十分钟上手JWT(JSON Web Token)

已于 2022-02-13 10:26:57 修改
阅读量609 收藏 1
点赞数 1
分类专栏: 开源框架 Web前端 文章标签: JWT JSON Token
于 2021-12-25 16:06:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angellee1988/article/details/119696111
版权

  欢迎光临我的博客查看最新文章: https://river106.cn

1、简介

JWT,JSON Web Token的简写,是目前比较流行的跨域认证解决方案,

它不是一个具体的技术实现,而更像是一种标准。

官网:JSON Web Tokens - jwt.io

2、JWT数据结构

 JWT由3部分构成:

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

Header

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子

{
  "alg": "HS256",
  "typ": "JWT"
}

alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);

typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT

最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串。

Payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。如:

{
  "id": "123",
  "name": "river"
}

JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Signature

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔。

JWT是可以被解码的,所以不要在JWT的Payload中存放私密数据。

3、JWT使用

 引入依赖

<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.0</version>
</dependency>

由于我们需要通过jwt生成token,并能通过token解析生成原始数据,所以可以封装成工具类。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.*;


public class JwtUtils {

    private static final String SECRET = "jwt123456";

    public static String generateToken(Map<String, Object> claims, Date expireTime) {
        return Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS256, SECRET)
                .setExpiration(expireTime)
                .compact();
    }

    public static Map<String, Object> parseToken(String token) {
        try {
            Claims body = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token)
                    .getBody();
            return body;
        } catch (ExpiredJwtException e) {
            e.printStackTrace();
        }
        return null;
    }

}

在我们做登录鉴权的项目时,服务端生成jwt返回给客户端,客户端可以将jwt储存在Cookie里面,也可以储存在 localStorage。此后,客户端每次与服务器通信,都带上这个jwt。放在 Cookie 里面可以自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求头中。

4、使用JWT需要注意的地方

1、JWT 中的数据默认是不加密的,不加密的情况下,不能将秘密数据写入JWT;

2、一旦JWT签发了,在到期之前始终有效,除非服务器有额外的限制逻辑(如使用redis控制登录session有效期),所以需要设置有效期;

3、为防止泄露,JWT不应该使用HTTP协议明码传输,要使用HTTPS协议传输。

5、参考

JSON Web Token 入门教程 - 阮一峰的网络日志

rivercoder
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT鉴权】如何来一个token令牌认证登录?
狮子也疯狂的博客
03-21 3650
JWT是的简称,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。使用JWT时,登录成功后将用户信息生成一串令牌字符串。将该字符串返回给客户端,客户端每次请求时都在请求头携带该令牌字符串。在其他模块验证令牌,通过则证明用户处于登录状态,并拿到解析后的用户信息,未通过证明用户处于未登录状态。
JWT基本概念及入门代码
RememberQian的博客
12-11 342
JWT 1:基本概念 1.1:传统身份验证 http是一种没有状态的协议,也就是它并不知道是谁访问应用,这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端在发送请求时候,还等在验证一下。 解决的方法就是,当用户登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,让后把这条记录的id号发送非客户端,客户端收到以后把这个id号存...
实现基于JSON Web TokenJWT)的身份验证和授权
最新发布
qiuyehuanghun的博客
04-02 297
通过以上步骤,您就可以实现基于JSON Web TokenJWT)的身份验证和授权。JWT令牌具有轻量、无状态、可扩展等优点,在前后端分离的应用中广泛应用于身份验证和授权。在认证成功后,使用JWT工具类生成JWT令牌并返回给客户端。在需要进行授权的请求中,通过解析JWT令牌来验证用户身份和权限。来验证JWT令牌并在认证成功后将用户信息添加到Security上下文中。在客户端请求需要授权的资源时,将JWT令牌添加到请求的头部(通常是。首先,您需要添加JWT库的依赖到您的项目中。
JWT学习之用Java手JWT
m0_73520938的博客
10-08 98
JSON Web 令牌 (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。尽管 JWT 可以加密以提供各方之间的保密性,但我们将专注于签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则向其他方隐藏这些声明。
JWT小工具
wjs_1997的博客
09-23 327
/** * The most handsome man. * User: jason.Wang * Date: 2020/9/23 * Time: 22:19 * Description: */ /** * JWT工具类 */ public class JwtUtil { //有效期为 public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000 一个小时 //设置秘钥明文 public st.
java.lang.ClassNotFoundException: io.jsonwebtoken.Jwts
continuce的博客
06-07 588
jwt异常
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. 问题解决
fengzheng1232的博客
08-11 992
报错:io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. Current time: 2023-08-11T21:44:58Z, a difference of 83334559 milliseconds. Allowed clock skew: 0 milliseconds.(JWT于2023-08-10T22:36:04Z到期。当前时间:2023-08-11T21:44:58Z,相差83334559毫秒。
Java基础之《JWT使用》
csj50的专栏
11-07 3239
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token
使用JWT完成前后端请求发送的数据校验
qq_43647376的博客
08-17 1041
一切配置好后,使用postman发送请求。有此工具类就可调用接口生成token。在浏览器修改错误token同理。#### 配置请求头。
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4160
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT最详细教程以及整合SpringBoot的使用(简洁易上手
热门推荐
小爽帅到拖网速的博客
03-30 1万+
JWT 1、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
JWT学习教程
weixin_45773632的博客
03-02 392
文章目录1. 简介2. JWT的使用场景 1. 简介 JSON Web Token(缩 JWT)是目前最流行的跨域认证解决方案。 JWT定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。 JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。 JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。 JWT 常用于代替
JWT入门指南
白豆五的博客
06-20 1864
JWT(全称:JSON Web Token),通过数字签名的方式,以JSON对象作为载体,在不同的服务终端之间安全的传输信息。JWT 是实现Token无状态会话认证技术的一种标准。 JWT作用:通常用于web应用程序的 身份验证 和 鉴权 。 JWT令牌由Header、Payload、Signature三部分组成,每部分字符串中间用`.` 拼接。JWT令牌的最终格式是这样的: Header.Payload.Signature。
jwt教程学习
QQwli的博客
05-26 652
JWT 1、什么是JWT 官网:https://jwt.io/ 学习资料:https://baobao555.tech/archives/40 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于作为JSON对象在各方之间安全地传输信息。可以验证和信任该信息,因为它是数字签名的。jwt可以使用一个秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 简单来说,就是通过JSON形式作为Web应用中的令牌,用于在各方面之间安全的将
JWT的创建和解析简单说明
Wyndem的博客
10-31 1832
添加依赖: Maven &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt-api&lt;/artifactId&gt; &lt;version&gt;0.10.5&lt;/version&gt; &lt;/dependency&gt
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值