JWT 实现 token 认证

已于 2022-04-26 17:49:08 修改
阅读量6.4k 收藏 19
点赞数 5
分类专栏: 工作实践总结 文章标签: jwt session token cookie
于 2019-06-15 18:23:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jack1liu/article/details/92131519
版权

目录

一 什么是 JWT

二 JWT 适用场景

2.1 认证

2.2 信息交换

三 几种认证方式

3.1 session 认证

3.2 token 认证

四 JWT 的数据结构

4.1 header

4.2 playload

4.3 signature

4.4 总结

五 JWT 的使用方式

六 JWT的优点

七 JWT的使用注意

八 JWT 等待解决的问题

九 参考文档

一 什么是 JWT

       JSON Web Token(JWT)是一个开发标准(RFC 7519),它定义了一种紧凑独立的基于 JSON 对象在各方之间安全地传输信息的方式。这些信息可以被验证和信任,因为它是数字签名的。JWTs 可以使用一个密钥(HMAC算法),或使用 RSA 的公钥/私钥密钥对对信息进行签名。

  • 紧凑

      由于其较小的体积,JWTs 可以通过 URL、POST 参数或 HTTP 头部参数进行传递,体积小也意味着其传输速度会相当快。

  • 独立

      有效负载包含了所需要的关于用户的所有信息,避免了多次查询数据库的需要。

二 JWT 适用场景

2.1 认证

       用户一旦登录,之后的每一个请求都会带上这个 JWT ,用来访问该 token 权限下的路由,服务和资源。由于 JWT 的开销小,能解决跨域问题等特点,被广泛的应用于 SSO。

2.2 信息交换

       JSON Web 能给在客户端和服务端之间安全地传输信息。 通过使用非对称加密签名技术,可以对客户端进行签名验签。此外,可以使用标头和有效负载计算签名,您还可以验证内容是否未被篡改。

三 几种认证方式

3.1 session 认证

1、客户端向服务端发送用户名和密码进行登录操作。

2、服务端验证通过后,保存当前对话(session)的相关数据,比如用户角色、登录时间等等。

3、服务端返回一个 session_id 给客户端,客户端将得到的这个 id 写入 Cookie。

4、客户端之后的每一次请求,都会通过 Cookie,将 session_id 传回服务端。

5、服务端收到 session_id,找到前期保存的数据,由此得知客户端的身份。

缺点:扩展性(scaling)不好,单机容易实现,如果是集群或者是跨域的服务架构,需要 session 数据共享。一旦 session 持久层宕机,会出现单点失败问题。

3.2 token 认证

1. 客户端使用用户名密码来请求服务端

2. 服务端进行验证用户的信息

3. 服务端通过验证下发给客户端一个 token

4. 客户端将 token 存储在 cookie 中,并在每次请求时附送上这个 token 值

5. 服务端验证 token 值,并返回数据

       基于 token 的鉴权机制类似于 http 协议也是无状态的,它不需要在服务端持久化会话信息,需要持久化 token 信息 ,且只有在用户的密码发生变更的时候 token 才会发生变化,安全性无法得到保证。

四 JWT 的数据结构

JWT 由以下三部分,每部分之间用(.)分隔:

      a. Header(头部)

      b. Payload(载荷)

      c. Signature(签名)

因此,JWT 通常看起来如下:

xxxxx.yyyyy.zzzzz

4.1 header

JWT 的头部承载两部分信息:

      a. 声明类型,这里是 JWT

      b. 声明加密的算法 通常直接使用 HMAC SHA256、RSA

比如:

{
	'typ': 'JWT',
	'alg': 'SHA256'
}

该 JSON 经过 Base64Url 加密(该加密是可以对称解密的),构成 JWT 的第一部分。

4.2 playload

JWT 的第二部分,由声明构成。声明是对实体和其他信息的描述,声明可以分成三大类,

       a. 标准中注册的声明

       b. 公共的声明

       c. 私有的声明

4.2.1 标准中注册的声明 (建议但不强制使用) :

       a. iss(Issuer): JWT 签发者

       b. sub(Subject): JWT 所面向的用户

       c. aud(Audience): 接收 JWT 的一方

       d. exp(Expiration Time): JWT 的过期时间,这个过期时间必须要大于签发时间

       e. nbf(Not Before): 定义在什么时间之前,该 JWT 都是不可用的

       f. iat(Issued At): JWT 的签发时间

       g. jti(JWT ID): JWT 的唯一身份标识,主要用来作为一次性 token,从而回避重放攻击

4.2.2 公共的声明:

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。

4.2.3 私有的声明:

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 Base64Url 是对称解密的,意味着该部分信息可以归类为明文信息。

例如:

{
	"sub": "1234567890",
	"name": "John Doe",
	"admin": true
}

该 JSON 经过 Base64Url 加密,构成 JWT 的第二部分。

4.3 signature

签名用于验证 JWT 的发送者是谁,并确保消息在过程中不会被篡改。创建签名部分,你需要用到编码后的 header、编码后的 payload、密钥、在 header 中指定的算法。

如下使用 HMAC SHA256 算法创建签名的方式:HMACSHA256(base64UrlEncode(header) +  "."  + base64UrlEncode(payload), secret)

4.4 总结

讲完了上面3个部门,最后就是由这3部分组成了。每个部分经过 Base64Url 编码后,以.分隔。它能很容易的在HTML和HTTP环境中传递,也比像类似xml标准格式这样的更紧凑。

Encoded JWT

如果想使用JWT并将这些概念应用到实践中,您可以使用官网首页下面的调试器来解码、验证和生成JWTs。JSON Web Tokens - jwt.io

五 JWT 的使用方式

       客户端收到服务端返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 Bearer 模式下的 HTTP 请求的头信息 Authorization 字段里面。Authorization: Bearer <token> 。另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

六 JWT的优点

      a. 因为 JSON 数据格式的通用性,所以JWT是可以跨语言的,主流语言都可以支持。

      b. payload 部分可以存储其他业务逻辑所必要的非敏感信息。

      c. JWT 构成简单,字节占用很小,所以非常便于传输的。

      d. 不需要在服务端保存会话信息,易于应用的扩展和安全等。

七 JWT的使用注意

      a. 不要在 payload 存放敏感信息,因为该部分是可解密的。

      b. 保存好 secret 私钥十分重要。

      c. 尽量使用 https 协议

八 JWT 等待解决的问题

      a. JWT 的最大缺点是,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

      b. JWT 续约问题。

九 参考文档

JSON Web Token Introduction - jwt.io

https://tools.ietf.org/html/rfc7519

Java-Talk
关注
  • 5
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT-基于token认证方式
学习
06-20 810
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 认证是用来判断用户身份。 为了避免每次都要重新认证,可以在认证成功后创建会话,
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 5988
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Token验证--JWT
qingxiao1999的博客
09-06 3297
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
前后端怎么认证鉴权(jwt认证token),加油
最新发布
m0_50808883的博客
06-14 27
这篇文章抄的https://www.cnblogs.com/yuanchangliang/p/16373162.html,但是主要是给自己看的,嘻嘻,侵权删,好好学校天天向上
jwttoken的生成以及验证机制
小糖豆
11-17 1841
jwttoken的生成及验证机制
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
JWT实现Token认证
北辰
03-11 1784
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。JWT全称为Json Web Token,说白了是什么呢?
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
Django+JWT实现Token认证实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
springboot+jwt实现token登陆权限认证实现
08-19
Spring Boot + JWT 实现 Token 登录权限认证 在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 Token 登录权限认证JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来...
jwt校验token的原理
weixin_43401042的博客
11-10 324
需要注意的是,为了保证 JWT 的安全性,密钥应该保存在服务器端,不应该暴露给客户端,因为客户端可以通过修改 JWT 的内容来伪造一个有效的登录状态。另外,在使用 JWT 时,建议设置过期时间和刷新机制,避免 JWT 的长期有效性导致安全问题。总之,验证 JWT 合法性的方法就是通过使用密钥对JWT 的头部和载荷进行签名,并与JWT 中的签名进行比较,从而确保 JWT 是合法的。
JWT--Token(令牌)验证
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证的token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
【SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 7812
单点登录
请求鉴权检验JWTToken
ili_ii的博客
05-29 803
前端鉴权方式 JWT
Token验证——JWT方法(明白了!好文章!!)
HD243608836的博客
04-15 2万+
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户
JwtToken详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
SpringBoot集成jwt实现token认证
05-28
在Spring Boot中,可以使用以下步骤将JWT集成到应用程序中以实现token认证: 1. 添加依赖项 在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建Token工具类 创建一个JwtTokenUtil工具类,该类将用于生成和验证JWT令牌。以下是一个基本的JwtTokenUtil类: ```java public class JwtTokenUtil { private static final String SECRET_KEY = "secret"; public static String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + 3600000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody() .getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (SignatureException ex) { System.out.println("Invalid JWT signature"); } catch (MalformedJwtException ex) { System.out.println("Invalid JWT token"); } catch (ExpiredJwtException ex) { System.out.println("Expired JWT token"); } catch (UnsupportedJwtException ex) { System.out.println("Unsupported JWT token"); } catch (IllegalArgumentException ex) { System.out.println("JWT claims string is empty."); } return false; } } ``` 3. 创建安全配置类 创建一个SecurityConfig类,该类将用于配置Spring Security以使用JWT进行认证。以下是一个基本的SecurityConfig类: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder()); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll() .anyRequest().authenticated().and() .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 4. 创建用户详细信息服务类 创建一个JwtUserDetailsService类,该类将用于从数据库或其他存储中获取用户信息以进行身份验证。以下是一个基本的JwtUserDetailsService类: ```java @Service public class JwtUserDetailsService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 在这里获取用户信息并返回UserDetails对象 return null; } } ``` 5. 创建身份验证过滤器 创建一个JwtAuthenticationFilter类,该类将用于拦截所有请求,并进行JWT身份验证。以下是一个基本的JwtAuthenticationFilter类: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String requestTokenHeader = request.getHeader("Authorization"); String username = null; String jwtToken = null; // JWT Token is in the form "Bearer token". Remove Bearer word and get only the Token if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) { jwtToken = requestTokenHeader.substring(7); try { username = jwtTokenUtil.getUsernameFromToken(jwtToken); } catch (IllegalArgumentException e) { System.out.println("Unable to get JWT Token"); } catch (ExpiredJwtException e) { System.out.println("JWT Token has expired"); } } else { logger.warn("JWT Token does not begin with Bearer String"); } // Once we get the token validate it. if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.jwtUserDetailsService.loadUserByUsername(username); // if token is valid configure Spring Security to manually set authentication if (jwtTokenUtil.validateToken(jwtToken)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); // After setting the Authentication in the context, we specify // that the current user is authenticated. So it passes the // Spring Security Configurations successfully. SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 6. 创建身份验证控制器 创建一个JwtAuthenticationController类,该类将用于处理身份验证请求,生成JWT令牌并返回给客户端。以下是一个基本的JwtAuthenticationController类: ```java @RestController public class JwtAuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private JwtUserDetailsService jwtUserDetailsService; @RequestMapping(value = "/authenticate", method = RequestMethod.POST) public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtRequest authenticationRequest) throws Exception { authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword()); final UserDetails userDetails = jwtUserDetailsService .loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtTokenUtil.generateToken(userDetails.getUsername()); return ResponseEntity.ok(new JwtResponse(token)); } private void authenticate(String username, String password) throws Exception { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password)); } catch (DisabledException e) { throw new Exception("USER_DISABLED", e); } catch (BadCredentialsException e) { throw new Exception("INVALID_CREDENTIALS", e); } } } ``` 现在,您的Spring Boot应用程序已经集成了JWT以进行身份验证。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值