Spring Boot中使用token:jwt

最新推荐文章于 2024-03-29 11:48:11 发布
最新推荐文章于 2024-03-29 11:48:11 发布
阅读量3.7k 收藏 9
点赞数 3
分类专栏: Spring-Boot 文章标签: Spring-Boot token jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fyyyr/article/details/84333755
版权

token由3部分组成:Header,Payload,Signature。

其中Header记录了签名算法和token 的类型。

Payload是以明文存储的一些信息,包括用户自定义信息。

Signature是使用签名算法,对Payload结合服务端才知道的私钥进行签名后得出的结果。

服务端对这3部分使用base64编码,然后以.号分隔,就得到了token字符串,格式为:

xxxxxx.yyyyyy.zzzzzz

每次前端进行请求时,带上这个token字符串。当服务端收到请求后,就会对Payload计算签名,然后与token中的Signature进行比较,若一致,则通过。

逻辑简单,完全可以自己写一个token类来实现以上功能。

Spring Boot中提供了一个第三方的token库,叫jwt。

 

  1. 在pom.xml中引入依赖:
<!-- JWT Json Web Token 依赖 -->
<dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.7.0</version>
</dependency>
  1. 生成token:
public String getAccessToken() {
    JwtBuilder jwtBuilder = Jwts.builder();

    long nowMillis = System.currentTimeMillis();
    // 7个官方Payload字段
    jwtBuilder.setId("1.0"); // 编号/版本
    jwtBuilder.setIssuer("ISSUER"); // 发行人
    jwtBuilder.setSubject("SUBJECT"); // 主题
    jwtBuilder.setAudience("AUDIENCE"); // 受众
    jwtBuilder.setIssuedAt(new Date(nowMillis)); // 签发时间
    jwtBuilder.setNotBefore(new Date(nowMillis)); // 生效时间
    jwtBuilder.setExpiration(new Date(nowMillis + (60 * 60 * 1000))); // 失效时间

    // 用户自定义字段
    jwtBuilder.claim("id", "AXDBDCD");
    jwtBuilder.claim("name", "testname");
    jwtBuilder.claim("value", "123456");
    
    // 定义私钥
    String HS256KEY = "xxxxxx";
    // 签名算法
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
    // 计算签名key值
    Key signingKey = new SecretKeySpec(Base64.decodeBase64(HS256KEY), signatureAlgorithm.getJcaName());

    // 进行签名
    jwtBuilder.signWith(signatureAlgorithm, signingKey);

    // 获取token字符串
    String tokenString = jwtBuilder.compact();

    return tokenString;
}

注意:

  • 要先为jwtBuilder设置claims,然后再调用jwtBuilderset接口来设置7个官方payload字段。这是因为jwtBuilder是将7payload字段存储在claims中的。若先设置了payload,再设置claims,会将已设置的payload覆盖掉。
  • payload字段中:id通常设为版本号;issuer是发行人,通常设为公司名;subject是主题,通常设为工程名;audience是受众,通常设为获取token 的接口名。一般来说,audience多被设为” login”,也就是登录。
  • 7个官方payload字段中的3个时间:签发时间(issued at),生效时间(not before),失效时间(expiration)。3个时间使用的单位是秒。调用jwtBuilderset接口来设置这3个时间时,只需要传入Date()型数据即可,JwbBuilder会自动将其转换为秒存储在claims的相应字段里。详见附录。
  1. 解析token:
public boolean isTokenValid(String token) {
    try {
        Claims claims = Jwts.parser().setSigningKey(signingKey).parseClaimsJws(token.trim()).getBody();
        Date date = claims.getExpiration();
        return new Date().before(date);
    } catch (Exception e) {
        e.printStackTrace();
        return false;
    }
}

将token字符串解析为Jws对象,然后获取claims,这样就能拿到claims中存储的各个字段。然后自行判断即可。其中解析用的signingKey与2中生成的signingKey是同一个。

由于(当前解析的时间<生效时间)或(当前解析的时间>失效时间)均会抛出异常,所以需要对异常进行捕获,返回false给前端,表示token已失效。

 

 

附录

  1. claims的设置

JwtBuilder允许用户自定义claims,并提供了3个相关函数:

JwtBuilder setClaims(Claims var1);
JwtBuilder setClaims(Map<String, Object> var1);
JwtBuilder claim(String var1, Object var2);

其中:

  • 两个setClaims会将之前已存在的claims覆盖掉。
  • claim会将新的值push给当前claims。

JwtBuilder将7个官方payload字段也存储在claims中。也就是说,用户自定义的字段和官方的payload字段是存放在一起的。

因此,若已经为JwtBuilder设置了claims字段,则不能再调用setClaims(),否则已设置的会被覆盖。推荐使用claim()函数。

JwtBuilder提供了7个set函数来设置7个官方payload字段。以setExpiration()为例。

·若还没有调用JwtBuilder的setClaims(),则调用setExpiration(),会先为JwtBuilder添加一个空的claims,然后将expiration设置进去。

·若已经调用了JwtBuilder的setClaims(),则调用setExpiration(),会将expiration的值push到已存在的claims中。

  1. not before与expiration

7个官方payload字段中,有3个时间:

·issue at:签发时间

·not before:生效时间

·expiration:失效时间

当Jwts对token字符串进行解析时,若存在not before和expiration,则会进行判断:

当前解析的时间必须>=not before

当前解析的时间必须<=expiration

否则会抛出异常。所以解析时需要对异常进行捕获处理。

若这2个时间都没有进行设置,则不会进行判断。

然而,其流程是:

JwtBuilder调用setNotBefore()来设置时间→生成token返回给用户→用户请求→对请求的token进行解析。

其中:

  • setNotBefore()来设置时间时,将时间转换为秒,是一个long型的数据,存储到claims中。
  • 解析时,将claims中的秒取出来,转成Date型数据,然后与当前时间的Date比较,来判断是否抛出异常。

因此:

jwtBuilder.setNotBefore(new Date());
jwtBuilder.claim("nbf", new Date().getTime()/1000);

效果是相同的。

其中7个字段名(例如"nbf")定义在Claims接口中(例如Claims.NOT_BEFORE)。

 

超频化石鱼
关注
专栏目录
JWT
qq122516902的博客
02-15 641
JWT1.什么是JWT2.JWT组成1.头部2.有效荷载3.签名3.使用4.参考 1.什么是JWT JWT(json web token),是一种用于web传输的json形式的用户身份令牌(token)。在一个session不共享的web环境,用户信息可以通过JWT来传递,每一次请求都携带用户身份信息。 2.JWT组成 JWT的组成分为3个部分,1是头部信息(Header),2是有效荷载(Pay...
java 解析jwt令牌,解决黑马web开发课程P162的报错问题
最新发布
Yluciud的博客
08-21 284
区别:需要在设置秘钥后,加入方法.build();不设置秘钥会报错- 无法验证jwt签名。不加.bulid()则代码无法运行。
JWT的问题记录:关于授权服务器的时间同步问题
changlu1119的博客
01-11 3568
在开发当使用JWT做登陆验证,结果碰到授权服务器的时间老是快20s的问题,导致业务服务器拿到token再去解析的时候会报解析错误,因为生产token的时候会把当前时间加上过期时间写到claims,其有一个方法setNotBefore,就是解析时间不能在生产token之前。 我本身只是个码农,之前在linux服务环境下也没碰到过这个问题,现在客户要求windows(因为他们想自己维护服务器
【web】JWT(Json web token)的原理、签发、验证
冰冷的希望的博客
10-30 1032
1.JWT JWT(Json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证。后来出现了cookie和session,传统的session认证虽然安全,但是本身很难得到扩展,不方便在多台服务器认证,一般会增大开销,而且还可能会造成CSRF攻击 而token认证机制不需要考虑用户在哪一台服务器
JWT(JSON Web Token)的基本原理
2401_83703835的博客
03-29 939
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程废止某个 token,或者更改 token 的权限。首先,需要指定一个密钥(secret)。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
本篇文章将深入探讨如何在Spring Boot应用结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份验证标准,它允许信息在多个服务之间安全地传输,而无需在服务器上存储会话信息。JWT...
spring-boot-jwt使用JWT保护Spring Boot Rest端点的简单演示
01-29
在本文,我们将深入探讨如何使用JSON Web TokenJWT)来保护Spring Boot构建的RESTful服务。`spring-boot-jwt`项目提供了一个简单的演示,展示了JWTSpring Boot应用程序的实际应用。JWT是一种轻量级的身份...
spring boot+jwt实现api的token认证详解
08-26
在本文,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro 的设计理念因为追求灵活性,一些概念如 Realm,Subject 的抽象级别都比较高,显得比较复杂。如果没有对框架细节进行...
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi...
三、JWT(JSON Web Tokens)令牌(token
HiDaJing
03-18 3849
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json配置j
jwt使用:往JwtBuilder设置claims ,值被覆盖的问题
weixin_38168050的博客
04-22 6378
不要使用 builder.setClaims(map) 封装 map,因为会覆盖前面设置的参数 循环 keySet() 设置 循环entrySet设置 //创建JwtBuilder JwtBuilder builder = Jwts.builder() //设置失效时间 .setExpiration(new Date(exp))...
JWT简单介绍与使用
weixin_51980047的博客
07-27 2233
JWT简单介绍与使用
初步理解JWT并实践使用
热门推荐
小山半白的博客
01-12 11万+
  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因...
JWT 设置token过期时间无效
zona
03-18 4万+
原因: 设置超时时间的顺序有误, 应调用setClaims()方法设置claims属性。 在调用setExpiration()方法设置超时时间。 Date expiresDate = new Date(System.currentTimeMillis() + expire_time);// expire_time为token有效时长, 单位毫秒 错误顺序示例: JwtBuilder r...
Web安全通讯之JWT的Java实现
wangcantian的博客
07-04 2万+
上篇文章目的是介绍 Json Web Token(以下简称 jwt) ,由于我对 Java 比较熟悉就介绍 Java 服务端 的实现方式,其他语言原理是相同的哈~ PS:如果不清楚JWT,请先看 《Web安全通讯之TokenJWT》 参考博客:各种语言版本的基于HMAC-SHA256的base64加密 官网地址:https://jwt.io/ jwt github:https:
java的jwt
m0_68441755的博客
11-13 169
/ 进行解析其jwt。// 其次是创建过期时间。// 创建jwt生成器。// 首先是创建签名密钥。
spring 集成 jwt
菜籽的博客
04-18 2099
spring集成jwt实现加密,json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的。掌握jwt只需6步,希望每个人都能掌握jwt吧。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值