Java JWT生成token信息

已于 2024-06-13 09:59:50 修改
阅读量110 收藏
点赞数
分类专栏: 安全性 文章标签: json 数据库 数据结构与算法
于 2019-01-20 22:05:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hudeyong926/article/details/99540725
版权

什么时候使用 JWT

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。JWT 虽然对于大多数网站都没有用,但是有几种情况它是很有用的。如果你正在构建从服务器到服务器或客户端到服务器(如:移动应用 APP 或单页面应用)的 API服务,那么使用 JWT 是非常明智的。

JWT使用流程

  1. 初次登录:用户初次登录,输入用户名密码
  2. 密码验证:服务器从数据库取出用户名和密码进行验证
  3. 生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT
  4. 返还JWT:服务器的HTTP RESPONSE中将JWT返还
  5. 带JWT的请求:以后客户端发起请求,HTTP REQUEST
  6. HEADER中的Authorizatio字段都要有值,为JWT
  7. 服务器验证JWT

2. JWT的原则

JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示。

{
"UserName": "Chongchong",
"Role": "Admin",
"Expire": "2018-08-08 20:15:56"
}
之后,当用户与服务器通信时,客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据,服务器将在生成对象时添加签名(有关详细信息,请参阅下文)。服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。

3. JWT的数据结构

典型的,一个JWT看起来如下图。

该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。注意JWT对象为一个长字串,各字串之间也没有换行符,此处为了演示需要,我们特意分行并用不同颜色表示了。每一个子串表示了一个功能块,总共有以下三个部分:

JWT的三个部分如下。JWT头、有效载荷和签名,将它们写成一行如下。我们将在下面介绍这三个部分。

3.1 JWT头

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

{
"alg": "HS256",
"typ": "JWT"
}
在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。

最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

3.2 有效载荷

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

iss:发行人

exp:到期时间

sub:主题

aud:用户

nbf:在此之前不可用

iat:发布时间

jti:JWT ID用于标识该JWT

除以上默认字段外,我们还可以自定义私有字段,如下例:

{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}

请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。JSON对象也使用Base64 URL算法转换为字符串保存。

案例演示

下面显示了一个登录请求成功之后服务端返回的Token,它由编码头部(header)、编码有效载(payload)和签名(signature)通过(.)拼接而成:
 

JWT并不对数据进行加密,而是对数据进行签名,保证不被篡改。除了在登录中可以用到,在进行邮箱校验和图形验证码也可以用到。

JWT缺点及对应的解决方案

登录状态信息续签问题。比如设置token的有效期为一个小时,那么一个小时后,如果用户仍然在这个web应用上,这个时候当然不能指望用户再登录一次。判断还有多久这个token会过期,在token快要过期时,返回一个新的token。

用户主动注销。JWT并不支持用户主动退出登录,当然,可以在客户端删除这个token,但在别处使用的token仍然可以正常访问。为了支持注销,我的解决方案是在注销时将该token加入黑名单。可以给用户加一个登录状态字段。登录之后这个字段为1。然后退出之后这个字段为0。如果退出了,就算有JWT还是退出状态了。

Java maven依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.2.0</version>
</dependency>

JWT加解密

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTCreationException;
import java.io.UnsupportedEncodingException;
import java.util.Date;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * @author hudy
 * @date 2024/6/7
 */
public class JWTEncrypt {

  /**
   * 分配给供应商的签发主体
   */
  private static final String JWT_ISSUER = "明文内容加密";
  // 签名密钥
  private static final String APP_SECRET = "33db7be3237f0a29f2150aaca789fa6f";

  // Bearer令牌
  private static final String BEARER = "Bearer ";

  // 日志记录器
  private static final Logger logger = LoggerFactory.getLogger(JWTEncrypt.class);

  // 生成一个长期有效的Token
  public static String genToken() throws JWTCreationException, UnsupportedEncodingException {
    return BEARER + JWT.create()
        .withIssuer(JWT_ISSUER)
        .withIssuedAt(new Date())
        .sign(Algorithm.HMAC256(APP_SECRET));
  }

  // 验证有效信用组织
  public static boolean verifyValidCreditOrg(String jwtSignToken, String appToken) {
    try {
      JWTVerifier verifier = JWT.require(Algorithm.HMAC256(appToken)).build();
      verifier.verify(jwtSignToken);
      return true;
    } catch (Exception e) {
      logger.error("JWT token验证异常,原因:{}", e);
    }
    return false;
  }

  // 获取签发者
  public static String getIssuer(String jwtSignToken) throws RuntimeException {
    try {
      return JWT.decode(jwtSignToken).getIssuer();
    } catch (Exception e) {
      logger.error("获取JWT的appkey发生异常,原因:{}", e);
      throw new RuntimeException("非法请求客户端");
    }
  }

  // 获取签发时间戳
  public static Long getIssuedAt(String jwtSignToken) throws RuntimeException {
    try {
      return JWT.decode(jwtSignToken).getIssuedAt().getTime() / 1000;
    } catch (Exception e) {
      logger.error("获取JWT的appkey发生异常,原因:", e);
      throw new RuntimeException("非法请求客户端");
    }
  }

  public static void main(String[] args) throws UnsupportedEncodingException {
    // 生成token
    String authorization = JWTEncrypt.genToken();
    System.out.println("请求头授权信息,header token=" + authorization);

    // 验证token
    String jwtSignToken = authorization.substring(BEARER.length());
    boolean verified = JWTEncrypt.verifyValidCreditOrg(jwtSignToken, APP_SECRET);
    System.out.println("验证结果=" + verified);

    // 解析签发主体
    String issuer = JWTEncrypt.getIssuer(jwtSignToken);
    System.out.println("签发主体=" + issuer);
  }
}


 

@航空母舰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java token使用_Java实现token生成与验证-登录功能
weixin_33682804的博客
02-12 2215
二、基于JWTtoken认证实现JWT:JSON Web Token,其实token就是一段字符串,由三部分组成:Header,Payload,Signature1、引入依赖com.auth0java-jwt3.8.22、设置密钥和生存时间//设置过期时间private static final long EXPIRE_DATE=30*60*100000;//token秘钥private sta...
jwt token java_利用JWT生成Token
weixin_33640304的博客
02-21 482
开篇实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成Token.JWT生成Token有什么好处呢?安全性比较高,加上密匙加密而且支持多种算法。携带的信息是自定义的,而且可以做到验证token是否过期。验证信息可以由前端保存,后端不需要为保存token消耗内存。本篇分3部分进行讲解。什么是JWTJWT的代码实现用HS256 对称算法加密用RS256 非对称算...
使用JWT生成token实现权限验证
m0_59359926的博客
04-07 9321
一、给登录按钮添加单击事件@click="doSubmit"。给账号文本框密码文本框都添加@blur="checkInfo"事件。发送请求 <script type="text/javascript"> var baseUrl = "http://localhost:8080/"; var vm = new Vue({ el:"#container", data:{ username:"", password:"", ..
JAVA使用JWT生成token
熙熙小学姐
10-23 2214
JWT(JSON Web Token)简而言之,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任。一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息
Java-JWT生成Token信息工具类
2301_78471233的博客
10-12 145
【代码】JWT生成Token信息工具类。
jwt生成token与解析token
翎墨袅
11-06 4473
jwt token
JWTToken之间的区别
热门推荐
分享思想,留下痕迹。
11-24 14万+
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉✨特色专栏:🥭本文内容:JWTToken之间的区别,欢迎大家访问📚个人知识库:,欢迎大家访问。
动手写一个 Java JWT Token 生成组件
zhangxin09的专栏
06-24 961
OAuth2 中默认使用 Bearer Tokens (一般用 UUID 值)作为 token 的数据格式,但也支持升级使用 JSON Web Token(JWT) 来作为 token 的数据格式。实际来说,OAuth 规范中并无限制 Token 采取何种格式。今天我们就采用 JWT 来作为 Token,它的一个好处是自描述 Token,包含了用户信息而并不需要通过额外的接口获取用户信息。所谓 JWT Token,本身是明文的,前端得到之后进行 Base64 解码,即可获取用户信息(JSON)。
Jwt生成token以及解析token
zhyaw56zhu的博客
02-11 412
【代码】Jwt生成token以及解析token
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT...
JWT Token生成及验证(源码)
04-12
5. JWT生成: 在代码中,使用特定的库(如Java的jjwt、Node.js的jsonwebtoken或.NET的JWT.NET等)来生成JWT。首先,构造头部和载荷的JSON对象,然后进行Base64编码。接着,使用指定的算法和密钥生成签名。最后,将...
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot集成JWT生成token及校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码详细介绍了JWT token生成和校验过程,为读者提供了详细的Reference和学习价值。 一...
JWT(java web Token)
01-22
Java Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
基于Java验证jwt token代码实例
08-25
基于Java验证jwt token代码实例 基于Java验证jwt token代码实例是指使用Java语言来验证JSON Web TokenJWT)的代码...这个代码实例展示了如何使用Java语言和Auth0的JWT库来生成和验证JWT,实现身份验证和信息交换。
基于Python的简单聊天机器人项目
PeterClerk的博客
06-27 397
简单聊天机器人
FastAPI教程II
最新发布
a_blade_of_grass的博客
06-29 1332
Pydantic的.dict()user_in是类UserIn的Pydantic模型。Pydantic模型支持.dict方法,能返回包含模型数据的字典。因此,如果使用如下方式创建Pydantic对象user_in现在,变量user_dict中的就是包含数据的字典(变量user_dict是字典,不是Pydantic模型对象)。解包dict把字典user_dict以形式传递给函数(或类),Python会执行解包操作。它会把user_dict的键和值作为关键字参数直接传递。因此,接着上面的。
商城客服系统接入,联动查询咨询用户订单列表 以及可以向咨询用户推荐商品...
程序员老狼专注开发aigc或客服系统应用
06-26 487
我在抖音上发布了视频https://www.douyin.com/video/7384807850859564325下面是主要内容介绍【视频标题:】商城客服系统接入,联动查询咨询用户订单列表 以及可以向咨询用户推荐商品 #客服系统 #商城系统-----------【小红书文案:】【标题】1. "一秒内掌握客服系统新技能!商品推荐不再是难题!"2. "别让客户等太久!立即查看订单,推荐商品!"3....
SpringBoot优点达项目实战:登录功能实现(四)
小林的博客
06-26 1518
因为业务层中使用的是mybatisPlus自带的查询语句,所以Mapper层不需要去进行sql自定义查询,但必须将创建出来,为业务层实现。,该方法接收用户 ID 和用户名,并生成一个包含这些信息JWT。业务处理中用到了一些异常,在此之前应该定义异常类。定义操作SysUser的serviceImpl。同时在model模块中创建枚举类统一返回的信息。在common模块中定义工具类,进行令牌生成。定义操作SysUser的service。在common模块中定义。在实现类中进行业务处理。
php 通过vendor文件 生成还原最新的composer.json
༺墨༒眉༻
06-28 377
我操作方案虽然简单但很实用,首先备份一下原来的vendor,然后通过生成好的composer.json 运行安装新文件,使用文件对比工具对比两个vendor的文件差异找出缺失的安装包,手动添加在composer.json文件中。起因:因为历史原因,在本项目中composer.json基本算废了,没法直接使用composer管理扩展,今天尝试修复一下composer.json。第二步:通过运行上面的脚本我们可以得到一个包含大部分扩展包的信息,网上大部分文档也都截止于此,这个命令主要是通过。
java如何使用jwt生成token
08-18
Java中,可以使用com.auth0库来实现JWT生成和验证。首先,你需要在你的项目中添加该库的依赖: ```xml <!--JWT--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> ``` 接下来,你可以使用以下代码创建一个JWTtoken: ```java String token = JWTUtils.createToken(1L); ``` 请注意,在上面的例子中,我将token的过期时间设置为10秒。 接下来,如果你想验证token并获取其中的信息,你可以使用以下代码: ```java try { Map<String, Claim> stringClaimMap = JWTUtils.verifyToken(token); Long id = stringClaimMap.get("id").asLong(); System.err.println("用户id是:" + id); } catch (Exception e) { e.printStackTrace(); } ``` 上面的代码会尝试验证token,并从中获取id这个字段的值。如果token已经过期,会抛出TokenExpiredException异常。 为了处理token过期的情况,你可以使用以下代码: ```java try { // 上面的token被我设置成了10秒过期 Thread.sleep(11000L); JWTUtils.verifyToken(token); // 这里定向捕获登录过期异常 } catch (TokenExpiredException e) { // 写过期逻辑 System.err.println("登录过期"); } catch (Exception e) { e.printStackTrace(); } ``` 上面的代码会捕获TokenExpiredException异常,你可以在此处编写处理过期逻辑。 最后,你可以使用以下代码来验证token和获取其中的信息: ```java public static Map<String, Claim> verifyToken(String token) throws Exception { JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build(); DecodedJWT jwt = verifier.verify(token); return jwt.getClaims(); } ``` 上面的代码会使用之前设置的密钥来验证token,并返回包含token中所有声明的Map。 这样,你就可以在Java中使用JWT生成token了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [JWT介绍及用JAVA使用JWT生成token](https://blog.csdn.net/weixin_43085439/article/details/105838751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值