jwt——json web token介绍

最新推荐文章于 2022-11-24 09:29:37 发布
最新推荐文章于 2022-11-24 09:29:37 发布
阅读量178 收藏
点赞数
分类专栏: javaweb 随记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dadadadak/article/details/108965660
版权

https://www.bilibili.com/video/BV1i54y1m7cP

文章目录

1. 什么是JWT

  • jwt(json web token)是一种开放标准(rfc 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全的传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名
  • 通俗来讲,jwt就是通过JSON形式作为WEB应用中的令牌,用于在各方之间安全的将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

2. jwt能做什么

  1. 授权
    这是使用jwt最常见的方案。一旦用户登录,每个后续请求将包含JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
  2. 信息交换
    jwt是在各方之间安全传输信息的好办法。因为可以对JWT进行签名,所以可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此还可以验证内容是否遭到篡改。

3. 为什么是JWT

传统的基于session认证

因为http本身是一种无状态的协议,我们并不能知道是哪一个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,以便引用识别用户。

暴露问题:

  1. 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以便用户下次请求的鉴别,通常而言session是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大
  2. 用户认证之后,服务端做认证记录。如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力,这也意味着限制了应用的扩展能力。
  3. 因为是基于cookie来识别用户的,当cookie被截获,用户很容易受到2跨站请求伪造的攻击。
  4. 在前后端分离系统中就更加痛苦:前后端分离([用户]< == > [前端web] < == > [代理层] < == > [后端应用] )在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session每次携带sessionid到服务器,服务器还要查询用户信息。同时如果用户很多。这些信息存储在服务器内存中,给服务器增加负担。还有就是CSRF(跨站伪造请求攻击),session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。还有就是sessionid是一个特征值,表达的信息不够丰富。不容易扩展。入股后端应用是多节点部署,那么就要实现session共享机制。不方便集群应用。

jwt认证流程

  1. 首先,前端通过web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密传输(https协议),从而避免敏感信息被嗅探。
  2. 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个token。
  3. 后端将jwt字符串作为登陆成功的返回结果返回给前端。前端将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。
  4. 前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决xss和xsrf问题)
  5. 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查token是否过期;检查token的接收方是否是自己(可选)。
  6. 验证通过后后端使用JWT包含的用户信息进行其它逻辑操作,返回相应结果。

jwt组成

jwt分为三个部分

  • 第一部分 header :标记使用什么算法 (HS256/RSA256)
    • 令牌的类型和所使用的签名算法,例如HMAC SHA256或RSA。
    • {“alg”:“HS256”,“typ”:“JWT”}
  • 第二部分 PayLoad (载荷)
    jwt存放的数据
  • 第三部分 PayLoad 采用MD5加密之后的签名值

! jwt不要存放重要数据
Base64.Encode(header). Base64.Encode(PayLoad ).签名值


    private static final String SIGN_KEY = "mayikt";
@Test
    public void test1(){
        JSONObject header = new JSONObject();
        header.put("alg","HS256");
        JSONObject payLoad = new JSONObject();
        payLoad.put("phone","18611011111");

        String payLoadStr = payLoad.toJSONString();
        //payLoad实现MD5加密
        String sign = DigestUtils.md5DigestAsHex((payLoadStr+SIGN_KEY).getBytes());
        Base64.Encoder encoder = Base64.getEncoder();
        String jwt = (String) encoder.encodeToString(header.toJSONString().getBytes())+"."+
                encoder.encodeToString(payLoadStr.getBytes())+"."
                +sign;
        System.out.println(jwt);//eyJhbGciOiJIUzI1NiJ9.eyJwaG9uZSI6IjE4NjExMDExMTExIn0=.badce2fbf728c40222e7fa75bcfa9e54
    }

生成的jwt可在https://jwt.io/验证

验证签名位true的情况下就可以获取payload数据,否则jwt无效。

优缺点

优点:

  • 简洁:数据量小,传输速度快
  • 自包含:负载中包含了所有用户所需要的信息,避免了多次查询数据库
  • jwt客户端就可验证,减轻服务端的压力,适合分布式微服务
  • 以JSON加密的形式保存在客户端,跨语言,原则上任何web形式都支持。
  • jwt查询效率比token高
  • 不容易被客户端篡改数据

缺点:

  • 一旦生成好一个jwt,后期比较难使它失效
  • 如果payload数据过多,占用服务器带宽资源。

建议在jwt的payload数据中增加时间戳,设置有效期

demo

  1. 引入依赖 com.auth0 java-jwt
<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.11.0</version>
        </dependency>
  1. 生成token:
//生成时间戳
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,90);
        //生成令牌
        String token = JWT.create()
                .withClaim("user","yz")
                .withExpiresAt(instance.getTime()) //设置过期时间
                .sign(Algorithm.HMAC256("token!Q2W#E$RW"));//设置签名 保密 复杂
        //输出令牌
        System.out.println(token);//eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDIxNzg3OTYsInVzZXIiOiJ5eiJ9.PavrIse8cAsM3bW4roGgkY8kHTAqBwiV8kZRT1K4eu8


解析结果:
header:{
  "typ": "JWT",
  "alg": "HS256"
}
payload: {
  "exp": 1602178796,
  "user": "yz"
}
  1. 根据令牌和签名解析数据
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
System.out.println("user: " + decodedJWT.getClaim("user").asString());
//新增.withClaim("id",1)
System.out.println("id: " + decodedJWT.getClaim("id").asInt());
System.out.println("过期时间:" + decodedJWT.getExpiresAt());

整合spring boot

封装工具类JWTUtils

方法 getToken
传入Map<String,Object> map
foreach map -> withClaim

验证token方法 verify

获取token信息方法:getTokenInfo(String token,String key) 或直接返回DecodedJWT

连接数据库

dadadadak
关注
专栏目录
登录校验——JWTJSON Web Token介绍
qq_59708493的博客
12-01 441
JWTJSON Web Token)是一种在Java前后端分离项目中实现登录功能的常用方式。本文将对前后端的分析,JWT在前后端的联系以及其在登录功能中的作用和优缺点进行详细介绍
前后端分离、或APP用户登录解决方案——JWT(json web token)生成Token详解!
一亩地的专栏
01-22 3700
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi...
springboot获payload_第十九章:使用JWT设计SpringBoot项目api接口安全服务
weixin_39520775的博客
12-22 295
JWT是一种用户双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT(Json Web Token)作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法用于通信双方之间以Json对象的形式进行安全性信息传递,传递时有数字签名所以信息时安全的,JWT使用RSA公钥密钥的形式进行签名。免费专题文章汇总恒宇少年在博客整理出来了SpringBoot、ApiBoot、Sprin...
jwt里负载的信息
最新发布
左直拳的马桶_日用桶
11-24 2578
众所周知,JWT 的三个部分依次如下:Header(头部) ,元数据描述 Payload(负载) ,传输的数据 Signature(签名),Header + Payload的签名写成一行,就是下面的样子所谓读jwt负载的信息,就是读payload里的信息。
jwt生成token和验证token以及获playload的数据,实现token拦截
weixin_42471170的博客
06-09 1万+
jwt实现流程: 1.添加依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> 2.编写一个jwt的工具类 package com.springboot.jwt.common; import com.
案例1 springsecurity+ jwt ,案例2 springsecurity+jwt +oauth2 ,案例3 springsecurity+jwt+oauth2+zull网关
qq_39564710的博客
02-26 667
动态权限控制 Rbac权限表设计 首先不管是实现哪种,都要基于rbac表设计,用户---中间表---角色---中间表---权限 案例1 springsecurity+ jwt springsecurity是一个安全框架 jwt (JSON WEB Token ) 优点: 无需再服务器存放用户的数据,减去服务器端压力 轻量级、json风格比较简单 跨语言 缺点: Token一旦生成后期无法修改: 无法更新token有效期 无法销毁一个token JWT组成: 第一部分:hea.
JwtUtils的工具类
热门推荐
龙的传人
06-04 1万+
stockuser.utils.jwt; JwtUtils的工具类 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import springfox.documentation.builders.BuilderDefaults; import javax.xm
跨域身份验证解决方案——Json web token (JWT)
月哥说了算的博客
07-03 1609
JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。如:{“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符
JWT——JSON Web Tokens
WannaRunning的博客
01-12 321
目录 JWT的结构 JWT的生成 JWT的解析 随着分布式,前后端分离的出现,更多的开发者使用JWT来代替session实现身份验证。JWT有无状态,自包含等特点;它不依赖于客户端和服务端,token本身包含认证信息; 但是开发中应用JWT也会遇到一个缺陷,token过期时间是生成token时就设置的固定的时间,如果在用户登出的场景下虽然用户退出了但是如果token还没有过期,那么这个t...
jwt(json web token)
prigilm的博客
11-04 446
Python之jwt(json web token) 一、什么是jwt 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 jwt全称json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间
31.整合JWT
gunsmoke的专栏
04-19 353
pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.gunsmoke.comm...
webJWTJson web token)的原理、签发、验证
冰冷的希望的博客
10-30 976
1.JWT JWTJson web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证。后来出现了cookie和session,传统的session认证虽然安全,但是本身很难得到扩展,不方便在多台服务器认证,一般会增大开销,而且还可能会造成CSRF攻击 而token认证机制不需要考虑用户在哪一台服务器
极速入门jwt
qq_38785034的博客
05-08 404
jwt介绍jwt介绍kuayu1 jwt介绍 JSON Web TokenJWT)是目前最流行的跨域认证解决方案 kuayu1
JWTJSON WEB TOKEN)深入浅出
Nym_车厘子
04-06 1519
JWT ——JSON WEB TOKEN 一. JWT介绍 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT使用场景 Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访...
JWT单点登录及token的处理
ZMPRESS
03-23 1168
注意: 秘钥和算法是用来生成签名的,令牌本身不可读仅是因为base64url编码,可以直接解码,密钥仅可以用来校验token是否有效. 用户登录之后,会给前端颁发token,每次请求,都会颁发新的token,并且密钥里的任意信息改变都会导致token失效. <dependency> <groupId>com.auth0</grou...
认识JWT
weixin_34244102的博客
07-07 552
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorization (...
SpringBoot-SpringSecurity-Jwt的整合案例分析
Hliang_的博客
05-22 556
SpringBoot-SpringSecurity-Jwt的整合案例分析 一、什么是Jwt? 二、SpringSecurity和Jwt是如何整合的?
jsonjwt_JSON Web令牌(JWT)解释
cuk0051的博客
08-29 610
jsonjwtJSON Web Token is a standard used to create access tokens for an application. JSON Web令牌是用于为应用程序创建访问令牌的标准。 It works this way: the server generates a token that certifies the user identity, ...
Mybatis入门 (含过程debug)
10-05 644
前言 连接数据库的工具: JDBC —> Dbutils(QueryRunner) —> JdbcTemplate 连接数据库主要流程: 编写sql 预编译 设置参数 执行sql 封装结果 Hibernate:全自动ORM(Object Relation Mapping)框架:旨在消除sql,HQL 缺点: 长难复杂SQL,对Hibernate而言处理也不容易 难以进行sql优化(sql由框架自动生成) 全映射,无法选部分字段(一些场景,mysql选部分字段效率更优) mybatis
JWT登录认证与Token续期最佳实践:对比与选择
描述:本文档深入探讨了在互联网开发中常用的两种认证机制——基于会话(Session)和JSON Web Tokens (JWT) ——的实现方式、优缺点以及适合的应用场景。首先,我们对比了这两种方法的核心区别:Session主要保存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值