JWT原理&多语言实现

最新推荐文章于 2024-05-16 10:23:10 发布
最新推荐文章于 2024-05-16 10:23:10 发布
阅读量109 收藏
点赞数
文章标签: java 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxuans/article/details/130153504
版权

JWT基础概念
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。

代码来自网络,亲测有效,所以记录一下

JWT由三个部分组成:header.payload.signature

header部分
该字段为json格式,alg字段指生成signature的算法,默认值为HS256,typ默认值为JWT

{
  "alg": "HS256",
  "typ": "JWT"
}
1
2
3
4
payload
该字段为json格式,表明用户身份的数据,可以根据业务需求自行定义

{
    "username": "admin",          //该JWT的签发者
    "exp": 1535974630,        //过期时间,系统当前时间*
}
1
2
3
4
signature部分:
签名算法,一般为HS256,其他的算法怎么整,具体长啥样儿我也不知道,没有找到,郁闷

jwt生成详解:
以加密方式为HS256为例

header进行base64UrlEncode加密后的字符串–字符串1

base64UrlEncode(header)

payload的内容进行base64UrlEncode加密后的字符串–字符串2

base64UrlEncode(payload)

字符串1+'.'+字符串2拼接成一个新的字符串–字符串3

base64UrlEncode(header)+’.’+base64UrlEncode(payload)

通过header中的指定的算法来对字符串3 和一个密钥secret进行HMacSHA256()进行加密得到一个新的字符串就是jwt的主要内容

//java  
//HMACSHA256签名   https://jwt.io/introduction  中HMACSHA
HMacSHA256(
    base64UrlEncode(header) + '.'
    + base64UrlEncode(payload)
    + secret)
1

实现
python代码实现
主要是用pyjwt这个包来实现加解密

# pip3 install pyjwt
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'ashlkdjfhoawhe;kfjnasdlkfjlasdhfoiuahsdvlajksnd'


def create_token(payload, timeout=20):
    """
    :param payload:  例如:{'user_id':1,'username':'sinmu'}用户信息
    :param timeout: token的过期时间,默认20s
    :return:
    """
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(seconds=timeout)
    tmp = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers)
    result = tmp.encode('utf-8')
    return result


def parse_payload(token):
    """
    对token进行和发行校验并获取payload
    :param token:
    :return:
    """
    result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, algorithms="HS256")
        result['status'] = True
        result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
    except jwt.DecodeError:
        result['error'] = 'token认证失败'
    except jwt.InvalidTokenError:
        result['error'] = '非法的token'
    return result


if __name__ == '__main__':
    token = create_token({'uid': 1, 'username': 'sinmu'},3).decode('utf-8')
    res = parse_payload(token)
    print(res)


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
Java实现jwt

import io.jsonwebtoken.*;
import java.util.Date;

public class JwtUtils {

    private long expire=7200;
    private String secret="dwhidhkwhdkdiwhd232323dwdadwdw2a";
    private String header="Authorization";

    // 生成jwt
    public String generateToken(String username) {

        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + 1000 * expire);

        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(username)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)// 两小时过期
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    // 解析jwt
    public Claims getClaimByToken(String jwt) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(jwt)
                    .getBody();
        } catch (Exception e) {
            return null;
        }
    }

    // jwt是否过期
    public boolean isTokenExpired(Claims claims) {
        return claims.getExpiration().before(new Date());
    }

}


PHP实现JWT
<?php
/**
 * PHP实现jwt
 */
class Jwt {

    //头部
    private static $header=array(
        'alg'=>'HS256', //生成signature的算法
        'typ'=>'JWT'    //类型
    );

    //使用HMAC生成信息摘要时所使用的密钥
    private static $key='123456';


    /**
     * 获取jwt token
     * @param array $payload jwt载荷   格式如下非必须
     * [
     *  'iss'=>'jwt_admin',  //该JWT的签发者
     *  'iat'=>time(),  //签发时间
     *  'exp'=>time()+7200,  //过期时间
     *  'nbf'=>time()+60,  //该时间之前不接收处理该Token
     *  'sub'=>'www.admin.com',  //面向的用户
     *  'jti'=>md5(uniqid('JWT').time())  //该Token唯一标识
     * ]
     * @return bool|string
     */
    public static function getToken(array $payload)
    {
        if(is_array($payload))
        {
            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
            return $token;
        }else{
            return false;
        }
    }


    /**
     * 验证token是否有效,默认验证exp,nbf,iat时间
     * @param string $Token 需要验证的token
     * @return bool|string
     */
    public static function verifyToken(string $Token)
    {
        $tokens = explode('.', $Token);
        if (count($tokens) != 3)
            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //获取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg']))
            return false;

        //签名验证
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
            return false;

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        //签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) && $payload['iat'] > time())
            return false;

        //过期时间小宇当前服务器时间验证失败
        if (isset($payload['exp']) && $payload['exp'] < time())
            return false;

        //该nbf时间之前不接收处理该Token
        if (isset($payload['nbf']) && $payload['nbf'] > time())
            return false;

        return $payload;
    }


 

hxuans
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习Spring Boot:(二十八)Spring Security 权限认证
追光者的博客
05-07 1万+
前言 主要实现 Spring Security 的安全认证,结合 RESTful API 的风格,使用无状态的环境。 主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证,授权成功返回授权实例信息,供服务调用。 基于Token的身份验证的过程如下: 用户通过用户名和密码发送请求。 程序验证。 程序返回一个签名的token 给客户端。 ...
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
Aplumage的专栏
10-13 1万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 什么是JWT? JSON Web...
JWT生成Token
风雨过后的博客
01-23 6142
什么是JWT       Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
JWT详解
个人博客
05-24 911
JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
lua语言实现jwt源文件
01-17
资源为lua语言调用jwt实现token验证的源文件,里面文件包括四个文件: evp.lua hmac.lua jwt-validators.lua jwt.lua 在你使用openresty的时候,需要调用jwt进行token操作,需要将这个四个文件拷贝到/usr/local/...
Laravel jwt 多表(多用户端)验证隔离的实现
12-20
当同一个 laravel 项目有多端(移动端、管理端……)都需要使用 jwt 做用户验证时,如果用户表有多个(一般都会有),就需要做 token 隔离,不然会发生移动端的 token 也能请求管理端的问题,造成用户越权。...
thinkphp+jwt实现前后端分离
03-15
使用Thinkphp6+jwt 简单实现前后端分离
JWT+SpringSecurity实现基于Token的单点登录(二):认证和授权
qq_37771475的博客
03-10 9572
前言 本章是基于上一章“JWT+SpringSecurity实现基于Token的单点登录(一):前期准备”的基础上进行开发的,如果前期准备还没有做好的,可点击链接至上一章。 代码地址:gitee 一、JWT工具类 这里我们使用jjwt来构建我们的Token。首先导入jjwt的依赖包。 <!--JWT--> <dependency&g...
JWT原理和实战应用
超级丹的专栏
12-14 2186
1、jwt jsonweb token,一般用于用户认证(前后端分离/微信小程序/app开发)。 基于传统的token认证 用户登录,服务端返回token,并将token保存在服务端 以后用户再来访问时,需要携带token,服务端获取token后,再去数据库中获取token进行校验. jwt 用户登录,服务端返回token,(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token后,再做token校验. 优势:相较于传统的token相比,它无需在服务端保存token..
python实现JWT加密
weixin_43802846的博客
01-05 632
python实现JWT加密。
instanceof和containsKey以及claims.getExpiration()以及expiration.before()的用法
zouyang920的博客
07-06 1294
instanceof 是 Java 的保留关键字。它的作用是测试它左边的对象是否是它右边的类 的实例,返回 boolean 的数据类型。 containsKey有key和value键值对,适用于判断是否含有key。 claims.getExpiration()令牌过期的日期。 expiration.before(new Date())判断当前日期是否在过期日期之前。 ...
Spring Security + JWT 实现基于Token的安全验证
热门推荐
huanghuitan的博客
05-16 2万+
Spring Security + JWT 实现基于token的安全验证 准备工作 使用Maven搭建SpringMVC项目,并加入Spring Security的实现 参考: Spring SecurityJWT官网 JWT简介 参考:JWT简介 JWT的结构 JWT包含了使用 . 分隔的三部分: 1.Header 头部,
python-jwt用户认证食用教学
Unknowncheats的博客
05-19 279
jwt djangorestframework-jwt 食用方法 jwt的作用 json web token,一般用于用户认证就是做用户登录的(前后端分离/微信小程序/app开发) 基于传统的token认证 用户登录,服务端返回token,并将token保存在服务端, 以后用户再来访问时,需要携带token,服务端获取token后,再去数据库中获取token进行校验 jwt 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问,需要携带token,服务端获取token后,再做t.
jar包增量更新分析
最新发布
junlaiyan的专栏
05-16 251
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 615
本文主要提供用java实现的拼图小游戏源代码。
命令执行漏洞(二)
XLbb的博客
05-15 900
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
解释svgCaptcha和jwt实现原理及流程
06-11
它的实现原理是:首先,生成一组随机字符串,然后将这组字符串转换成SVG图像,添加一些干扰线和噪点,最后将图像输出给用户。用户需要在输入框中输入验证码文本,系统会将用户输入的文本与生成的随机字符串进行比较...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值