JWT简单入门

最新推荐文章于 2023-06-20 03:48:37 发布
最新推荐文章于 2023-06-20 03:48:37 发布
阅读量243 收藏
点赞数 1
文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hnh_blog/article/details/118911331
版权

一、What is JWT

jwt 全称SON Web Token,是为了在网络应用环境间传递声明而执行的一种基于json的开放标准,jwt的声明一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息。

授权服务器将用户信息和授权范围序列化后放入一个JSON字符串,然后使用Base64进行编码,最终在授权服务器用私钥对这个字符串进行签名,得到一个JSON Web Token。假设其他所有的资源服务器都将持有一个RSA公钥,当资源服务器接收到这个在Http Header中存有Token的请求,资源服务器就可以拿到这个Token,并验证它是否使用正确的私钥签名(是否经过授权服务器签名,也就是验签)。验签通过,反序列化后就拿到Toekn中包含的有效验证信息。

二、JWT构成

1、Header

Header是由以下这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到这个原来的Json,所以JWT中存放的一般是不敏感的信息)生成的字符串,Header中存放的内容是说明编码对象是一个JWT以及使用“SHA-256”的算法进行加密(加密用于生成Signature)

2、Payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。

3、Signature

Signature是由Header和Payload组合而成,将Header和Claim这两个Json分别使用Base64方式进行编码,生成字符串Header和Payload,然后将Header和Payload以Header.Payload的格式组合在一起形成一个字符串,然后使用上面定义好的加密算法和一个密匙(这个密匙存放在服务器上,用于进行验证)对这个字符串进行加密,形成一个新的字符串,这个字符串就是Signature。
三、JWT简单Demo

pom.xml

   <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.4</version>
    </dependency>

测试类:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.codec.binary.Base64;

import javax.crypto.spec.SecretKeySpec;
import java.util.Date;

public class JwtToken {

   // private static String SECRET = "zhangsan";
   public static void main(String[] args) {
      /* String jwtStr = createJwt("zhangsan",1000000);
       System.out.println(jwtStr);*/
       String jwtStr = "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiJ6aGFuZ3NhbiIsImlhdCI6MTYyNjUxNjAyNSwic3ViIjoiemhhbmdzYW4iLCJleHAiOjE2MjY1MTcwMjV9.I-ECDg_TBvWAo6UMYTFYWL0Ojkr2beGizY7U5cgdXcc7C2vpnHOOEp9QViq7wWHTr_MIuHZkwr1Ribh99dRNoQ";
       Claims claims = verifyJwt(jwtStr);
       String value = (String)claims.get("zhangsan");
       String subject = claims.getSubject();
       String id = claims.getId();
       System.out.println("id=="+id);
   }

    /**
     * 签发JWT
     * @param name
     * @param Mill
     * @return
     */
    public static String createJwt(String name,long Mill) {

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS512;

        SecretKeySpec key = getKey();
        long timeMillis = System.currentTimeMillis();
        Date now = new Date(timeMillis);
        JwtBuilder builder = Jwts.builder()
                .setId(name)
                .setIssuedAt(now)//签发时间
                .setSubject(name) //主题
                .signWith(signatureAlgorithm, key);//签名算法以及秘钥

        if (Mill >= 0) {
            long expireTime = timeMillis + Mill;
            Date expDate = new Date(expireTime);
            builder.setExpiration(expDate);//过期时间
        }


        return  builder.compact();

    }

    /**
     * 由字符串生成加密的key
     * @return
     */
    public static SecretKeySpec getKey(){
        String keyString = "zhangsan123";
        byte[] encode = Base64.decodeBase64(keyString);
        SecretKeySpec secretKeySpec = new SecretKeySpec(encode, 0, encode.length, "AES");
        return secretKeySpec;
    }

    /**
     * 校验JWT
     * @param jwtStr
     * @return
     */
    public static Claims verifyJwt(String jwtStr) {
        SecretKeySpec key = getKey();
        Claims claims = Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr).getBody();

        return claims;
    }
}

应用场景:用户登录成功后,后端通过jwt产生一个token返回给客户端,客户端进行存储,以后每次访问相关资源时候,后端会有一个拦截器进行拦截,按照定义好的解密规则解密出用户信息,解密成功并且存在,则允许进行后续的操作

public class JwtInterceptor implements HandlerInterceptor{
	
	/**
	 * 模拟拦截用户请求的url,并从url中读取前端传来的token,如果校验通过,则允许进行后续其他的操作
	 */
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		String token = request.getHeader("authorization");
		Claims claims = verifyJwt(token);
		 String value = (String)claims.get("zhangsan");
         String subject = claims.getSubject();
         String id = claims.getId();
		UserService userService = SpringContextUtil.getBean("usersService");
        //查询是否存在该用户
		Users user = userService.findById(id);
		if(user != null){
			return true;
		}else{	
			//生成token的动作是不是应该在用户登录成功的时候产生呢?
			return false;
		}
	}
	
}

参考:https://blog.csdn.net/zhangcongyi420/article/details/89222307

Mr_张三阿
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 9037
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
(原创)无废话C#设计模式之六:Builder
weixin_33676492的博客
10-07 89
  无废话C#设计模式之六:Builder   意图          将一个复杂的构建与其表示相分离,使得同样的构建过程可以创建不同的表示。   场景          在电脑城装机总有这样的经历。我们到了店里,先会有一个销售人员来询问你希望装的机器是怎么样的配置,他会给你一些建议,最终会形成一张装机单。和客户确定了装机配置以后,他会把这张单字交给提货的人,由他来准备这些配件,...
JWT入门指南
最新发布
白豆五的博客
06-20 1884
JWT(全称:JSON Web Token),通过数字签名的方式,以JSON对象作为载体,在不同的服务终端之间安全的传输信息。JWT 是实现Token无状态会话认证技术的一种标准。 JWT作用:通常用于web应用程序的 身份验证 和 鉴权 。 JWT令牌由Header、Payload、Signature三部分组成,每部分字符串中间用`.` 拼接。JWT令牌的最终格式是这样的: Header.Payload.Signature。
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3789
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
.net core webapi 使用Authorize身份认证
热门推荐
清雨小竹
02-08 1万+
1.使用JWT身份认证模式,引入库:IdentityServer4.AccessTokenValidation2.在StartUp.cs中添加加密秘钥串:public static readonly SymmetricSecurityKey symmetricKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("need_to_get_th...
JWTDemo.zip
06-30
netcoreapi+jwt,简单的例子,实现参数的加密传递。内容比较简单入门研究还是够用的。很不多
jwt:Go的快速,简单JWT实现
05-07
智威汤逊 用编写的快速简单的实现。 该软件包在设计时考虑了安全性,性能和简便性,它保护令牌免受。 请为这个开源项目加注以吸引更多的开发人员,以便我们共同改善它!安装唯一的要求是。 $ go get github....
简单jwt-api
02-17
部署Flask API 这是的第四门课程的项目入门 :服务器部署,容器化和测试。 在此项目中,您将使用Docker,AWS EKS,CodePipeline和CodeBuild容器化Flask API并将其部署到Kubernetes集群。 将用于该项目的Flask应用...
jwt入门:Json Web令牌(JWT)及其相关的JWKJWS安全性交换入门的示例和参考
02-17
您可以将其找到为JWT并不复杂虽然许多加密安全措施可能难以实施,但此回购仅作为生成和使用JWT密钥甚至通过代码自动构建可旋转密钥所需的简单示例提供。 在查看示例时,您会发现可以用少于50行的代码来生成和验证...
ASP.NET Core 入门教程
08-23
这部分内容会涵盖基本的身份验证策略、Cookie认证、JWT(JSON Web Tokens)以及角色和政策授权。 此外,教程还可能深入到依赖注入(Dependency Injection,DI)的概念,ASP.NET Core内置了强大的DI容器,可以管理...
JSON WEB TOKEN
weixin_34273481的博客
03-19 722
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
jwt学习、手写jwtjwt加密解密
好幸运
12-06 967
jwt官网:https://jwt.io/ JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是: Header Payload Signature 一个典型的JWT看起来是这个样子的: xxxxx.yyyyy.zzzzz 第一部分 Header header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。 'alg' "HS256" 'typ' "JWT" 然后,用Ba..
JWT RSA无状态鉴权基本原理与使用(token入门)
itwxming的博客
09-17 1087
前后端交互时不能只将用户信息封装进JWT中,否则token被人截获可以冒用。应该将所有的动态参数也封装进token里去,使之变成动态token,并解析比对token里的参数和获取到的参数的一致性。防止token有效,但参数被篡改!!! (相对彻底解决token被劫持,一个比较简单的解决思路:关于测试报告中第一个垂直越权漏洞,并不是完全像测试报告说的那样。首先,1、api/passwordchec...
C#JWT验证
weixin_30753873的博客
05-31 2662
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks;using System.Threading;using JWT;using Newtonsoft.Json; namespace ConsoleApplication39{ ...
jwt使用:往JwtBuilder中设置claims ,值被覆盖的问题
weixin_38168050的博客
04-22 6256
不要使用 builder.setClaims(map) 封装 map,因为会覆盖前面设置的参数 循环 keySet() 设置 循环entrySet设置 //创建JwtBuilder JwtBuilder builder = Jwts.builder() //设置失效时间 .setExpiration(new Date(exp))...
C# JWT加密和解密
韬光养晦
08-29 9415
C# JWT加密和解密 一、管理NuGet程序包: 二、新建一个Winform项目: using JWT; using JWT.Algorithms; using JWT.Exceptions; using JWT.Serializers; using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Lin
c#简单注册登录利用缓存存储账号密码_JWT打造无限扩展登录中心
weixin_39923599的博客
11-26 396
前言:现在人的账号越来越多,大家对新注册账号越来越反感。这时候,当一个公司有多个产品时,打通各个应用壁垒,使用一个统一的登录中心。实现一号全网通,或是只需登录一次的单点登录。都是非常有必要的。今天介绍的就是如何打造一款可以无限接入的登录中心。在这个登录中心中,我选择使用了JWT来做加密。来更大扩展开发边界。让多种语言也可以轻松完成接入登录时序图登录时序图这是一个用户没有登录的情况的图数据表交代ap...
JWT简单介绍与使用
weixin_51980047的博客
07-27 2182
JWT简单介绍与使用
JWT简单使用-HelloWorld!
铁蛋的博客
03-11 818
配置2个接口,一个获取Token(不拦截)。一个验证Token(拦截) 第一步 引入pom.xml依赖 <!--JWT(Json Web Token)登录支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </depe
JWT介绍和实践,带demo
03-03
"JWT介绍和实践,带demo" JWT(Json Web Token)是一种基于JSON的开放标准(RFC7519),主要用于在网络应用环境中安全地传递声明。JWT的设计目标是紧凑且安全,特别适合分布式站点的单点登录(SSO)场景。它允许...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值