我和我的项目之Security整合JWT

最新推荐文章于 2024-01-22 14:56:25 发布
最新推荐文章于 2024-01-22 14:56:25 发布
阅读量293 收藏 1
点赞数
文章标签: 字符串 jwt cookie java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boom_404/article/details/114985436
版权

写在前面:

上一篇文章

幸运的金荷,公众号:我这一路我和我的项目之整合Security

对Security做了初步的介绍。了解其大致运行原理。归结起来可以用下面这张图进行概括。

但落地到实际项目中还是存在着不少缺陷。例如token安全问题。

Ps:完整项目请访问我码云地址https://gitee.com/lth1024/Security

Token

【定义】   

  token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是API鉴权。

【常见的API 鉴权】

1.cookie + session

和平常 web 登陆一样的鉴权方式,很常见。

2.HTTP Basic

将账号和密码拼接然后base64 编码加到 header 头中。很显然,因为账号和密码几乎是『明文』传输的,而且每次请求都传,安全性可想而知。

3.HTTP Digest

每次请求都要对账号、密码取一次摘要,也就是说每次请求都要有账号和密码,也就是说账号和密码要么缓存一下,要么就每次请求要去用户输一次密码,这样显然不合适。同样,上面的 Basic 也存在这样的问题。

4.Token

token 通过一次登录验证,得到一个鉴权字符串,然后以后带着这个鉴权字符串进行后续操作,这样就可以解决每次请求都要带账号密码的问题,而且也不需要反复使用账号和密码。

【Token的优势】

Token 相对于 Cookie + Session 的优点,主要有下面两个:

①CSRF 攻击

这个原理不多做介绍,构成这个攻击的原因,就在于Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 session_id)是由浏览器自动携带发送到服务端的,借助这个特性,攻击者就可以通过让用户误点攻击链接,达到攻击效果。而token是通过客户端本身逻辑作为动态参数加到请求中的,token 也不会轻易泄露出去,因此token在CSRF 防御方面存在天然优势。

②适合移动应用

移动端上不支持cookie,而token只要客户端能够进行存储就能够使用,因此token在移动端上也具有优势。

【Token的种类】

  1. 自定义的token:开发者根据业务逻辑自定义的token

  2. JWT:JSON Web Token,定义在 RFC 7519 中的一种token规范

  3. Oauth2.0:定义在 RFC 6750 中的一种授权规范,但这其实并不是一种 token,只是其中也有用到 token

JWT

【定义】  

JWT 全称JSON Web Tokens,是一种规范化的 token。可以理解为对 token 这一技术提出一套规范,是在 RFC 7519 中提出的。

【组成】

一个 JWT token 是一个字符串,它由三部分组成,头部、载荷与签名,中间用 . 分隔。

头部(header)

头部通常由两部分组成:令牌的类型(即 JWT)和正在使用的签名算法(如 HMAC SHA256 或 RSA.)

载荷(Payload)

载荷中放置了token 的一些基本信息,以帮助接受它的服务器来理解这个 token。同时还可以包含一些自定义的信息,用户信息交换。

载荷的属性也分三类:

  1. 预定义(Registered)

  2. 公有(public)

  3. 私有(private)

签名(Signature)

签名时需要用到前面编码过的两个字符串,如果以 HMACSHA256 加密,就如下:

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret
)

加密后再进行 base64url 编码。最后得到的字符串就是 token 的第三部分 zzzzz。

组合便可以得到 token:xxxxx.yyyyy.zzzzz

签名的作用:保证 JWT 没有被篡改过:

HMAC 算法是不可逆算法,类似 MD5 和 hash ,但多一个密钥,密钥(即上面的 secret)由服务端持有,客户端把 token 发给服务端后,服务端可以把其中的头部和载荷再加上事先共享的 secret 再进行一次 HMAC 加密,得到的结果和 token 的第三段进行对比,如果一样则表明数据没有被篡改。

【使用】

JWT 的使用有两种方式:

  1. 加到 url 中:?token=你的token

  2. 加到 header 中,建议用这种,因为在 https 情况下更安全:Authorization:Bearer 你的token

具体项目可以git pullgit@gitee.com:lth1024/Security.git拆箱即用。

梁同学Coding
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
laravel tymon/jwt-auth在用户是多表情况下的授权验证
caozhennan824的博客
06-21 1515
导语 接上一篇文章末尾抛出的问题,在多表用户的情况下,一个守卫对应的一个资源提供者势必不能够满足要求了。这个时候最直观的操作就是增加守卫及其对应的资源提供者,用来覆盖这个需要验证用户的新数据表。 接下来是很重要的一段话,请仔细阅读: 当两个守卫(本文以user和admin为例)所对应的资源提供者不同时(分别对应Model\User,\Model\admin),假设分别以两表中id为1的记录生成token,分别为token-user,token-admin。 在版本为0.5.*的tymon/jwt-auth下
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
解析JWT token
CodingStudying的博客
01-09 2630
在前端解析 token 的过程通常涉及到验证 token 的有效性以及提取 token 中包含的信息。Token 通常用于身份验证和授权,例如 JWT(JSON Web Tokens)。)来解析 JWT token。JWT token 通常由三部分组成:头部(header)、载荷(payload)和签名(signature),它们之间由点(首先,你需要从存储中获取 token。是可用的,但在某些 Node.js 环境中可能不可用。)中获取,或者是从服务器响应中获取。函数在当前环境中不可用。
WEB安全(十三)Token认证的优势与劣势
jinyangjie的博客
02-17 4496
一、优势 token 相对于 Cookie + Session 的优势,主要有下面四个: 1、无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。 2、防止CSRF 攻击 CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 ses
一文带你搞懂 JWT 常见概念 & 优缺点
m0_67698950的博客
06-23 947
JWT 基本概念详解这篇文章中,我介绍了:这篇文章,我们一起探讨一下 JWT 身份认证的优缺点以及常见问题的解决办法。相比于 Session 认证的方式来说,使用 JWT 进行身份认证主要有下面 4 个优势。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。不过,也正是由于 JWT 的无状态,也导致了它最大的缺点:不可控!就比如说,我们想要在 JWT 有效期内废弃一个 JWT 或者更改它的权限的话,并
Shiro实战详解(4)--JWT生成token以及解析token
最新发布
ji_xin0721的博客
01-22 1173
JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。实现步骤:1.创建RedisSessionDao extends AbstractSessionDAO2.配置ShiroConfig首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生。
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurityjwt整合到SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecurity? SpringSecurity是一个基于Java安全框架,它提供了一个灵活的安全机制来...
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的...本文通过详细的示例代码和配置示例,帮助读者快速了解和掌握SpringSecurity整合Jwt的过程图解,提高了读者的学习和工作效率。
SpringBoot2.6整合SpringSecurity+JWT
01-11
**三、SpringBoot 2.6与Spring Security整合** 1. **添加依赖**:首先,在`pom.xml`文件中引入Spring SecurityJWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一...
SpringSecurity 整合 JWT.docx
06-27
为了在Spring Security整合JWT,首先需要引入JWT的相关库,如jjwt。然后,可以创建JWT的生成和解析方法。以下是一个简单的示例: ```java import io.jsonwebtoken.Jwts; import java.util.Date; public class ...
jwt介绍二:Token组成方式
snow_love_xia的博客
03-03 1425
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
jwt token 组成分析
上官hao的博客
12-15 921
通过jwt组件生成的token分为 header、payload、signature三部分,通过.连接 第一部分 header eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 base64解密后 {"typ":"JWT","alg":"HS256"} 第二部分payload {"iss":"","iat":1607949872,"exp":1609159472,"nbf":1607949872,"jti":"teQbWN5XTzwP2UeP","sub":100000,"prv
JWT——Token认证的两种实现和安全详解
热门推荐
二缺和傻宝宝的博客
06-26 8万+
前言: 最近因为项目中需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从中总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这篇文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章
JWT RSA无状态鉴权基本原理与使用(token入门)
itwxming的博客
09-17 1110
前后端交互时不能只将用户信息封装进JWT中,否则token被人截获可以冒用。应该将所有的动态参数也封装进token里去,使之变成动态token,并解析比对token里的参数和获取到的参数的一致性。防止token有效,但参数被篡改!!! (相对彻底解决token被劫持,一个比较简单的解决思路:关于测试报告中第一个垂直越权漏洞,并不是完全像测试报告说的那样。首先,1、api/passwordchec...
Web 开发必须掌握的三个技术:Token、Cookie、Session
hzp666的博客
02-24 179
在Web应用中,HTTP请求是无状态的。即:用户第一次发起请求,与服务器建立连接并登录成功后,为了避免每次打开一个页面都需要登录一下,就出现了cookie,Session。 Cookie Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。Cookie存储的数据量有限,且都是保存在客户端浏览器中。不同的浏览器有不同的存储大小,但一般不超过4KB。因此使用Cookie实际上只能存储一小段的文本信息。 例如:登录网站,今输入用户名密码登录了,第二天再打开很
JWT验证原理
qq_42499188的博客
07-16 636
1.概述 什么是JWT?JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息。 2.JWT的结构 JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。 如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信息的完整性,可靠性。 2.1 头部(Header) JWT的头部用于描述关于该JWT的最基本的信息,例如.
JWT+RSA无状态鉴权基本原理与使用
沙滩上的拖鞋
02-26 7399
JWT+RSA无状态鉴权基本原理与使用1.无状态登录原理1.1 什么是无状态?2 JWT2.1简介2.2数据格式2.3JWT交互流程2.4.非对称加密3 使用3.1使用JWT 1.无状态登录原理 1.1 什么是无状态? 1.1.1有状态服务:即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们...
jwt单点登录_深入理解 JWT 的使用场景和优劣
weixin_39763033的博客
11-29 657
(给ImportNew加星标,提高Java技能)转自:Kirito的技术分享/作者:徐靖峰到底哪些场景适合使用 jwt?我并不是 jwt 方面的专家,和不少读者一样,起初研究时我也存在相同疑惑,甚至在逐渐接触后产生了更大的疑惑,经过这段时间项目中的使用和一些自己思考,把个人的总结整理成此文。编码,签名,加密这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个...
JWT简单介绍
白羊座的橙子
08-03 384
在上面的代码中,alg 属性表示签名使用的算法,默认为 HMAC SHA256(写为 HS256);在计算出签名哈希后,JWT 头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个 JWT 对象。有效载荷部分,是 JWT 的主体内容部分,也是一个 JSON 对象,包含需要传递的数据。通过检查签名,期望的颁发者(issuer),期望的接收者aud(audience),或者scope,签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。........
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值