JWT身份验证、授权介绍、应用场景和示例代码

于 2024-07-19 21:15:00 发布
阅读量316 收藏 10
点赞数 5
分类专栏: java 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_beiyo/article/details/140470378
版权

概述

  • 头部(Header): 包含了描述JWT的元数据及签名算法的信息,通常由两部分组成:令牌类型(typ)和使用的加密算法(alg),例如 {"typ": "JWT", "alg": "HS256"}

  • 载荷(Payload): 包含了用户的声明(claims),比如用户的ID、角色等信息,以及其他需要传递的数据。载荷分为三类:

    • 注册声明(Registered claims):预定义的一些声明,如 iss(Issuer)、exp(Expiration time)、sub(Subject)等。
    • 公共声明(Public claims):自定义的声明,用于在使用JWT的双方定义自己的声明内容。
    • 私有声明(Private claims):用于在同意使用的各方之间共享信息,而不是注册在 IANA 中或以其他方式被注册的声明。

  • 签名(Signature): 使用私钥对头部和载荷进行签名,确保数据在传输过程中没有被篡改。签名的目的是验证消息的完整性以及发送者的身份。

作用

JWT 的主要作用是在用户和服务器之间安全地传输信息,特别适用于无状态(stateless)和分布式应用环境。它提供了一种简单且高效的方法来进行身份验证和授权,同时减少了服务器端存储和查询会话状态的需求。

应用场景

  • 身份认证(Authentication): 用户登录后,服务器生成JWT并返回给客户端,客户端在后续请求中携带JWT来验证身份。
  • 信息交换(Information Exchange): 可以在不同的系统之间安全地传输信息。
  • 单点登录(Single Sign-On): 用户登录一个应用后,可以无需再次登录访问其他关联的应用。
  • 权限验证(Authorization): 可以使用JWT来传递用户的角色和权限信息,确保用户在访问受保护资源时具有相应的权限。

示例代码

下面是一个简单的 Java 示例,演示如何使用 Java JWT 库(例如 jjwt)创建和验证JWT。

首先,确保你的项目中包含了 jjwt 依赖,例如 Maven 中的配置:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

接下来,示例代码如下:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtExample {

    // 生成JWT
    public static String generateJwt(String userId, String username, long expirationMillis, String secretKey) {
        Date now = new Date();
        Date expiration = new Date(now.getTime() + expirationMillis);

        return Jwts.builder()
                .setSubject(username)
                .claim("userId", userId)
                .setIssuedAt(now)
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }

    // 解析JWT
    public static Claims parseJwt(String jwt, String secretKey) {
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }

    public static void main(String[] args) {
        // 假设以下为用户登录成功后生成JWT的示例
        String userId = "123";
        String username = "john.doe";
        String secretKey = "mysecretkey";
        long expirationMillis = 3600000; // 1 hour

        String jwt = generateJwt(userId, username, expirationMillis, secretKey);
        System.out.println("Generated JWT: " + jwt);

        // 假设以下为服务器接收到JWT并验证的示例
        try {
            Jws<Claims> claims = parseJwt(jwt, secretKey);
            System.out.println("Username: " + claims.getBody().getSubject());
            System.out.println("User ID: " + claims.getBody().get("userId", String.class));
            System.out.println("Expiration: " + claims.getBody().getExpiration());
        } catch (Exception e) {
            System.out.println("JWT parsing or validation error: " + e.getMessage());
        }
    }
}

在示例中:

  • generateJwt 方法用于生成JWT,设置了用户ID、用户名,设置了过期时间,并使用 HMAC SHA-256 签名算法进行签名。
  • parseJwt 方法用于解析和验证JWT,通过传入的秘钥来验证JWT的有效性,并提取其中的信息。

这个示例展示了如何使用 JWT 在用户登录和服务器验证之间传递信息,确保信息的完整性和安全性。

小信丶
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DRF 3.x Authentication 身份验证使用示例和配置方法
Mr数据杨
01-26 3万+
自定义身份验证方案是继承 `BaseAuthentication并重写方法,身份验证成功则会返回一个元组数据(user, auth)`,否则会返回 None。以下是一个自定义身份验证方案的示例,它将对名为X-USERNAME的自定义请求标头中的用户名所指定的用户进行身份验证
c#关于JWT跨域身份验证的实现代码
01-01
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519), 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。...
【.NET框架实战】IdentityServer4身份验证授权
老陈聊架构
01-22 7412
【.NET框架实战】IdentityServer4身份验证授权 什么是身份认证 身份认证是指当客户端访问服务端资源时,验证客户端是否合法的一种机制 什么是授权 授权就是指当客户端经过身份认证后,能够有限的访问服务端资源的一种机制 为什么要使用身份验证授权 为了保证服务端资源的安全,我们要理解必须从真实项目中去理解 身份认证和授权方式有哪些 ​ 1、Base认证 ​ Base64编号认证 == https ​ 2、Digest认证 ​ MD5消息摘要认证 == https ​ 3、B
JWT身份验证相关安全问题
2401_84466227的博客
05-29 821
前言:工作中需要基于框架开发一个贴近实际的应用,找到一款比较合适的cms框架,其中正好用到的就是jwt做身份信息验证,也记录一下学习jwt相关的安全问题过程。 JWT可分为三部分,分别为头部(header)、载荷(payload)、签名(signature),简单介绍一下每个部分的作用。整体组成如下,以“.”分隔为三头部、载荷、签名部分:JWT加解密网站:JSON Web Tokens - jwt.io作用:声明类型、加密算法等原始格式:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ
ASP.NET Core:使用IdentityServer构建可靠的身份验证授权系统
寒冰屋的专栏
10-25 1081
目录 OAuth 2.0到底是什么? 为什么使用OpenID Connect? 向IdentityServer打个招呼!???? Hello World程序 设置中央身份验证系统所需的步骤——从1000英尺开始查看 从头开始设置身份验证服务器 构建一个MVC应用 设置一个Angular应用 最后的话 资源资源 在本文中,我们将看到使用Identity Server进行身份验证授权的奇怪情况。我们将介绍OAuth 2.0和OpenID Connect等花哨的术语。本文的目的是指导您完成
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 9485
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
使用JWT,Vuex和Vue Router的Vue 3身份验证方案
gitblog_00040的博客
06-03 389
使用JWT,Vuex和Vue Router的Vue 3身份验证方案 项目地址:https://gitcode.com/bezkoder/vue-3-authentication-jwt 这篇文章将向您推介一个精心构建的开源项目,它是一个基于Vue 3的身份验证解决方案,利用了JSON Web Token(JWT)进行安全的身份管理和授权。项目不仅覆盖了用户注册和登录的完整流程,还集成Vue Rou...
基于 JWT 进行身份验证
最新发布
java_liuyuan的博客
06-25 985
基于 JWT 进行身份验证
微服务--身份验证授权
不求上进的码农的博客
12-01 945
身份认证是指当客户端访问服务端资源时,验证客户端是否合法的一种机制授权就是指当客户端经过身份认证后,能够有限的访问服务端资源的一种机制。
Spring Security、OAuth2 、 JWT的认证授权 , 解决了什么问题,和应用场景 (一) 老司机们请上车
jiaoyaqiang的博客
03-20 1092
这些技术的组合使用可以提供一种安全、灵活和可扩展的认证授权解决方案。通过使用 Spring Security、OAuth2 和 JWT开发人员可以更好地保护系统的安全性,控制用户的访问权限,并提供便捷的认证和授权体验。综上所述,使用 Spring Security、OAuth2 和 JWT 可以构建一个安全、灵活和可扩展的认证授权系统,保护应用程序的资源不被未授权的访问,并提供了方便的授权管理和用户体验。Spring Security 提供了强大的认证和授权机制,确保只有授权的用户能够访问系统的资源。
Ruby-Knock为RailsAPI实现无缝JWT身份验证
08-15
总的来说,Knock是Rails API开发中的一个强大工具,它简化了JWT身份验证的实施,提供了安全且高效的用户认证解决方案。通过理解JWT的工作原理和如何使用Knock,开发者可以构建更健壮、更安全的RESTful API服务。在...
angular-node-jwt:使用Angular,Nodejs和mongodb进行身份验证的简单示例
05-17
**Angular、Node.js与JWT身份验证详解** 在现代Web开发中,安全性是至关重要的,特别是在构建需要用户登录和权限管理的复杂应用时。本示例项目"angular-node-jwt"展示了如何结合Angular前端框架、Node.js后端服务器...
使用 JWT(JSON Web 令牌)实现登录身份验证和令牌续订
12-29
JSON Web 令牌(JWT)是一种安全的身份验证机制,它允许应用程序在用户登录后发送一个包含用户信息的令牌,而不是依赖于传统的服务器会话。JWT在客户端(如浏览器的localStorage或cookie)存储,使得用户状态可以在...
jwt_auth:使用JWT在NodeJs应用程序中进行身份验证
04-29
在Node.js应用中,JSON Web Token(JWT)是一种常见的用于身份验证授权的机制。JWT是一种轻量级的标准(RFC 7519),它允许数据在各方之间安全地、无需服务器存储会话的情况下进行传输。这个教程将深入探讨如何在...
ASP.NET Core 中使用 JWT 实现令牌认证及授权范例程序代码
07-02
在这个场景中,我们关注的是如何在ASP.NET Core中利用JSON Web Tokens (JWT)进行身份验证授权JWT是一种轻量级的身份验证机制,适用于分布式系统,因为它不需要在服务器之间存储会话信息。 JWT通常包含三个部分...
aspnet-core-jwt-authentication-api:ASP.NET Core 2.2 JWT身份验证API
01-30
在"aspnet-core-jwt-authentication-api-master"这个压缩包中,可能包含了项目源码、配置文件、示例和文档,帮助开发者理解和实现基于ASP.NET Core 2.2的JWT身份验证API。通过学习和参考这些资源,开发者能够更好地...
authpg:NodeJS、Passport 和 Postgres 的身份验证示例
06-10
**NodeJS、Passport 和 Postgres 身份验证示例** 在现代Web开发中,用户认证和授权是不可或缺的一部分,确保只有经过验证的用户才能访问受保护的资源。本示例将详细介绍如何使用Node.js(一个流行的JavaScript后端...
springboot集成jwt
01-25
JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证授权场景。在SpringBoot项目中集成JWT,可以实现无状态的API访问控制,提高系统的安全性和可扩展性。 ### JWT基础 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值