Token防篡改机制-JWT

最新推荐文章于 2024-05-08 21:58:24 发布
最新推荐文章于 2024-05-08 21:58:24 发布
阅读量1.2k 收藏
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zz1366/article/details/130781193
版权

单点登录实现

基于JWT的Token认证机制,服务端无需保存凭证信息,这种方案称为无状态方案

1,什么是JWT

JSON Web Token(JWT)是一个开放的行业标准,用于在通信双方传递JSON对象,传递的信息经过数字签名可以被验证和信任。通过对称加密算法及数字签名技术防止篡改,同时,资源服务器使用JWT技术可以实现不依赖认证服务器即可完成授权。

2,JWT工作流程


差别:对令牌的认证,是基于算法的方式,而不是去查询比如第三方的存储如Redis来做判断

3,JWT的组成部分

  1. 头部
  1. 载荷
  1. 签名

3.1 头部

头部用于描述JWT最基本信息。
例如其类型及签名所用的算法等,可以表示为一个JSON对象。

{
    "type":"JWT",
    "alg":"HS256"
}

然后将这部分通过BASE64进行编码,就得到第一部分。Java提供了BASE64Encoder和BASE64Decoder来实现编码和解码。
BASE64是一种基于64个可打印字符来表示二进制数据的表示方法。
因为2的6次方等于64,所以每6个比特为一个单元,对应某个可打印字符。

3.2 载荷

载荷是存放有效信息的地方。也是一个JSON对象。此处信息可以在客户端解密,所以不建议添加敏感信息,一般添加业务的必要信息即可。可以添加的声明如下:

iss:JWT签发者
sub:JWT所面向的用户
aud:接收JWT的一方
iat:JWT的签发时间
exp:JWT的过期时间,必须大于签发时间
nbf:定义在什么时间之前,该JWT都是不可用的
jti:JWT的唯一身份标识,主要用来作为一次性token

然后还是一样用BASE64进行编码之后,得到第二部分。

3.3 签证

签名的作用是防止JWT内容被篡改。
签名的算法规则:

HMACSHA256(BASE64Encoder(header)+"."+BASE64Encoder(payload), 密钥)

首先,通过BASE64Encoder(header)+"."+BASE64Encoder(payload)组成字符串,然后通过使用header中声明的加密算法+secret进行加密加盐,最终构成JWT的第三部分(签名)。
secret和jwt的签发都是在服务端生成,secret就是服务端的密钥。

4,Java的实现方案--JJWT

JJWT是一个提供JWT创建和验证的Java库。

5,引入依赖

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

6,生成Token案例

@Test
	public void jwtTokenCreateTest(){
		JwtBuilder builder = Jwts.builder()
				.setId("666").setSubject("行走在牛A的路上")
				.setIssuedAt(new Date())
				//添加自定义属性
			    .claim("role","admin")
				.setExpiration(new Date(new Date().getTime()+600000))
				.signWith(SignatureAlgorithm.HS256,"key");
		String jwtToken = builder.compact();
		System.out.println(jwtToken);
	}

7,解析Token,验证token的正确性

@Test
	public void jwtTokenParseTest(){
		String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLooYzotbDlnKjniZt" +				"B55qE6Lev5LiKIiwiaWF0IjoxNTYxMjE2ODc4LCJleHAiOjE1NjEyMTY4ODF9.GhmAQ_G8aFExXc84Wefl13SwAJBqkDtQ05EsAqpAUUw";
		Claims claims = Jwts.parser().setSigningKey("key")
				.parseClaimsJws(token).getBody();
		System.out.println(claims.getId());
		System.out.println(claims.getSubject());
		System.out.println(claims.getIssuedAt());
		System.out.println(claims.getExpiration());
		//获取属性
        System.out.println(claims.get("role"));
	}

注意:过期或者信息不正确,都会抛出相关异常。

8,开发工具类


public class JwtUtils {
    //密钥由调用方来决定
    private String secretKey;
    //有效期也由调用方来决定
    private long ttl;
    public String getSecretKey() {
        return secretKey;
    }
    public void setSecretKey(String secretKey) {
        this.secretKey = secretKey;
    }
    public long getTtl() {
        return ttl;
    }
    public void setTtl(long ttl) {
        this.ttl = ttl;
    }
    public String createJwtToken(String id,String subject){
        long now = System.currentTimeMillis();
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId(id).setSubject(subject)
                .setIssuedAt(new Date(now))
                .signWith(SignatureAlgorithm.HS256,secretKey);
        if(ttl > 0){
            jwtBuilder.setExpiration(new Date(now+ttl));
        }
        return jwtBuilder.compact();
    }
    public Claims parseJwtToken(String jwtToken){
        return Jwts.parser().setSigningKey(secretKey)
                .parseClaimsJws(jwtToken).getBody();
    }
}

 

_超级瞄准已部署_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt如何防止token窃取_SpringBoot系列之前后端接口安全技术JWT
weixin_39847437的博客
11-22 6115
作者|smileNicky来源 |cnblogs.com/mzq123/p/13278935.html1.什么是JWT?JWT的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的W...
jwt如何防止token窃取_Token令牌不是后端万能解药!8个漏洞,有1个你就得爬起来加班了...
热门推荐
weixin_39849054的博客
12-03 1万+
“日,家贼难。”“打铁还需自身硬!”养成铁的纪律,有助于铸造坚固的城池。本文从八个方面全面排查你的令牌系统。1 - ​注意OAuth凭据的泄漏你把应用程序代码推到GitHub了?OAuth应用程序凭据是否也存储在仓库里,特别是客户端密码?这可是当今头号凭据泄漏来源。如果那些凭证被窃取了,任何人都可以冒充你。如果你察觉凭据可能已被破坏,请立即重新生成。2 - 不要在应用程序中硬编码令牌为了长...
JWT介绍:JWT可以防止篡改的原理是什么?
zy1992As的博客
05-22 652
JSON Web Token(JWT)是一种使用JSON格式传递数据的网络令牌技术,它是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止内容篡改。官网:https://jwt.io/使用JWT可以实现无状态认证,那什么是无状态认证?
如何防止token伪造、篡改窃取
m0_69057918的博客
07-05 6041
防止token伪造、篡改窃取的解决方案
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 1590
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
前后端分离JWTtoken防止被盗
zxb11c的博客
03-17 699
JWTtoken 避免被盗用
spring-security-jwt-example
03-30
JWT(JSON Web Token)则是一种轻量级的身份验证机制,广泛应用于现代Web应用中,特别是在API安全方面。"spring-security-jwt-example"是一个项目,它演示了如何将Spring Security与JWT技术结合,实现安全的身份验证...
spring-security-jwt
03-17
它集成了 JSON Web Token (JWT) 技术,提供了一种高效且便捷的方式来处理身份验证和授权。JWT 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为经过签名的 JSON 对象。在 Spring Security 框架中,JWT...
spring-boot-jwt-authentication登录
02-13
首先,我们需要配置一个JWT token生成器。这通常包括设置私钥、创建JWT的头和负载,然后使用私钥进行签名。负载中可以包含用户的ID、用户名、角色等信息。 2. **用户认证**: 当用户提交登录请求时,Spring ...
spring-boot-security-jpa-jwt
04-08
项目的源代码(如在"spring-boot-security-jpa-jwt-master"中)通常会包含以下部分: - 主配置类:启用Spring Boot和Spring Security,配置JPA数据源。 - 安全配置类:自定义Spring Security的规则,比如过滤器链和...
第40天:JAVA安全-JWT安全及预编译CASE注入等1
08-03
在IT安全领域,尤其是Java应用的安全性,理解并掌握JSON Web TokenJWT)以及如何防止SQL注入至关重要。JWT是一种安全的身份验证机制,广泛应用于单点登录(SSO)和其他需要跨域验证用户身份的场景。 JWT由三部分...
JWT(Json Web Token)的原理、渗透与
ElsonHY的博客
05-16 2398
JWT(Json Web Token)的原理、渗透与御。
jwt如何防止token窃取_JWT令牌
weixin_39678163的博客
12-03 2564
6.3.1 JWT介绍通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。解决上边问题:令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,...
jwttoken 被获取怎么办
萌兔兔MMQ!!
04-12 7194
jwt 签发后,每次请求会续期,如果 token 被抓包后,别人得到后,有没有好的方案解决身份窃取问抗投诉服务器题? 签发 token 的时候加入一些验证信息,比如 IP 如果当前 request IP 和签发时候的 IP 不一致就加 blacklist 里 不嫌麻烦的话,搞一个验签。拿到 token 也没有 ip 这种也想过,不过,做不了,因为,我们是多个子系统的,后端需要请求 uc,那么每次来的都是后端 ip csrf 那种么? 插眼,目前方案是一定时间失效再申请 现在都是 HTTPS,为什么会被抓包呢
asp.net core 集成JWT
dotNET跨平台
06-14 3785
【什么是JWT】  JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。  JWT的官网地址:https://jwt.io/  通俗地来讲,JWT是...
jwt 的鉴权过程与安全性分析
weixin_46235143的博客
04-01 1217
JWT(JSON Web Token)是一种基于标准JSON格式的轻量级身份认证和授权协议。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。下面简要介绍JWT的使用过程:用户通过用户名和密码向服务器发送登录请求。服务器收到请求后,验证用户名和密码是否正确。如果验证通过,服务器将用户信息作为Payload(载荷)加入到JWT中,并设置过期时间等信息,然后使用加密算法生成Signature(签名)。
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
jjwtjava-jwt 区别
07-14
JJWTJava JSON Web Token)和 Java-JWT 是两个用于处理 JSON Web TokenJWT)的 Java 库。 JJWT 是由 Auth0 公司开发的一个开源库,提供了创建、解析和验证 JWT 的功能。它基于 JSON Smart 库,具有简单易用的 API,并支持密钥对称和非对称加密算法。JJWT 提供了一种方便的方式来创建和验证 JWT,并且可以与 Spring Security 等框架集成使用。 Java-JWT 是由 Auth0 公司开发的另一个开源 JWT 库,同样提供了创建、解析和验证 JWT 的功能。Java-JWT 使用了 JSON Web Token for Java(jjwt)库,同样支持密钥对称和非对称加密算法。Java-JWT 也具有简单易用的 API,并且可以与 Spring Security 等框架集成使用。 总的来说,JJWTJava-JWT 在功能和使用上非常相似,都可以用于处理 JWT。它们的区别主要在于底层使用的 JSON 库不同,JJWT 使用 JSON Smart,Java-JWT 使用 jjwt。选择使用哪个库主要取决于个人偏好和项目需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值