深入解析JWT,从根源上保障你的网络安全

最新推荐文章于 2024-05-20 17:20:00 发布
最新推荐文章于 2024-05-20 17:20:00 发布
阅读量1k 收藏 13
点赞数 29
文章标签: web安全 安全 java spring springboot maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duguozhu123/article/details/134735546
版权

文章目录

💥 序言

  行走江湖多年,多次辗转面试,JWT是经常被问到的,这也验证了企业对网络安全的重视程度,本篇博客以通俗简洁的图文讲解方式,让JWT印在你的脑海里,在以后企业开发还是面试都能很好的帮到你。

🌾 JWT是什么?


  JWT(JSON Web Token)是一种轻量级的身份验证授权机制,通常用于在Web应用程序中进行身份验证和授权。它是一种基于JSON的开放标准,可以用于在不同的应用程序之间共享信息,例如用户身份验证信息和授权信息。JWT由三个部分组成:头部有效载荷签名。头部包含了JWT的类型和签名算法等信息。有效载荷包含了用户身份验证信息和其他相关信息。签名用于验证JWT的完整性和真实性。JWT通常以一种安全的方式存储在客户端,例如在浏览器的Cookie中或localStorage中。当用户与应用程序进行交互时,可以使用JWT来验证用户的身份和授权。

🍉 为什么使用JWT?

传统模式

传统的认证方式大多基于cookie,会有以下几个弊端:

  • 应用在用户认证后需要在服务端记录认证信息,通常这些信息保存在内存中,但随着认证用户数量的增加,将导致服务器负担增加;
  • 使用session来进行用户标识,可能会存在安全风险,例如CSRF攻击,并且不易于应用扩展;
  • 在前后端解耦的系统中,使用session会增加部署的复杂性,每次请求都需要转发多次,并且如果用户数量较多,会增加服务器负担。
  • sessionid信息不够丰富,不易于扩展。如果应用部署在多个节点上,还需要实现session共享机制,不便于集群应用。

JWT模式

基于JWT的方式可以有效解决XSS和XSRF问题,不需要考虑session共享以及跨域机制!
XSS参考地址:https://blog.csdn.net/qq_44857938/article/details/118034947
XSRF参考地址:https://blog.csdn.net/weixin_38597669/article/details/90694407
session共享参考地址:https://blog.csdn.net/huxiang19851114/article/details/114607162

  • 应用在用户认证后不需要把用户信息保存在内存中,而是将用户信息编码成JWT TOKEN,返回
  • 前端可以把token保存在localStorage或sessionStorage中,退出登录时删除Token
  • 每次请求时,前端应把Token放在HTTP请求Header的Authorization字段中,并且后端验证Token的有效性和正确性
  • 如果Token被验证通过,后端可以根据Token中的用户信息进行其他权限或业务操作,并返回相应的结果

🍓 组成结构

JWT令牌由Header、Payload、Signature三部分组成,每部分字符串中间用. 拼接。JWT令牌的最终格式是这样的: 第一部分.第二部分.第三部分。

  • Header(标头),通常由两部分组成:令牌的类型 和 所用的加密算法,然后将该JSON对象数据进行Base64 URL编码,得到的字符串就是JWT令牌的第一部分。
  • Payload(载荷),有效数据存储区,主要定义自定义字段和内置字段数据。通常会把用户信息和令牌过期时间放在这里,同样也是一个JSON对象,里面的key和value可随意设置,然后经过Base64 URL编码后得到JWT令牌的第二部分
  • Signature(签名), 使用头部Header定义的加密算法,对前两部分Base64编码拼接的结果进行加密,加密时的秘钥服务私密保存,加密后的结果在通过Base64Url编码得到JWT令牌的第三部分。

🍎 基础验证

我们通过代码生成这三部分,来验证jwt的组成,以及查看jwt的生成过程!
引入依赖

<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.19.2</version>
        </dependency>

package com.example.mydreams.jwt;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.HashMap;

public class JwtDemo {
    public static void main(String[] args) {
        String token = generateJwtToken();
        System.out.println("生成的JWT的Token为:");
        System.out.println(token);
        //创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("Periqi")).build();
        DecodedJWT verify = jwtVerifier.verify(token);
        System.out.println("验证传入的用户信息为:userId:"+verify.getClaim("userId")+",username:"+verify.getClaim("username")+",过期时间:"+verify.getExpiresAt());
    }

    //生成JWTtoken
    public static String generateJwtToken() {
        HashMap<String,Object> map = new HashMap();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,1000);
        String token = JWT.create()
                .withHeader(map)    //Header(可以不用设置,因为Header有默认值:{"alg":"HS256", "typ":"JWT" })
                .withClaim("userId",100)  //payload
                .withClaim("username","码农佩奇") //payload
                .withExpiresAt(instance.getTime())  //指定令牌过期时间
                .sign(Algorithm.HMAC256("Periqi"));  //Signature
        return token;
    }
}

程序运行结果:
生成的JWTToken:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MDE0NDI0OTYsInVzZXJJZCI6MTAwLCJ1c2VybmFtZSI6IueggeWGnOS9qeWlhyJ9.qAik5UQsDV_mjr10C3cyCqpLBvhI_IXZDRczQQy2mCk
验证传入的用户信息为:userId:100,username:"码农佩奇",过期时间:Fri Dec 01 22:54:56 CST 2023

此处有段代码需要注意一下。理解这个,对于JWT也就理解差不多了。
生成Token
.sign(Algorithm.HMAC256(“Periqi”)); //Signature
我们指定了了签名算法,同时可以传入私钥Periqi字符串
验证的时候,我们同样根据秘钥是生成JWT校验对象来校验token
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(“Periqi”)).build();
DecodedJWT verify = jwtVerifier.verify(token);

验证失败异常:

  • SignatureVerificationException 签名不一致异常
  • TokenExpiredException 令牌过期异常
  • AlgorithmMismatchException 算法不匹配异常
  • InvalidClaimException 失效的payload异常

🍑 企业实战

本次,我们做一个springBoot+JWT基础的案例,不涉及数据库,主要让你明白JWT在企业中的使用流程。
我们的思路是这样的,首先用户输入账号密码登录系统->拦截器->捕获请求头的token,验证用户身份->成功则放行
失败则走登录->需要查询数据库拿用户信息(本次省略)->查到用户信息生成token返回前端,前端下次发请求,请求头带token即可。

引入依赖

   <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.1.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <properties>
        <java.version>17</java.version>
    </properties>
       <!--引入jwt-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.1</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

自定义JWT拦截器

package com.example.mydreams.controller;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.HashMap;
import java.util.Map;

public class JwtInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<String,Object> map=new HashMap<>();
        //获取请求头中的令牌
        String token = request.getHeader("token");
        try{
            //此处校验失败会进入异常处理
             JWT.require(Algorithm.HMAC256("peiqi")).build().verify(token);
             return true;
        }catch(Exception e){
            e.printStackTrace();
            map.put("state",false);
            map.put("message","请求失败");
        }
        response.setContentType("text/html;charset=UTF-8");
        response.getWriter().write("请先登录系统!");
        return false;
    }
}

配置拦截器让它生效

package com.example.mydreams.controller;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //指定拦截器并添加相应策略(拦截或放行)
        registry.addInterceptor(new JwtInterceptor())
                .addPathPatterns("/api/**")//拦截(其他token验证)
                .excludePathPatterns("user/login");//所有用户都放行(登录接口不放行,无法进行登录)
    }
}

编写请求

package com.example.mydreams.controller;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import jakarta.servlet.http.HttpServletRequest;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Calendar;
import java.util.HashMap;
import java.util.Map;

@RestController
@Slf4j
public class LoginController {


    @GetMapping("user/login")
    public Map<String,Object> login(User user){
        Map<String,Object> map = new HashMap<>();
        //此处应该查询数据库 省略
        if(user!=null&&user.getName().equals("码农佩奇")){
            //认证成功后,生成JWT令牌
            Map<String,String> payload = new HashMap<>();
            payload.put("id","11");
            payload.put("name","码农佩奇");
            String jwtToken = createJwtToken(payload);
            map.put("state",true);
            map.put("message","认证成功");
            map.put("token",jwtToken);//响应jwtToken
        }else{
            map.put("state",false);
            map.put("message","认证失败");
        }
        return map;
    }

    @PostMapping("api/test")
    public Map<String,Object> test(HttpServletRequest request){
        Map<String,Object> map = new HashMap<>();
        String token = request.getHeader("token");
        try{
            DecodedJWT verify = JWT.require(Algorithm.HMAC256("peiqi")).build().verify(token);
            log.info("用户id:[{}]",verify.getClaim("id").asString());
            log.info("用户name:[{}]",verify.getClaim("name").asString());
            map.put("state",true);
            map.put("message","请求成功");
            return map;
        }catch(Exception e){
            e.printStackTrace();
            map.put("state",false);
            map.put("message","请求失败");
        }
        return map;
    }

    public static String createJwtToken(Map<String,String> map){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,300);
        //生成令牌
        JWTCreator.Builder builder = JWT.create();
        for(Map.Entry<String,String> entry : map.entrySet())
            builder.withClaim(entry.getKey(),entry.getValue());
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256("peiqi"));
    }
}

验证




图解流程

🌽 总结

  1. JWT结构 JWT由三部分组成,分别是头部、载荷和签名。头部用于描述签名算法和类型,载荷用于存储用户信息和过期时间等,签名用于验证Token的合法性和完整性。
  2. JWT优点 相比于传统的Session认证方式,JWT具有以下优点:无状态、可扩展、安全性高、跨平台、可自定义负载等。
  3. JWT使用场景 JWT适用于前后端分离的Web应用,如SPA单页面应用,APP等场景下。同时,JWT也可以用于微服务架构中的服务认证和授权。
  4. JWT安全性 JWT的安全性主要取决于生成的密钥的安全性,一旦密钥泄漏,则可能导致用户身份被恶意冒用。因此,应该使用强密钥和SSL/TLS协议来保障安全性。

相比于传统的Session认证方式,JWT有以下缺点:不支持注销、Token过期机制存在缺陷、Token数量过多可能导致性能问题等。此外,不同的JWT实现方式也可能存在一些问题,需要谨慎选择。

总之,JWT是一种先进的身份认证和授权方式,可以在很多场景下代替传统的Session认证方式。但是,在使用JWT的过程中,需要注意安全性和性能问题。

码农佩奇
关注
  • 29
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
高性能零售IT系统的建设05-从0打造一个每秒万级并发的互联网交易系统的技术全架构
lifetragedy的专栏
10-13 2595
亿万级的流量、每秒万级的并发的大型零售商超金融类应用如何设计与架构?如何面对汹涌的流量?本篇以全景式架构设计展示并结合一个个生产实例带你一步步深入了解如何应对大规模的高并发高流量的业务场景系统架构之美。
Java 全栈知识体系( PDF 可下载)
m0_67698950的博客
03-17 5132
40000 +字长文总结,民工哥已将此文整理成PDF文档了,需要的见文后下载获取方式。 全栈知识体系总览 Java入门与进阶 面向对象与Java基础 Java 基础 - 面向对象 Java 基础 - 知识点 Java 基础 - 图谱 & Q/A 基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制: Java 基础 - 泛型机制详解 Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本
对于架构的深入探讨
h295928126的博客
12-25 2096
本文基于[凤凰架构](https://icyfenix.cn/)网站的基础上复制缩减而成。 服务架构的的演进史 原始分布式时代     在 20 世纪 70 年代末期到 80 年代初,计算机科学刚经历了从以大型机为主向以微型机为主的蜕变,计算机逐渐从一种存在于研究机构、实验室当中的科研设备,转变为存在于商业企业中的生产设备,甚至是面向家庭、个人用户的娱乐设备。     当时计算机硬件局促的运算处理能力,已直接妨碍到了在单台计算机上信息系统软件能够达到的最大规模。为突破硬件算力的限制,各个高校、研究机构、软
40000+字超强总结?阿里P8把Java全栈知识体系详解整理成这份PDF
jjc4261的博客
03-21 2890
40000 +字长文总结,已将此文整理成PDF文档了,需要的朋友点赞支持一下吧。 全栈知识体系总览 Java入门与进阶面向对象与Java基础 Java 基础 - 面向对象 Java 基础 - 知识点 Java 基础 - 图谱 & Q/A 基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制: Java 基础 - 泛型机制详解 Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本,Java泛型的实现采取了“伪泛型
Java 全栈知识体系
weixin_70730532的博客
07-27 5736
40000 +字长文总结。 面向对象与Java基础 Java 基础 - 面向对象Java 基础 - 知识点Java 基础 - 图谱 & Q/A基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制:Java 基础 - 泛型机制详解Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本,Java泛型的实现采取了“伪泛型”的策略,即Java在语法上支持泛型,但是在编译阶段会进行所谓的“类型擦除”(Type Erasure),将所有的泛型表示(尖括号中的内容)都替换为具体的
2023-04-19_面试题复盘笔记(230)
TaoZhiShi的博客
04-24 578
这个项目的架构基于Java语言进行开发,整体采用了分层架构设计,主要分为表示层(Presentation Layer)、业务逻辑层(Business Logic Layer)和数据访问层(Data Access Layer)三个层次。在表示层,我们采用了SpringMVC框架搭建Web应用,对于前端页面的渲染采取了JSP技术和Bootstrap进行美化。在业务逻辑层,我们主要编写了服务接口和服务实现类,其中服务实现类使用了Spring框架进行管理。
全栈工程师指南
kaliopensourcextu
04-19 7747
全栈工程师指南 这是一本不止于全栈工程师的学习手册,它也包含了如何成为一个 Growth Hacker 的知识。 全栈工程师是未来 谨以此文献给每一个为成为优秀全栈工程师奋斗的人。 技术在过去的几十年里进步很快,也将在未来的几十年里发展得更快。今天技术的门槛下降得越来越快,原本需要一个团队做出来的 Web 应用,现在只需要一两个人就可以了。 同时,由于公司组织结构的变迁,以及到变
神秘的java
stay hungry,stay foolish!
11-02 1475
1.单元测试不再怕!一文学会SpringBoot单元测试2.一文搞懂🔥SpringBoot自动配置原理3.封装属于自己的Spring-Boot-Starter4.爽!🔥自定义SpringBoot的@EnableXXX注解1.灰度发布是什么?
JAVA面试必备
hmq58540的博客
08-21 2913
一、基础篇 网络基础 TCP三次握手 1、OSI与TCP/IP 模型 2、常见网络服务分层 3、TCP与UDP区别及场景 4、TCP滑动窗口,拥塞控制 5、TCP粘包原因和解决方法 6、TCP、UDP报文格式 HTTP协议 1、HTTP协议1.0_1.1_2.0 2、HTTP与HTTPS之间的区别 3、Get和Post请求区别 4、HTTP常见响应状态码 5、重定向和转发区别 6、Cookie和Session区别。 浏览器输入URL过程 操作系统基础 进程和线程的区别 1、进程间通.
签发JWT,验证JWT,解析JWT字符串
07-06
签发JWT,验证JWT,解析JWT字符串
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解析JWT文件和校验资源包
01-19
JSON Web Token(JWT)是一个非常轻巧的...这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部(header)、载荷(playload)与签名(signature)。
gateway和jwt网关认证实现过程解析
08-25
主要介绍了gateway和jwt网关认证实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT安全性第3部分,安全MVC应用程序
04-08
了解如何创建JWT并与WebApi,REST和MVC一起使用,所有这些都通过.Net Core构建
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 581
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
最新发布
qq_18209847的博客
05-20 137
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 359
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
m0_67844671的博客
05-17 680
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
java 解析jwt
08-25
要在Java解析JWT(JSON Web Token),你可以使用一些开源的JWT库,如jjwt或Nimbus-JOSE-JWT。下面是一个使用jjwt解析JWT的示例代码: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwt; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农佩奇

打酒喝!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值