JWT令牌 创建JWT、和解析JWT

已于 2023-08-05 16:03:33 修改
阅读量457 收藏
点赞数
文章标签: wpf
于 2023-08-05 15:56:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyj7_7/article/details/132120776
版权

JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。

JWT的使用场景:

  • 一种情况是webapi,类似之前的阿里云播放凭证的功能

  • 另一种情况是多web服务器下实现无状态分布式身份验证

JWT的作用:

  • JWT 最重要的作用就是对 token信息的防伪作用

JWT的原理:

  • 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希最后由这三者组合进行base64编码得到

  • 该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。

  • 每一个子串表示了一个功能块,总共有以下三个部分:JWT头、有效载荷和签名

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

{
  "alg": "HS256",
  "typ": "JWT"
}

在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

sub: 主题
iss: jwt签发者
aud: 接收jwt的一方
iat: jwt的签发时间
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

以上默认字段外,我们还可以自定义私有字段,如下例

{
  "name": "Helen",
  "admin": true,
  "avatar": "helen.jpg"
}

请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。

JSON对象也使用Base64 URL算法转换为字符串保存。

签名哈希

签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)    ==>   签名hash

使用

1.引入pom

 <dependencies>
        <!-- JWT -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>

        <!--junit-->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
        </dependency>

    </dependencies>

2.创建JWT、和解析JWT

public class JwtTests {

    //过期时间,毫秒,24小时
    private static long tokenExpiration = 24*60*60*1000;
    //秘钥
    private static String tokenSignKey = "atguigu123";


    //创建JWT
    @Test
    public void testCreateToken(){
        //JWT  由三部分组合 头 载荷 签名哈希
        String token = Jwts.builder()
                //头
                .setHeaderParam("typ", "JWT") //令牌类型
                .setHeaderParam("alg", "HS256") //签名算法

                //载荷 :默认信息
                .setSubject("guli-user") //令牌主题
                .setIssuer("atguigu")//签发者
                .setAudience("atguigu")//接收者
                .setIssuedAt(new Date())//签发时间
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration)) //过期时间
                .setNotBefore(new Date(System.currentTimeMillis() + 20*1000)) //20秒后可用
                .setId(UUID.randomUUID().toString())//jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

                //载荷 :自定义信息
                .claim("nickname", "Helen")
                .claim("avatar", "1.jpg")

                //签名哈希
                .signWith(SignatureAlgorithm.HS256, tokenSignKey)//签名哈希

                //组装jwt字符串
                .compact(); //转换成字符串

        System.out.println(token);
    }


    解析JWT
    @Test
    public void testGetUserInfo(){

        String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJndWxpLXVzZXIiLCJpc3MiOiJhdGd1aWd1IiwiYXVkIjoiYXRndWlndSIsImlhdCI6MTY5MTIyMDc5NywiZXhwIjoxNjkxMzA3MTk3LCJuYmYiOjE2OTEyMjA4MTcsImp0aSI6Ijk1ZmEyNzBhLTg2NTQtNDRiNy1iMzkzLTYzYWJiYmE1ODBhMSIsIm5pY2tuYW1lIjoiSGVsZW4iLCJhdmF0YXIiOiIxLmpwZyJ9.4AMALjh5zrQCt4l09uM4g3b3PkUwqhUSVWHeEjLMNt0";
        Jws<Claims> claimsJws = Jwts.parser()//生成解析器
                .setSigningKey(tokenSignKey)//使用密钥解析
                .parseClaimsJws(token);//放入token

        Claims claims = claimsJws.getBody();//有校载荷部分

        //取出载荷默认部分
        String subject = claims.getSubject();
        String issuer = claims.getIssuer();
        String audience = claims.getAudience();
        Date issuedAt = claims.getIssuedAt();
        Date expiration = claims.getExpiration();
        Date notBefore = claims.getNotBefore();
        String id = claims.getId();

        System.out.println(subject);
        System.out.println(issuer);
        System.out.println(audience);
        System.out.println(issuedAt);
        System.out.println(expiration);
        System.out.println(notBefore);
        System.out.println(id);;

        String nickname = (String)claims.get("nickname");//取出载荷自定义部分
        String avatar = (String)claims.get("avatar");//取出载荷自定义部分

        System.out.println(nickname);
        System.out.println(avatar);
    }
}

hyj7_7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jwthelper:JWT令牌生成器
02-24
该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 ...
Angular之jwt令牌身份验证的实现
10-15
主要介绍了Angular之jwt令牌身份验证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT令牌的介绍
快乐学习
08-22 3230
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
三、JWT(JSON Web Tokens)令牌(token)
HiDaJing
03-18 3747
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
JWT令牌创建以及解析
最新发布
yuban10403的博客
04-27 1241
要使用jwt令牌首先得引入相关依赖为了方便后面使用,我们直接创建一个JwtUtil。
生成和解析JWT令牌【工具类】
m0_73451795的博客
01-31 401
JWT令牌创建解析
JWT令牌技术(详解)
m0_63144319的博客
06-23 841
JWT令牌技术
10分钟了解JWT令牌 (JSON Web)
Climbman的博客
10-29 558
Base64中用的三个字符是”+“,”/“和”=“,由于在URL中有特殊含义,因此Base64URL中对他们做了替换:”=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法,很简单把。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
.NET Core 生成JWT令牌源码
04-27
.NET Core JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种轻量级的安全令牌,用于在不同的应用...该库提供了一些类和方法,用于生成和验证JWT令牌。可以使用SymmetricSecurityKey或AsymmetricSecu
jwt-parser:使用公共密钥验证JWT解析令牌并返回内容
02-08
@ practera / jwt-parser 使用公共密钥验证JWT解析令牌并返回内容。安装$ npm install @practera/jwt-parser用法JavaScript: const jwtParse = require ( "@practera/jwt-parser" ) ;jwtContents = jwtParse ( ...
使用JJWT库的Java JWT令牌教程
04-11
在Java开发中,JJTW(Java JWT)库提供了一个简单且直观的方式来创建和验证JWT令牌。本教程将深入探讨如何使用JJTW库以及与之相关的密钥库、私钥和公钥的概念。 首先,理解JWT的基本结构至关重要。JWT通常由三部分...
Oauth2系列8:何谓JWT令牌
weigeshikebi的博客
09-02 637
jwt oauth2
会话技术:Jwt令牌
d456211的博客
06-20 178
全称:Json Web Token定义了一种简洁、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头):记录了令牌的类型和签名算法第二部分:Payload(有效载荷):携带自定义信息、默认信息第三部分:Signature(签名):防止Token被篡改、确保安全性,将header、payload加入指定秘钥,通过指定签名算法计算而来。典型应用场景:登录认证登陆成功后,生成令牌
JWT令牌技术
Dong_duan的博客
03-10 986
我以为,最美的日子,当是晨起侍花,闲来煮茶,阳光下打盹,细雨中漫步,夜灯下读书,在这清浅时光里,一半烟火,一半诗意,任窗外花开花落,云来云往,自是余味无尽,万般惬意。——不吃葱的阿冬🍟问题一 什么是令牌技术?它的作用是什么?🍔问题二 令牌技术与身份验证之间有何关系?🥪问题三 令牌技术有哪些优点和缺点?🍞问题四 令牌技术在Web应用程序中的具体应用是什么?JWT全称:JSON Web Token什么是令牌技术?
JWT令牌的使用
weixin_53402685的博客
04-11 1426
什么是JWT json web token(JWT),是为了在网络应用环境间传递声明而执行的一种JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般用来在身份提供者间传递被认证的用户身份信息,以便于从志愿服务期获取资源,也可以增加一些额外的其他业务了逻辑所必须的声明信息,该token也可以直接被用于认证,也可以被加密。 集群的服务其中有一部分服务器没有session,服务器没法共享session。 令牌分为3部分,头部
快速了解什么是jwt及如何使用jwt
weixin_72997875的博客
10-14 242
JWT(JSON Web Token)是一种用于在网络应用间安全传递声明(claim)的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部主要包含了用于描述 JWT 类型以及所使用的签名算法的信息。载荷包含了需要传递的声明(claim),比如用户身份、权限等信息。签名则是对头部、载荷和一个密钥进行的签名,用于验证数据的完整性。1.1 Header这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3561
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
jwt使用详解
u013029883的博客
08-10 1866
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
JWT令牌创建解析讲解
Leon_Jinhai_Sun的博客
05-09 2406
JJWT的介绍和使用 JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。 官方文档: https://github.com/jwtk/jjwt 创建TOKEN (1)依赖引入 在parent项目中的pom.xml中添加依赖: <!--鉴权--> <dependency> <groupId>io.j
java解析jwt令牌
09-05
在Java中解析JWT令牌可以使用jjwt库。jjwt是一个提供JWT创建和验证的Java库,它是免费和开源的(Apache License, Version 2.0)。使用jjwt非常容易理解和使用。你可以通过在Maven中添加jjwt的依赖来使用它,具体的Maven坐标如下: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 一旦你添加了jjwt的依赖,你可以使用Jwts.builder()来创建一个JWT令牌,并通过添加一些简单的用户信息来定制令牌。你还可以选择一个加密算法来创建令牌。要解析JWT令牌,你可以使用Jwts.parser()方法。详细的JWT入门案例和Spring Boot集成JWT实现令牌鉴权的教学视频可以参考相关文档和教程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Java权限认证机制之JWT令牌生成和解析以及SpringMVC参数解析器](https://blog.csdn.net/baidu_39378193/article/details/126619014)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [jwt](https://download.csdn.net/download/weixin_42131728/15345005)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值