JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码

最新推荐文章于 2025-03-24 09:00:00 发布
最新推荐文章于 2025-03-24 09:00:00 发布
阅读量1.1w 收藏 23
点赞数 3
分类专栏: JwtToken 文章标签: jwt tokenization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/burgerh/article/details/121527715
版权

文章目录

一、什么是JWT认证

Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

二、JWT认证的特点

优点:

1.体积小,因而传输速度快

2.传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输

3.严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。

4.支持跨域验证,可以应用于单点登录

缺点:

1.安全性
由于jwt的payload是使用base64编码的,并没有加密,因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全。

2.性能
jwt太长。由于是无状态使用JWT,所有的数据都被放到JWT里,如果还要进行一些数据交换,那载荷会更大,经过编码之后导致jwt非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以jwt一般放在local storage里面。并且用户在系统中的每一次http请求都会把jwt携带在Header里面,http请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用jwt的http请求比使用session的开销大得多。

3.一次性
无状态是jwt的特点,但也导致了这个问题,jwt是一次性的。想修改里面的内容,就必须签发一个新的jwt。

三、JWT的组成

JWT由三部分组成:header(头部)、payload(载荷)、signature(签名)
JWT的格式为:header.payload.signature

加密后的样例展示:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwYXNzd29yZCI6ImMyMGFkNGQ3NmZlOTc3NTlhYTI3YTBjOTliZmY2NzEwIiwiaWQiOjksImV4cCI6MTYzODM3Mjk5NSwiaWF0IjoxNjM3NzY4MTk1LCJ1c2VybmFtZSI6IjEyIn0.tslCAlrbk2m4YTiHhxW5exFe0JbwWaDSWG0xI8F4Vmg

接下来详细介绍三者的组成:
1.header(头部)
JWT头部一般包含两部分信息:
1)typ(类别)
2)alg(加密算法,常用的是HMAC256、SHA256)
示例:

{
	"alg":  "HMAC256",
	"typ": "JWT"
}

之后将头部的内容进行base64加密(这种加密是能够对称解密的),加密之后就构成了第一部分:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。

2.payload(载荷)
JWT的载荷部分是存放有效信息的地方,对于安全性比较高的程序,一般建议不要存放敏感信息,一般包含三部分信息:
1)需要添加进去的有效信息
2)token的签发时间和过期时间
3)私有的声明
示例:

{
		"username": username,
		"password": password,
		"id": id,
		"iat": iatDate, // 签发时间
		"exp": expiresDate // 过期时间
		...
}

同样将上述json对象进行base64加密后可以得到第二部分token字符串:eyJwYXNzd29yZCI6ImMyMGFkNGQ3NmZlOTc3NTlhYTI3YTBjOTliZmY2NzEwIiwiaWQiOjksImV4cCI6MTYzODM3Mjk5NSwiaWF0IjoxNjM3NzY4MTk1LCJ1c2VybmFtZSI6IjEyIn0

3.signature(签名)
这一部分一般设置一个公用密钥进行加密,只能在服务端解密。

四、JWT代码展示

JwtToken工具类

package com.kkkoke.networkrepair.util.token;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.kkkoke.networkrepair.util.MD5Util;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtToken {
    /*
    * 公用密钥-保存在服务端,客户端是不知道密钥的,以防被攻击
    * */
    public static String SECRET = "kkkoke2021";

    // String username, String password
    public static String creatToken(String username, String password, Long id) throws Exception {
        // 签发时间
        Date iatDate = new Date();

        // 过期时间
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.DAY_OF_WEEK, 7);
        Date expiresDate = nowTime.getTime();

        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HMAC256");
        map.put("typ", "JWT");
        String token = JWT.create()
                .withHeader(map) // header
                .withClaim("username", username) // payload
                .withClaim("password", password)
                .withClaim("id", id)
                .withExpiresAt(expiresDate) // 设置过期时间。过期时间要大于签发时间
                .withIssuedAt(iatDate) // 设置签发时间
                .sign(Algorithm.HMAC256(SECRET)); // 加密

        return token;
    }

    /*
    * 解密Token
    * */
    public static Map<String, Claim> verifyToken(String token) throws Exception {
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT jwt = null;
        try {
            jwt = verifier.verify(token);
        } catch (Exception e) {
            throw new RuntimeException("登录凭证已过去,请重新登录");
        }

        return jwt.getClaims();
    }
}

解析示例

Map<String, Claim> jwt = JwtToken.verifyToken(token);
String username = jwt.get("username").asString()// 提取解析出的username
String password = jwt.get("password").asString()// 提取解析出的password
// 提取其他解析出来的内容也是一样的,希望对大家有帮助
JWT token心得使用实例
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
MySQL安装配置教程(超详细保姆
热门推荐
Soloversion的博客
03-26 43万+
一、 下载MySQL Mysql官网下载地址https://downloads.mysql.com/archives/installer/ 1. 选择想要安装的版本,本篇文章选择的是5.7.31版本,下面的那个文件,点击Download下载 二、 安装MySQL 1. 选择设置类型 双击运行mysql-installer-community-5.7.31.0.msi 这里选择是自定义安装,所以直接选择“Custom”,点击“Next” “Developer Default”是开发者默认
JWT Token
weixin_45072119的博客
06-17 2021
JWT是json web token的缩写,它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
JWT令牌——详解(保姆式解析代码教学)
最新发布
cnjdd的博客
03-24 2170
等号它是一个补位的符号。指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。运行测试方法,输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。指的是它能够以较小的体积包含所有的信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
什么是 JWT Token
让每一行代码都有改变世界的力量
09-17 5793
什么是 JWT TokenJWT 简介认证流程用户认证的流程安全限制客户端JWT Token 的方式Bearer 是什么意思? JWT 简介 JSON Web Token (JWT,RFC 7519 (opens new window)),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519)。该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服
JWT token
vengu733的博客
11-08 349
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密【可解析的】。官网: https://jwt.io/
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 6484
JSON Web Token (JWT)详解
sessiontoken
Uzizi的博客
07-30 504
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
2023闲鱼无货源超详细保姆教程-视频教程网盘链接提取码下载.txt
12-18
本课程将深入探讨2023年闲鱼无货源情况,为您提供超详细的解决方案。我们将详细介绍如何寻找替代货源、建立稳定的供应链以及利用社交媒体拓展...这是一份保姆教程,确保您能迅速适应并获得成功。 视频大小:772M
保姆教程代码】电容转换器CDC AD7745/AD7746保姆应用教程
02-18
使用Arduino uno板以及实现对AD7745的通信,并且读出相应的电容值以及温度,对应的应用教程地址:https://blog.csdn.net/qq_40604876/article/details/135769467
【VScode编辑器】VScode基本使用全面讲解+vscode配置C/C++环境(超详细保姆教学)
09-14
【VScode编辑器】VScode基本使用全面讲解+vscode配置C/C++环境(超详细保姆教学)【VScode编辑器】VScode基本使用全面讲解+vscode配置C/C++环境(超详细保姆教学)【VScode编辑器】VScode基本使用全面讲解+...
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
AD超详细保姆操作演示
10-04
《AD超详细保姆操作演示》是一篇针对初学者极其友好的AD软件操作教程,旨在帮助用户从零开始掌握AD的使用。AD,即Altium Designer,是一款广泛应用于电子设计领域的软件,它集成了原理图设计、PCB布局、仿真等功能...
tokenjwt使用例子
jingzhi_f
04-16 281
token使用例子 1.客户端登录服务端后,服务端生成一个随机码token,存储到redis中,设置30分钟过期,然后将token返回给客户端 2.客户端再次登录服务器并发送token,服务端根据到redis中查找到该token相关信息,返回登录成功 3.token明文传输很危险,所以要用https放到post body中传输。 JWT(json web token)使用例子 1.客户端登录服...
关于JWT token
qq_36186068的博客
09-19 451
结合https://blog.csdn.net/qq_37636695/article/details/79265711谈一下如何在java中使用JWT 上述文章说明了在sso简单来说,单点登录SSO(Single SignOn)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录。也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如...
JWT中的Token
m0_64245578的博客
08-18 1112
jwt(json web token的缩写)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对,进行签名。通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。
JWT | 一分钟掌握JWT | 概念及实例
BASK2312的博客
05-16 409
JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用算法)或使用或的公钥/私钥对进行签名。
jwt token实例操作
weixin_30767835的博客
08-31 1699
最近在做一个app,登录验证是用的jwttoken验证,今天来记录一下...... 我的本次实例操作主要参考了下面资料 https://jwt.io/introduction/ https://blog.csdn.net/jikeehuang/article/details/51488020 https://www.cnblogs.com/ganchuanpu/archive/2017/...
简单的jwt实现token登录验证(详细保姆
11-21
JWT(JSON Web Token)是一种轻量的身份验证协议,常用于无状态的Web应用中。简单来说,它是一个包含用户信息的安全字符串,由三部分组成:头部、负载和签名。下面是使用Node.js和`jsonwebtoken`库进行JWT实现的步骤(保姆教程): 1. **安装依赖**: 首先需要安装`jsonwebtoken`库,可以使用npm安装: ``` npm install jsonwebtoken ``` 2. **创建服务端路由**: 在服务器端设置一个POST请求处理登录请求,接收用户名和密码,如: ```javascript const jwt = require('jsonwebtoken'); app.post('/login', async (req, res) => { // 假设验证用户名和密码的逻辑已存在 const user = await authenticateUser(req.body.username, req.body.password); if (!user) { return res.status(401).json({ message: 'Invalid credentials' }); } // 创建JWT const token = jwt.sign({ userId: user.id }, 'your-secret-key', { expiresIn: '1h' }); // 使用一个安全的密钥 res.json({ access_token: token }); }); ``` 3. **生成Token**: 当用户成功登录后,服务端会生成一个JWT并返回给客户端。 4. **客户端存储Token**: 客户端通常会在浏览器的本地存储(localStorage或cookie)中保存这个Token,或者将它加到HTTP头中(例如`Authorization: Bearer <token>`)。 5. **保护API资源**: 对于需要授权的API,可以在中间件中检查JWT是否有效: ```javascript app.get('/protected-resource', verifyToken, (req, res) => { // 这里可以访问用户信息,因为已经通过验证 console.log(req.user); // 用户数据 res.json({ message: 'You are authenticated' }); }); function verifyToken(req, res, next) { const bearerHeader = req.headers['authorization']; if (typeof bearerHeader !== 'undefined') { const token = bearerHeader.split(' ')[1]; try { const decoded = jwt.verify(token, 'your-secret-key'); req.user = decoded; next(); } catch (err) { return res.status(401).json({ message: 'Unauthorized' }); } } else { return res.status(401).json({ message: 'No token provided' }); } } ``` 6. **刷新Token**: 如果JWT过期,可以考虑提供一个刷新令牌的API,允许用户在token失效时获取新的JWT
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值