Java基础之《JWT使用》

已于 2022-11-07 17:37:52 修改
阅读量3.2k 收藏 5
点赞数 3
分类专栏: JAVA基础 文章标签: java 开发语言
于 2022-11-07 13:26:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csj50/article/details/127729322
版权

一、JWT基础

1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

2、jwt官网
https://jwt.io/

3、传统的token
传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。
有状态的token会在服务端存一份,类似session id,通过和服务器保存的token比对后确认合法性。

4、为什么不再用session id
session缺点,集群无法共享。

这个类似于session id的token需要存在redis中。前端传token,后端通过token获取userid,再用userid进行操作。

所以token依赖于redis,获取真实token存放value值。

5、使用token缺点
每次都需要根据token查询真实内容。对服务器端的压力非常大。

二、jwt例子

1、pom文件添加依赖

<!--JWT支持-->
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt-api</artifactId>
	<version>0.11.5</version>
</dependency>
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt-impl</artifactId>
	<version>0.11.5</version>
</dependency>
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt-jackson</artifactId>
	<version>0.11.5</version>
</dependency>

2、JWTDemo.java

package myboot;

import java.util.Date;

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.jackson.io.JacksonSerializer;

public class JWTDemo {

	public static void main(String[] args) {
		//jwt秘钥
		String signKey = "test123test123test123test123test123test123test123";
		//创建jwt
		JwtBuilder jwtBuilder =Jwts.builder().setId("66").setSubject("test123")
				.setIssuedAt(new Date())
				.claim("username", "zhangsan123123")
				//设置签名值
				.signWith(SignatureAlgorithm.HS256, signKey)
				//添加序列化
				.serializeToJsonWith(new JacksonSerializer<>());
		System.out.println(jwtBuilder.compact());
	}
}

执行结果:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NiIsInN1YiI6InRlc3QxMjMiLCJpYXQiOjE2Njc4MDE3MDUsInVzZXJuYW1lIjoiemhhbmdzYW4xMjMxMjMifQ.3wkV3WrPyjxyUs-9E_4-1QcpExE2N14zxFP_MlgAtjQ

3、报错密钥最少要256位
Exception in thread "main" io.jsonwebtoken.security.WeakKeyException: The signing key's size is 40 bits which is not secure enough for the HS256 algorithm.  The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS256 MUST have a size >= 256 bits (the key size must be greater than or equal to the hash output size).  Consider using the io.jsonwebtoken.security.Keys class's 'secretKeyFor(SignatureAlgorithm.HS256)' method to create a key guaranteed to be secure enough for HS256.  See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.

4、报错缺少序列化的包
Exception in thread "main" io.jsonwebtoken.lang.UnknownClassException: Unable to find an implementation for interface io.jsonwebtoken.io.Serializer using java.util.ServiceLoader. Ensure you include a backing implementation .jar in the classpath, for example jjwt-impl.jar, or your own .jar for custom implementations.

5、jwt官网可以base64解密出来

6、可以看到生成的jwt串,用点分割成了3部分
前两部分是base64编码,最后一部分是md5。

7、jwt官网可以base64解密出来

三、jwt底层组成部分

1、header(头部)
记录令牌类型、签名算法等。
{
  "type":"jwt"  --类型为jwt
  "alg":"HS256"  --加密算法为HS256
}
在header中描述jwt的payload的加密方式。

2、payload(载荷)
携带一些用户信息。
装载的数据,用户名称、用户头像之类,注意敏感数据不能存放。
标准中注册的声明:
iss:jwt签发者
sub:jwt所面向的用户
aud:接收jwt的一方
exp:jwt的过期时间,这个过期时间必须要大于签发时间
nbf:定义在什么时间之前,该jwt都是不可用的
iat:jwt的签发时间
jti:jwt的唯一身份标识,主要用来作为一次性token,从而避免重放攻击

3、signature(签名)
防止篡改payload中的数据,确保安全性。

4、jwt与token最大的区别
token依赖于redis查询数据信息,token存放value数据比较安全。
jwt不需要依赖于服务器端,将数据内容直接存放在客户端(浏览器)。

四、jwt优缺点

1、优点
(1)无需在服务器存放用户的数据,减轻服务器端压力
(2)轻量级、json风格比较简单
(3)跨语言

2、缺点
(1)token一旦生成,后期无法修改
(2)无法更新token有效期
(3)无法销毁一个token

五、jwt解密
1、JWTDemo02.java

package myboot;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JWTDemo02 {

	public static void main(String[] args) {
		//jwt秘钥
		String signKey = "test123test123test123test123test123test123test123";
		String jwt = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NiIsInN1YiI6InRlc3QxMjMiLCJpYXQiOjE2Njc4MDE3MDUsInVzZXJuYW1lIjoiemhhbmdzYW4xMjMxMjMifQ.3wkV3WrPyjxyUs-9E_4-1QcpExE2N14zxFP_MlgAtjQ";
		Claims body = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();
		System.out.println(body.toString());
	}
}

六、JWT加密和解密原理
1、JWTDemo05.java

package myboot;

import java.io.UnsupportedEncodingException;
import java.util.Base64;

import org.apache.commons.codec.digest.DigestUtils;

import com.alibaba.fastjson.JSONObject;

/**
 * JWT加密原理
 * @author user
 *
 */
public class JWTDemo05 {

	public static void main(String[] args) throws UnsupportedEncodingException {
		//header
		JSONObject header = new JSONObject();
		header.put("alg", "HS256");
		
		//payload
		JSONObject payLoad = new JSONObject();
		payLoad.put("userName", "zhangsan123123");
		payLoad.put("userAge", "21");
		
		//base64编码
		String jwtHeader = Base64.getEncoder().encodeToString(header.toJSONString().getBytes());
		String jwtPayLoad = Base64.getEncoder().encodeToString(payLoad.toJSONString().getBytes());
		
		String signKey = "test123test123test123test123test123test123test123";
		//签名,后面再加盐
		String sign = DigestUtils.md5Hex(payLoad.toJSONString() + signKey);
		
		String jwt = jwtHeader + "." + jwtPayLoad + "." + sign;
		System.out.println(jwt);
		
		/**
		 * 解密
		 */
		String str[] = jwt.split("\\.");
		String headerStr = new String(Base64.getDecoder().decode(str[0]), "UTF-8");
		String payLoadStr = new String(Base64.getDecoder().decode(str[1]), "UTF-8");
		String signStr = str[2];
		
		System.out.println(DigestUtils.md5Hex(payLoadStr + signKey).equals(signStr));
	}
}

执行结果可以在官网验证成功:

七、jwt如何实现注销
1、浏览器cookie清除(但是服务器还是存在)
2、建议将时间设置稍微短一点
3、jwt有效期90天,要提前过期,无法实现
无状态的token,服务端不保存,收到token后通过一套加密验证算法(或其他策略)来确定你的token是否合法。
4、黑名单过滤
 

csj50
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT快速入门及理论知识
孤星的博客
04-14 1353
什么是JWT规范? JWT规范将一个token分为3部分,分别是标头(header)、载荷(payload)、签名(verify signature)三部分并以.进行分割,也就是说一个符合JWT规范所生成的token格式应当如下: xxxxx.yyyyy.zzzzz tip:JWT官网:https://jwt.io/ 标头(header) 标头首先是一个JSON,通常包含两部分。分别是代表令牌类型和所使用的签名的加密算法的typ和alg, 例: { "alg": "HS256", "typ": "J
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3789
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
2024年Java最新04-JWT技术分析及应用实践,阿里后台开发
最新发布
2301_82243232的博客
05-05 556
如果你选择了IT行业并坚定的走下去,这个方向肯定是没有一丝问题的,这是个高薪行业,但是高薪是凭自己的努力学习获取来的,这次我把P8大佬用过的一些学习笔记(pdf)都整理在本文中了《Java中高级核心知识全面解析》小米商场项目实战,别再担心面试没有实战项目:本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//配置要拦截的url。
The signing key‘s size is 136 bits which is not secure enough for the HS256 algorithm. The JWT JWA S
qq_39967911的博客
02-07 3401
今天在用JWT的时候发现报了这个错误 Whitelabel Error Page This application has no explicit mapping for /error, so you are seeing this as a fallback. Sun Feb 07 15:30:44 CST 2021 There was an unexpected error (type=Internal Server Error, status=500). The signing key's
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 830
什么是JWT
io.jsonwebtoken.impl.lang.UnavailableImplementationException: Unable to find an implementation for
Knight_NOOB的博客
09-21 1774
io.jsonwebtoken.impl.lang.UnavailableImplementationException
java-jwt
qq_29799655的博客
05-15 974
目录一. JWT 基础解释二. JWT Token 组成三. JavaJWT1. java-jwt2. jjwt-root三. 实际开发JWT使用 一. JWT 基础解释 先了解几个问题 JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果 SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token)
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
java中级面试题整理
01-28
一、Java基础 1. Java的数据类型:包括基本数据类型(整型、浮点型、字符型、布尔型)和引用数据类型(类、接口、数组)。 2. final关键字:用于声明常量或确保变量一旦赋值就不可更改,也可用于方法参数和方法,...
baker-learning-javabasics:java基础
02-11
Java进阶 泛型 反射 Java8的 加密算法:jwt 设计模式 o 数学数学计算
spring-boot-mongodb-jwt:具有MongoDB和JWT身份验证的Spring Boot项目的基础
02-04
这是具有Spring Boot,MongoDB和已配置JWT安全性的Java项目的快速入门基础。 跑步 下载此基础 在系统中启动MongoDB服务/守护程序 通过Application.class或mvn clean install , java -jar target/*.jar或mvn spring...
java jwt 统一认证
11-08
包含jwt包和源码 jwt打包成工具 可以直接使用 加密解密方法 快捷开发
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud,认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
Jwt选型和实现
qq_45317823的博客
02-19 488
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
JWT的学习和JJWT使用
qq_47948345的博客
09-15 1217
jwt令牌的学习和在java中的整合应用
什么是JWT(JSON WEB TOKEN)
weixin_34280237的博客
11-18 272
转自于:http://www.jianshu.com/p/576dbf44b2ae 什么是JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供...
Java Web JWT 使用教程
moments的博客
05-17 630
通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
Java JWT
XY02120624的博客
02-17 437
Java JWT 笔记
java-jwt和jjwt
07-29
Java-JWT 和 JJWT 都是用于处理 JSON Web Tokens (JWT) 的 Java 库。 Java-JWT 是一个开源的 Java 库,它提供了一套简单易用的 API,用于生成、解析和验证 JWT。它遵循 JWT 规范,并提供了一些便捷的方法来处理 JWT 的创建和验证过程。Java-JWT 支持对 JWT 进行签名和加密,并提供了多种算法和密钥管理选项。你可以在 Maven 中央仓库中找到 Java-JWT 的最新版本。 JJWT (Java JSON Web Token) 是一个基于 Java-JWT 的库,它提供了更加简化的 API,用于生成、解析和验证 JWT。JJWTJava-JWT基础上进行了封装和扩展,使得使用 JWT 变得更加方便。JJWT 提供了一些额外的功能,如支持链式编程、自定义声明、过期时间检查等。你可以通过 Maven 或 Gradle 引入 JJWT。 总结来说,Java-JWT 是一个功能丰富的 JWT 处理库,而JJWT 则是对 Java-JWT 进行封装和扩展,提供了更简化的 API 和额外的功能。你可以根据自己的需求选择使用其中之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值