JWT学习笔记

最新推荐文章于 2023-12-24 15:46:26 发布
最新推荐文章于 2023-12-24 15:46:26 发布
阅读量784 收藏
点赞数
分类专栏: 笔记 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forever_nice/article/details/127501171
版权

JWT

什么是 JWT?

JWT 就是 JSON Web Token 也就是 JSON 格式的web应用的令牌

JWT能做什么?

  1. 实现单点登录
  2. 在不同系统中传递非敏感信息

JWT认证流程

请添加图片描述

JWT的结构

JWT由header、payload、singnature三部分组成中间用”.“分割如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjpbeyJ0b29sdHQiOiJodHRwczovL3Rvb2x0dC5jb20ifV0sImlhdCI6MTY2NjU4ODMwMiwiZXhwIjoxNjY2MTA4Nzk5LCJhdWQiOiIiLCJpc3MiOiIiLCJzdWIiOiIifQ.il0wAriJyN__m2L7RCY92yXQR95iLsylTgRiCYzq_lM

  1. 令牌头(Header)

    • 第一部分是令牌头,其中包含,使用的什么签名算法令牌类型是什么,使用Base64进行编码。
    {
    "alg": "Hs256", 
    "typ": "JWT" 
}

  2. 有效负载(PayLoad)*

    • 第二部分是有效负载,其中包含声明的数据,使用Base64进行编码。
    • 注意不要放敏感信息,如账号密码
    {
    "name": "zhangshan",
    "admin" true
}

  3. 签名(Signature)

Signature组成是用编码后的Header和Payload以及我们提供的秘钥,然后使用Header中指定的签名算法(HS256)进行签名,为了保证JWT没有被篡改过。

 HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

Java中使用JWT

  1. 引入依赖
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>
  1. 生成JWT的token
public class JWTTest {
    @Test
    public void testGenerateToken(){
    
        // 指定token过期时间为60秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 60);

        String token = JWT.create()
                .withHeader(new HashMap<>())  // Header
                .withClaim("userId", 21)  // Payload
                .withClaim("userName", "zhangsan")
                .withExpiresAt(calendar.getTime())  // 过期时间
                .sign(Algorithm.HMAC256("秘钥"));  // 签名用的secret

        System.out.println(token);
    }
}
  1. 解析签名
@Test
public void resolveTokenTest(){
    // 创建解析对象,使用的算法和secret要与创建token时保持一致
    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("秘钥")).build();
    // 解析指定的token
    DecodedJWT decodedJWT = jwtVerifier.verify("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjpbeyJ0b29sdHQiOiJodHRwczovL3Rvb2x0dC5jb20ifV0sImlhdCI6MTY2NjU4ODMwMiwiZXhwIjoxNjY2MTA4Nzk5LCJhdWQiOiIiLCJpc3MiOiIiLCJzdWIiOiIifQ.il0wAriJyN__m2L7RCY92yXQR95iLsylTgRiCYzq_lM");
    // 获取解析后的token中的payload信息
    Claim userId = decodedJWT.getClaim("userId");
    Claim userName = decodedJWT.getClaim("userName");
    System.out.println(userId.asInt());
    System.out.println(userName.asString());
    // 得到超时时间
    System.out.println(decodedJWT.getExpiresAt());
}

封装JWT工具类

public class JWTUtils {
    // 签名密钥
    private static final String SECRET = "t@o@k@e@n!123";

    /**
     * 生成 token
     * @param payload 携带的信息
     * @return token字符串
     */
    public static String getToken(Map<String,String> payload){
        // 指定token过期时间为7天 
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar. DATE, 7);

        //创建jwtbuilder
        JWTCreator.Builder builder = JWT.create();
        // 构建payload
        payload.forEach((k,v) -> builder.withClaim(k,v));
        // 指定过期时间和签名算法
        String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SECRET));
        return token;
    }


    /**
     * 验证 token
     * @param token token字符串
     * @return token
     */
    public static DecodedJWT decode(String token){
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(token);
        return decodedJWT;
    }
}

使用拦截器验证token

  1. 在Interceptor包下创建
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String JWT = request.getHeader("Authorization");
        try {
            // 1.校验JWT字符串
            DecodedJWT decodedJWT = JWTUtils.decode(JWT);
            // 2.取出JWT字符串载荷中的随机token,从Redis中获取用户信息
            return true;
        }catch (SignatureVerificationException e){
            System.out.println("无效签名");
            e.printStackTrace();
        }catch (TokenExpiredException e){
            System.out.println("token已经过期");
            e.printStackTrace();
        }catch (AlgorithmMismatchException e){
            System.out.println("算法不一致");
            e.printStackTrace();
        }catch (Exception e){
            System.out.println("token无效");
            e.printStackTrace();
        }
        return false;
    }
}
  1. 在config包下创建
@Configuration//声明为配置类
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")//需要拦截的请求
                .excludePathPatterns("/user");//不拦截的请求
    }
}
程序员叶秋
关注
专栏目录
token-JWT学习笔记
程序猿劝退师的博客
12-02 769
目录 1. 常见的认证机制 2.基于 JWT 的 Token 认证机制实现 2.1.什么是 JWT 2.2JWT 组成 头部(Header) 载荷(playload) 签证(signature) 完整jwt 3.Java 的 JJWT 实现 JWT 3.1目录结构 3.2pom.xml文件引入 3.3项目中使用 JWTDemo JwtDemo2 JwtDemo3...
Jwt学习笔记
热爱编写程序的药学在读书
09-27 462
笔记来源:文章 作者:Dearmadman 链接:https://www.jianshu.com/p/576dbf44b2ae 来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 一 jwt介绍 1、jwt是什么 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认
什么是JWT
weixin_30604651的博客
08-21 581
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
JWT学习笔记
爱学习的大雄的博客
04-07 334
认识JWT 官网:https://jwt.io/introduction JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间以 JSON 对象的形式安全传输信息。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 为什么不用session session对于分布式系统来说弊端过多,不方便集群应用。 JWT认证流程 首先,前端通过Web表单将自己
JWT学习笔记1
08-03
本文主要围绕JWT(JSON Web Token)这一流行的认证机制进行讲解,首先介绍传统的Session验证方式,然后详细解析JWT的工作原理、组成部分及使用方法,并探讨JWT在实际项目中的应用及其优势。 一、Session验证方式 ...
golang的jwt学习笔记
最新发布
yasinawolaopo的博客
12-24 759
jwt的使用和jwt服务(只有编码)
JWT学习笔记(一)
信阳农夫的专栏
03-01 263
JWT介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
JWT笔记
kevin_琪琪的博客
06-02 283
JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个,并且这个带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。Ps: CSRF:跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用进行连接形成
JWT 笔记
weixin_43991380的博客
09-26 196
JWT 比session更好的分布式前后端认证方案 JWT_java class SpringbootJwtApplicationTests { @Test void contextLoads() { Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND,200); String token = JWT.create() //
JWT学习笔记(一)简单介绍
老三学加瓦
04-06 459
文章目录JWT令牌介绍什么是JWTJWT令牌结构HeaderPayloadSignature验证JWT使用场景优缺点优点:缺点使用注意点Demo实现 JWT令牌介绍 什么是JWT JWT(JSON Web Token)是一个开放标准,它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。 JWT令牌结构 三部分组成,每部分中间使用“.”分割
JWTJWT笔记
kaige8312的博客
03-14 240
1. jwt简介 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 2.token生成 https://blog.csdn.net/hukaijun/article/details/80840253 3.token解析 网址解析 访问https://www.jsonwebtoken.io/ ...
jwt 学习笔记
低吟不作语的博客
03-25 826
JWT,Java Web Token,通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安全地将信息作为 JSON 对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理授权:一旦用户登录,每个后续请求将包括 JWT,从而允许用户访问该令牌允许的路由,服务和资源信息交换:JSON Web Token 是在各方之间安全地传输信息的好方法,因为可以对 JWT 进行签名,此外,由于签名是使用标头和有效负载计算的,因此还可以验证内容是否篡改。
JWT 学习笔记
u010451990的专栏
08-03 1047
为什么要使用jwt,让网络数据更加安全,以防其他一些人无意恶搞 降低了session验证的性能消耗。JWT是 Auth0 提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWR
JWT实战与优势解析:授权与信息安全
"JWT学习笔记" JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在现代Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值