private JwtAccessTokenConverter accessTokenConverter;    
@Autowired    
private ClientDetailsService clientDetailsService;    
@Autowired    
private AuthorizationCodeServices authorizationCodeServices;    
@Autowired    
private AuthenticationManager authenticationManager;    
/**    
 * 1.客户端详情相关配置    
 */    
@Bean    
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
 
@Bean    
public ClientDetailsService clientDetailsService(DataSource dataSource) {    
ClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);        
((JdbcClientDetailsService)
clientDetailsService).setPasswordEncoder(passwordEncoder());
       
return clientDetailsService;        
}    
@Override 
public void configure(ClientDetailsServiceConfigurer clients)    
throws Exception {            
clients.withClientDetails(clientDetailsService);        
}    
/**    
 * 2.配置令牌服务(token services)    
 */    
@Bean    
public AuthorizationServerTokenServices tokenService() {    
DefaultTokenServices service=new DefaultTokenServices();        
service.setClientDetailsService(clientDetailsService);        
service.setSupportRefreshToken(true);//支持刷新令牌        
service.setTokenStore(tokenStore); //绑定tokenStore        
TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();        
tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));        
service.setTokenEnhancer(tokenEnhancerChain);        
service.setAccessTokenValiditySeconds(7200); // 令牌默认有效期2小时        
service.setRefreshTokenValiditySeconds(259200); // 刷新令牌默认有效期3return service;        
}    
/**    
 * 3.配置令牌(token)的访问端点    
 */    
@Bean    
public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {     
return new JdbcAuthorizationCodeServices(dataSource);//设置授权码模式的授权码如何存取        
}    
@Override    
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {    
endpoints.authenticationManager(authenticationManager)        
.authorizationCodeServices(authorizationCodeServices)                
.tokenServices(tokenService())                
.allowedTokenEndpointRequestMethods(HttpMethod.POST);                
}    
/**    
 * 4.配置令牌端点(Token Endpoint)的安全约束    
 */    
@Override    
public void configure(AuthorizationServerSecurityConfigurer security){    
security        
.tokenKeyAccess("permitAll()")                
.checkTokenAccess("permitAll()")                
.allowFormAuthenticationForClients()//允许表单认证                
;
}    
}

6.1 测试

1、测试申请令牌

使用密码模式申请令牌,客户端信息需要和数据库中的信息一致。

POST http://localhost:53020/uaa/oauth/token

2、测试授权码模式

生成的授权存储到数据库中。

http://localhost:53020/uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com

注意scope=?,查看数据库

POST http://localhost:53020/uaa/oauth/token
赵广陆
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Token生成方案-JWT
奇遇少年
01-17 2202
JWT的使用简化了用户身份验证的流程,使得开发者能够在Web应用中轻松实现高效的身份认证和信息传递。
jwt分析及生成
weixin_45875389的博客
02-21 712
JWT JSON Web Token jwt的格式可分为3部分 1、Header中一般包括两部分信息 { "alg": "RS256", "typ": "JWT" } alg:声明加密的算法 typ:声明类型 2、playload(负载) 不在playload中放敏感数据信息 标准声明 公共声明 私有声明 标准声明包括:(不强制) iss?: string; // JWT的签发者 sub?: string; // JWT所面向的用户 aud?: string; // 接收JWT的一方 e
JWT令牌的创建以及解析
最新发布
yuban10403的博客
04-27 1302
要使用jwt令牌首先得引入相关依赖为了方便后面使用,我们直接创建一个JwtUtil。
生成jwt方法
qq_58954197的博客
12-08 71
【代码】生成jwt方法。
jwt生成token
m0_59806423的博客
04-03 1416
http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。
生成JWT令牌
又要搬砖了
04-08 399
生成JWT令牌一、JWT是什么?二、使用步骤1.引入库2.封装JWT工具类2.1 定义一个密钥用于加密解密2.2 生成token2.3 根据生成的token获取载荷信息2.4 校验token是否过期 一、JWT是什么? JWT介绍 二、使用步骤 1.引入库 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <ve
JWTJWT JWS JWE | 结构与生成规则 | 在线JWS解析工具
Juruo@Security
05-04 3375
JWT JWS JWE | 数据结构 | 在线JWS解析工具
C#手写jwtToken生成校验
04-27
**C#手写JWT Token生成校验** JWTJSON Web Tokens)是一种轻量级的身份认证和授权机制,常用于API的身份验证。在C#环境中,我们可以手动实现JWT生成和验证过程,以便理解其工作原理和提升安全性。本文将详细...
JWT Token生成及验证
11-03
如果计算出的签名与JWT中的签名匹配,那么令牌被认为是有效的。此外,还可以检查载荷中的声明,如过期时间(exp)以确保令牌未过期。 在实际应用中,`TestForToken`可能是一个测试项目,用于实践JWT Token的生成和...
papersplz:一个简单的 groovy 库,用于生成和验证 JWT 令牌
06-11
验证 JWT 时,papersplz 将对签名进行校验,确保令牌未经修改。它可能支持以下步骤: 1. 分解令牌为 Header、Payload 和 Signature。 2. 对 Header 和 Payload 进行 Base64URL 解码。 3. 使用预设的 Secret 重新计算...
JWT令牌的使用以及一些算法
01-20
Base64 编码 :字节数组(文本或其他格式)64个字符的表示形式 -解码 : 散列算法  ...令牌是在用户验证通过后颁发给用户的身份标示,之后请求只需携带令牌令牌中用户的标示,不存储敏感信息, 如何防止
Springboot 整合 JWT + Redis 实现双Token 校验Demo
11-23
首先,JWT是一种轻量级的身份验证机制,它允许服务器通过生成一个包含必要信息的令牌(如用户ID、过期时间等)来验证用户身份,而无需存储会话信息。JWT本身包含了所有验证所需的信息,减少了服务器与数据库之间的...
八、创建JWT工具类
weixin_39309918的博客
10-21 1531
要经过加密才能返回给客户端,包括客户端上传的。我建议大家把密钥和过期时间定义到。配置文件中,然后再值注入到。中,这样维护起来比较方便。,后端项目需要验证核。二、定义密钥和过期时间。
JWT校验
Monster
03-08 2140
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
jwt私钥和公钥怎么获取_如何为php-jwt生成密钥对?
weixin_39975529的博客
12-29 781
我试图使用PHP-JWT生成JWT,但我总是最终收到错误:PHP Warning: openssl_sign(): supplied key param cannot be coerced into a private key我已经尝试使用openssl生成密钥对,使用opennssl用密码保护密钥,然后使用openssl_get_privatekey()读取密钥,我尝试将密钥粘贴到php中的多...
令牌校验流程分析
Leon_Jinhai_Sun的博客
05-10 1360
资源服务授权 资源服务授权流程 (1)传统授权流程 资源服务器授权流程如上图,客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验成功会返回用户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客户端。 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取用户的相关信息,性能低下。 (2)公钥私钥授权流程 传统的授权模式性能低
API接口JWT方式的Token认证(上),服务器(Laravel)的实现
热门推荐
钟晨宇的博客
05-03 3万+
简介最近在开发一个 Android 程序,需要做用户登录和认证功能,另外服务器用的是 Laravel 框架搭建的。最终决定用 JWT 实现API接口的认证。JWTJson Web Tokens 的缩写,与传统 Web 的 Cookies 或者 Session 方式的认证不同的是,JWT 是无状态的,服务器上不需要对 token 进行存储,也不需要和客户端保持连接。而 JWT 的 token 分
JWT验证
weixin_34345753的博客
07-04 1866
理解 JSON Web Token(JWT) 验证 JSON Web Token认证的操作指南 在本文中,我们将了解JSON Web Token的全部内容。 我们将从JWT的基本概念开始,然后查看其结构,最后创建一个简单的服务器,它将获取一些数据并将其插入到JWT中。 什么是JSON Web Token?为什么我们需要它? JSON Web Token(JWT)是一种安全,紧凑且...
生成一个JWT生成校验的代码
04-26
好的,我可以帮助你生成一个JWT生成校验的代码。 首先,你需要安装 JSON Web Token(JWT)的依赖。在 Node.js 中,你可以使用以下命令安装它: ``` npm install jsonwebtoken ``` 然后,你可以使用以下代码生成一个JWT: ```javascript const jwt = require('jsonwebtoken'); const payload = { // 这里是 JWT 里面的 payload 数据 userId: 123, username: 'john.doe', }; const secret = 'your-secret-key'; const token = jwt.sign(payload, secret, { expiresIn: '1h' }); console.log(token); ``` 在这个代码中,我们首先定义了一个 `payload` 对象,里面包含了一些与用户有关的数据。然后,我们定义了一个 `secret`,用于加密 JWT。 最后,我们使用 `jwt.sign` 方法生成 JWT,并将其打印到控制台上。 生成 JWT 后,你还可以根据需要对其进行校验。以下是一个简单的校验代码: ```javascript const jwt = require('jsonwebtoken'); const token = 'your-jwt-token'; const secret = 'your-secret-key'; try { const decoded = jwt.verify(token, secret); console.log(decoded); } catch (e) { console.error(e); } ``` 在这个代码中,我们首先定义了一个 `token`,它是我们之前生成JWT。然后,我们使用 `jwt.verify` 方法对其进行校验。 如果校验成功,`jwt.verify` 方法将返回 JWT 的 `payload`,你可以在代码中进一步处理 `payload`。否则,它将抛出一个异常,您可以在 catch 语句中捕获并处理它。 希望这些代码可以帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵广陆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值