分布式应用的登录检验解决方案 JWT讲解( json web token)

最新推荐文章于 2023-10-31 10:50:55 发布
最新推荐文章于 2023-10-31 10:50:55 发布
阅读量327 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hushuai1559/article/details/111088524
版权

什么是JWT

JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名
简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息

优点

生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
存储在客户端,不占用服务端的内存资源

缺点

token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限,密码等
如果没有服务端存储,则不能做登录失效处理,除非服务端改秘钥

JWT格式组成

头部、负载、签名

header+payload+signature

头部:主要是描述签名算法
负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者,exp 过期时间,sub 面向的用户
签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token

相关依赖

    <!-- JWT相关 -->
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.7.0</version>
    </dependency>

封装生产token方法

 /**
     * 根据用户信息,生成令牌
     * @param user
     * @return
     */
         /**
     * 过期时间一周
     */
    static final long EXPIRE = 60000 * 60 *24 * 7;

    /**
     * 加密密钥
     */
    private static final String SECRET;

    /**
     * 令牌前缀
     */
    private static final String TOKEN_PREFIX ;

    /**
     * subject
     */
    private static final String SUBJECT;
    
    public static String geneJsonWebToken(User user){

        String token = Jwts.builder().setSubject(SUBJECT)
                .claim("head_img",user.getHeadImg())
                .claim("id",user.getId())
                .claim("name",user.getName())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .signWith(SignatureAlgorithm.HS256,SECRET).compact();

        token = TOKEN_PREFIX + token;


        return token;
    }

封装校验token方法

 public static Claims checkJWT(String token){

        try{

            final  Claims claims = Jwts.parser().setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX,"")).getBody();

            return claims;

        }catch (Exception e){
            return null;
        }

    }

注意点

根据用户信息生成令牌
* 1.生成的token,是可以通过base64进行解密出明文信息
* 2.base64进行解密出明文信息,修改再编码,则会解密失败
* 3.无法作废已颁布的token,除非改密钥

hushuai1559
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
分布式环境认证和授权-基于springboot+JWT+拦截器实现-实操+源码下载
雾林小妖的博客
12-12 1586
基于springbootboot工程+jwt+拦截器实现登录验证和授权
JWT-Json Web Token-目前最流行跨域身份验证解决方案
最新发布
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3888
1.JWT介绍 1.1什么是JWT       JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
【案例实战】分布式应用登录检验解决方案JWT
互联网小阿祥
11-16 978
分布式应用登录检验解决方案JWT),编写登录逻辑全流程
分布式环境集成JWT(Java Web Token)
weixin_44924882的博客
08-30 795
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放行,不校验tokenimport cn//如果不是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就不校验了,直接放行 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执行认证 if(StringUtils . isBlank(token)) {
分布式权限验证之JWT
小小的人儿的博客
03-27 1534
JWTJSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
jwt-token.zip
12-28
token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。虽然现在的登录注册打都不用自己写了,很多优秀的框架已经帮忙完成了,但是学习jwt还是必要的,但是为了避免重复造轮,其实没必要自己写...
JWTtoken验证.zip
04-16
Json web token (JWT),适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须...
JWT快速入门
09-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
基于分布式单点登录JWTtoken身份认证方案
weixin_46879188的博客
05-18 1780
认识JWT JWTJSON Web Token 的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT工作流程 这里我们通过一张图了解它的工作流程。 从上图中我们可以看出它是基于Token的身份认证,具体流程:客户端携带用户名和密码请求访问 - 服务器校验用户凭据 - 应用提供一个token给客户端 - 客户端存储token,并且在随后的每一次请求中都带着它 -服务器校验token
分布式统一授权方案JWT
杨宇昌的博客
05-03 921
分布式统一授权方案 JWT
Web基础:Token
热门推荐
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
JWT登录过期自动刷新方案与token泄漏解决方案
weixin_65059058的博客
09-13 6578
JWT登录过期自动刷新方案与token泄漏解决方案
JWT安全验证常见疑问解答
西涛offbye-移动全栈技术博客
07-05 1万+
最近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWTJSON Web Token (JWT)是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 4567
JSON Web Token (JWT)详解
JWT校验
Monster
03-08 2108
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
web——token的使用方法
shanyuecom的博客
05-22 1576
一、为什么要使用token: 1.token完全有应用管理,它可以避开同源策略。 2.token可以避免CSRF攻击。 3.token可以是无状态的,可以在多个服务间共享。 二、token的作用: 1.防止表单重复提交。 2.身份验证,识别用户权限等。 三、token的基本使用: 使用基于token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,验证用户名与密码 验证成功后,服务端会签发一个token,再把这个token发送给
Web中什么是token,token的组成部分详解(jwt Token
latata的博客
04-26 9070
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端...
jwttoken是同一个吗
07-11
不,JWTJSON Web Token)和token并不是同一个概念。Token是一种用于身份验证和授权的令牌,用于验证用户身份和访问权限。它可以是任何形式的字符串,例如随机生成的字符串或加密后的用户凭证。 而JWT是一种特定的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值