JWT知识总结与使用

最新推荐文章于 2024-08-02 07:00:00 发布
最新推荐文章于 2024-08-02 07:00:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: JAVA web 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chao821/article/details/113485802
版权

1、JWT简介

        Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

2、JWT的构成

JWT是由三部分构成,将这三段信息文本用链接构成了JWT字符串。就像这样

<pre>eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U</pre>

第一部分我们称它为头部(header)第二部分我们称其为载荷(payload,类似于飞机上承载的物品),第三部分是签证(signature)

header

JWT的头部承载的两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法,通常直接使用HMAC SHA256

完整的头部就像下面这样的JSON

<pre>{ 'typ':'JWT', 'alg':'HS256' }</pre>

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分

<pre>eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9</pre>

plyload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明

  • 公共的声明

  • 私有的声明

    标注中注册的声明(建议不强制使用)

  • iss:jwt签发者

  • sub:jwt所面向的用户

  • aud:接收jwt的一方

  • exp:jwt的过期时间,这个过期时间必须大于签发时间

  • nbf:定义在什么时间之前,该jwt都是不可用的

  • iat:jwt的签发时间

  • jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

    公共的声明:

    公共的声明可以添加任何的信息,一般添加用户的相关信息或其它业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密;

    私有的声明

    私有的声明是提供者和消费者功能定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为名文信息。

    定义一个payload

<pre>{ "sub": "1234567890", "name": "John Doe", "admin": true }</pre>

然后将其base64加密,得到jwt的一部分

<pre>eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9</pre>

Signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header(base64后的)

  • payload(base64后的)

  • secred

    这个部分需要base64加密后的header和base64加密后的payload使用“.”连接组成的字符串,然后通过header中声明的加密方式进行加secret组合加密,然后就构成了jwt的第三部分

<pre>var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload); var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ</pre>

将这三部分用“.”连接成一个完整的字符串,构成了最终的jwt:

<pre>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ</pre>

注意:secret是保存在服务器端的,jwt的签发也是在服务端的,secret就是用来进行jwt的签发和jwt的验证,所以它就是你服务端的私钥,在任何场景都不应该流露出去,一旦客户端得知这个secret,那就意味着客户端可以自我签发jwt了。

3、JWT使用

1)引入依赖

<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.4.0</version>
</dependency>

2)生成token

Date date = new Date(System.currentTimeMillis()+EXPIRE_TIME);
                Algorithm algorithm = Algorithm.HMAC256(SECRET);
                String token= JWT.create()
                        .withClaim("username", username)
                        .withClaim("roles",user.getRoles())
                        .withExpiresAt(date)
                        .sign(algorithm);
                redisService.remove(username);
                System.out.println("before: "+token);
                redisService.set(username,token);
                System.out.println("after: "+ redisService.get(username));

3)利用拦截器拦截验证token

String token = httpServletRequest.getHeader("Authorization");
try {
     DecodedJWT jwt =JWT.decode(token);
     return jwt.getClaim("roles").asString();
}catch (JWTDecodeException e){
      e.printStackTrace();
      return null;
}

4、JWT不足

由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。因此很多情况下需要对其生效时间设置较短为宜。

参考文章:

https://www.jianshu.com/p/12b609e40029

http://www.leftso.com/blog/221.html

chao09_01
关注
专栏目录
php jwt使用案例,PHP JWT基础知识及其简单示例
weixin_39793189的博客
03-10 702
PHP JWT初识及示例一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之...
Django 自带的用户模块 与 JWT知识总结
wk123555的博客
01-30 315
1 什么是用户自带的用户模块 答:Django提供的用户系统可以快速实现基本的功能,并可以在此基础上继续扩展以满足我们的需求。类似写好的模板。 2 自带的用户模块提供的功能 1:提供用户模块(User Model) 2:权限验证(默认添加已有模块的增加删除修改权限) 3:用户组与组权限功能 4:用户鉴权与登录功能 5:与用户登录验证相关的一些函数与装饰方法 3 使用方法 1 setting 中配置 # 此处代码的作用是应为使用了 AbstractUser 继承了公用的用户模块 所以要在setting中
JWT使用
LLLLeBron的博客
07-05 596
JWT JWT(JSON WEB TOKEN) 由三段信息构成,三段内容之间用.链接 header jwt的头部承载两部分信息: 声明类型,这里是jwt 声明加密的算法 通常直接使用 HMAC SHA256 { 'typ': 'JWT', 'alg': 'HS256' } 头部通过base64编码之后就构成第一部分 payload 即存放有效信息的地方;包含三个部分 标准中注册的声明 公共的声明 私有的声明 标准中注册的声明(建议但不强制使用) iss: jwt签发者 sub:
获取访问用户本机地址
Zou_de_b的博客
12-02 216
public static String getIpAddr(HttpServletRequest request) { String ipAddress = null; try { ipAddress = request.getHeader("x-forwarded-for"); if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress).
Java中的单点登录实现:OAuth2与JWT
最新发布
微赚开发者技术分享博客
08-02 666
单点登录(Single Sign-On, SSO)是一种认证机制,允许用户在多个应用系统中使用一个账户登录一次,即可访问所有相互信任的应用系统。通过配置授权服务器、资源服务器、用户服务和安全配置,我们实现了一个简单且安全的RESTful微服务。OAuth2(Open Authorization)是一个用于资源授权的开放标准,允许第三方应用以有限的访问权限访问用户的资源,而无需将用户的凭据暴露给第三方。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
JWT基础用法
学习学习学习学习
10-12 567
JWT 基本用法 导包 <!--引入jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 创建token
常用工具类之jwt的学习使用
weixin_53998054的博客
10-22 1290
jwt使用
jwt 进行用户认证
qq_43183527的博客
06-29 1637
Java实现基于token认证 随着互联网的不断发展,技术的迭代也非常之快。我们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,这种认证已经不能满足与我们的业务需求了(分布式,微服务)。我们采用了另外一种认证方式:基于token的认证。 一、与cookie相比较的优势 支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的 无状态化,服...
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
总结来说,Cookie、Session和JWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
ASP.NET Core 3.1 JWT token实现与应用
04-25
总结来说,ASP.NET Core 3.1结合JWT提供了一套强大且灵活的身份验证和授权解决方案。通过正确配置和使用,可以确保API的安全性,同时提供良好的用户体验。了解这些知识点,对于开发安全、高效的Web应用程序至关重要...
spring-security-jwt总结与实现
V539413949的博客
04-24 1598
jwt总结与实现 请求和响应 请求实体-规定的客户端传给jwt认证服务器的参数 响应实体-规定了jwt服务端颁发给客户端的jwt token的结果 jwtUtil类 主要提供了jwt的实现方法,如加密规则,生成token,获取token等 SecurityConfigurer类 主要设置了加密方法,用户信息读取方法,配置路由的授权规则等 过滤器JwtRequestFilter 对指定的http请求进行拦截和用户认证等 测试类 可以使用postman类似的工具进行jwt的测试 post http://
JWT笔记
qq_44799530的博客
06-04 248
** JWT ** 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digita
JSON Web Token 入门教程
weixin_34067102的博客
07-24 964
2019独角兽企业重金招聘Python工程师标准>>> ...
jwt超时时间 angular expiredat_SpringBoot集成JWT实现权限认证
weixin_39524842的博客
11-26 728
上一篇文章《一分钟带你了解JWT认证!》介绍了JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现认证的过程,带你更深入的了解下JWT。一、JWT认证流程 认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt;服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证该jwt;返回响应的资源给浏览器。二、SpringBoot...
Token生成及其引用
qq_42011565的博客
05-11 432
转自https://blog.csdn.net/weixin_44832837/article/details/103815551 Token生成及校验 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.2</version> </dependenc
JWT(1)介绍与使用
w_t_y_y的博客
01-15 805
.
JWT Token 自动续期的解决方案
孤独的大佬
09-24 3749
后端 在登录接口中 如果校验账号密码成功 则根据用户id和用户类型创建jwt token(有效期设置为-1,即永不过期),得到A 更新登录日期(当前时间new Date()即可)(业务上可选),得到B 在redis中缓存key为ACCESS_TOKEN:userId:A(加上A是为了防止用户多个客户端登录 造成token覆盖),value为B的毫秒数(转换成字符串类型),过期时间为7天(7 * 24 * 60 * 60) 在登录结果中返回json格式为{“result”:“success”,“token”
JWT学习记录
weixin_43626529的博客
09-28 164
JWT:Java Web Token 官网:https://jwt.io/introduction @Test public void test01(){ //HashMap<String,Object> map=new HashMap<>(); Calendar instance=Calendar.getInstance(); instance.add(Calendar.HOUR,1); String token = JWT.create(
token 过期后,如何自动续期?
程序IT圈
10-02 496
JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。JWT标准里面定义的标准claim包括:iss(Issuser):JWT的签发主体;sub(Subject):JWT的所有者;aud(Audience):JWT的接收对象;exp(Expiration time):JWT的过期时间;nbf(Not Before):JWT的生效开...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值