5分钟详解JWT

最新推荐文章于 2024-08-24 11:33:16 发布
最新推荐文章于 2024-08-24 11:33:16 发布
阅读量773 收藏
点赞数
分类专栏: springboot 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brian8271/article/details/116498043
版权
本文介绍了如何在SpringBoot项目中集成JWT,并展示了创建和验证JWT令牌的步骤。通过添加spring-security-jwt依赖,创建测试类,对JWT的生成和解码过程进行了详细解释,包括头部信息、有效载荷和签名的组成。最后,提到了JWT在OAuth2授权中的应用场景,演示了如何在请求头中携带JWT进行授权验证。
摘要由CSDN通过智能技术生成

 1、创建一个maven工程,引入jwt的springboot依赖

            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-jwt</artifactId>
                <version>1.0.10.RELEASE</version>
            </dependency>

2、创建一个测试类

public class JWTTest {
    String accessToken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9" +
            ".eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ.lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU";

    String content ="{\"aud\":[\"res1\"],\"user_name\":\"admin\",\"scope\":[\"ROLE_ADMIN\",\"ROLE_USER\"," +
            "\"ROLE_API\"],\"exp\":1620384962,\"authorities\":[\"ROLE_admin\",\"test\"]," +
            "\"jti\":\"f619820a-b192-428c-9fae-84ac31244fe0\",\"client_id\":\"springcloudsecurity\"}";

    /**
     * 签名密钥
     */
    private final String signingKey = "jwtSigningKey";
    /**
     * 签名算法
     */
    private final Signer signer = new MacSigner(signingKey);
    /**
     * 认证密钥
     */
    private final String verifierKey = signingKey;
    /**
     * 认证算法
     */
    private final SignatureVerifier signatureVerifier = new MacSigner(verifierKey);

    @Test
    public void encode(){
        final Jwt encode = JwtHelper.encode(content,signer);
        System.out.println(encode.getEncoded());
        final String encodeJwt = encode.toString();
        System.out.println(encodeJwt);
        final Jwt decode = JwtHelper.decodeAndVerify(encode.getEncoded(), signatureVerifier);
        System.out.println(decode.toString());
        assert  encodeJwt.equals(decode.toString());
    }

    
    @Test
    public void decode(){
        final Jwt decode = JwtHelper.decode(accessToken);
        System.out.println(decode);
    }

}

3、运行一下结果:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ.lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU
{"alg":"HS256","typ":"JWT"} {"aud":["res1"],"user_name":"admin","scope":["ROLE_ADMIN","ROLE_USER","ROLE_API"],"exp":1620384962,"authorities":["ROLE_admin","test"],"jti":"f619820a-b192-428c-9fae-84ac31244fe0","client_id":"springcloudsecurity"} [32 crypto bytes]
{"alg":"HS256","typ":"JWT"} {"aud":["res1"],"user_name":"admin","scope":["ROLE_ADMIN","ROLE_USER","ROLE_API"],"exp":1620384962,"authorities":["ROLE_admin","test"],"jti":"f619820a-b192-428c-9fae-84ac31244fe0","client_id":"springcloudsecurity"} [32 crypto bytes]

4、详解

jwt = 头部信息.有效信息.签名

jwt= eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ.lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU

  • 头部信息,base64加密

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

{
  "alg": "HS256",
  "typ": "JWT"
}

jwt的头部承载两部分信息:

  1. 声明类型,这里是JWT
  2. 声明加密的算法 通常直接使用 HMACSHA256,也就是测试类中MacSigner使用的默认算法

  • 有效信息,base64加密

eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ
包括:标注声明(选填)+公共声明+私有声明

  标准中注册的声明(都是选填)

{
	"aud": ["res1"],
	"exp": 1620384962,
	"jti": "f619820a-b192-428c-9fae-84ac31244fe0",
}
  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

  公共的声明

  私有的声明

{    
    "user_name": "admin",
    "scope": ["ROLE_ADMIN", "ROLE_USER", "ROLE_API"],
    "authorities": ["ROLE_admin", "test"],
    "client_id": "springcloudsecurity"
}

  • 签名:HMACSHA256(头部信息 +"."+有效信息,secret)

lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU

5、在springboot oauth2中的应用

curl --location --request GET 'http://localhost:8080/' \
--header 'Authorization: Bearer eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ'

在Header中加入Authorization头,写入jwt即可

宇哥哦
关注
专栏目录
JWT原理解析与实现
weixin_46120888的博客
12-26 4473
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 4009
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT(JSON WEB TOKEN)详解
最新发布
yjp1240201821的博客
08-24 2334
JWT(JSON WEB TOKEN),本文主要详细讲解了jwt,从其定义、token的理解、结构、使用等等帮助深刻理解jwt
JWT解析
qq_43538925的博客
12-06 518
一个token分3部分,按顺序为头部(header)其为载荷(payload)签证(signature)由三部分生成token3部分之间用“.”号做分隔。例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c验证koten地址。
JWT详细解析
m0_65224643的博客
07-30 6541
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
详解JWT token心得与使用实例
01-21
JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串: eyJhbGciOiJIUzI1NiJ9 有效...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
详解使用JWT实现单点登录(完全跨域方案)
10-16
5. 如果验证通过,服务器处理请求,否则返回错误。 需要注意的是,JWT中的Payload部分虽然可以防止篡改,但默认情况下是不加密的,因此不应包含敏感信息。如果需要保护信息的隐私,可以使用JWT的加密功能。此外,...
JSON Web Token 入门教程
weixin_34067102的博客
07-24 979
2019独角兽企业重金招聘Python工程师标准>>> ...
基于JWT实现SSO单点登录流程图解
08-18
主要介绍了基于JWT实现SSO单点登录流程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security Oauth2 解析jwt
Claroja
03-08 237
JWT令牌详细解析
qq_40818172的博客
07-16 1771
主要介绍了SpringBoot集成JWT令牌详细说明,JWT方式校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录,验证token更为简单。
JWT 详细分析
Galaxy_0的博客
01-12 1350
JWT 详细分析
深入解析JWT,从根源上保障你的网络安全
wuli1024的博客
12-07 1839
JWT结构 JWT由三部分组成,分别是头部、载荷和签名。头部用于描述签名算法和类型,载荷用于存储用户信息和过期时间等,签名用于验证Token的合法性和完整性。JWT优点 相比于传统的Session认证方式,JWT具有以下优点:无状态、可扩展、安全性高、跨平台、可自定义负载等。JWT使用场景 JWT适用于前后端分离的Web应用,如SPA单页面应用,APP等场景下。同时,JWT也可以用于微服务架构中的服务认证和授权。
JWT 使用分析
mannnn__的博客
12-12 381
JWT 使用分析 JWT 即(JSON WEB TOKEN),用于前后端分离的web项目的身份验证。 JWT计算方式 JAVA实现依赖jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactI...
SpringBoot整合JWT实现认证详解
"本文将详细介绍如何在SpringBoot项目中整合JWT技术进行用户认证。" JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宇哥哦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值