JWT权限验证教程详解 代码实例

最新推荐文章于 2024-02-19 09:31:16 发布
最新推荐文章于 2024-02-19 09:31:16 发布
阅读量2.6k 收藏 5
点赞数 5
分类专栏: 工具util SpringBoot 文章标签: jwt 分布式 java session token
转载指定出处即可 ——邓嘉文Jarvan
本文链接:https://blog.csdn.net/jarvan5/article/details/110437203
版权

JWT介绍

JWT(JSON Web Token)是目前比较流行权限验证方案。其实它更像是一种规范。

平时基于session的验证方式

  • 用户登录
  • 服务器在当前会话(session)里面储存登录的信息比如用户名和id
  • 服务器向用户返回一个session_id,写入用户的cookie(下一次用用户再次请求的时候的验证)
  • 用户再次请求的时候带上cookie(session_id) ,服务器session_id查询之前储存的数据,得知用户身份.


但是session验证又2个问题

1.内存使用:session是使用的服务器的内存,如果人很多就需要很多内存

2.分布式:每个服务器都有session的话,服务器是分布式的,那么session的储存也需要一个分布式方案

为了解决这个问题,我们直接不保存session了就是一种解决方案(比如JWT)



JWT数据结构

image-20201201145616243

写成一行

header.payload.signature


1.头部Header

header用来描述JWT的信息(使用base64解码得到信息)例如

{
  "alg": "HS256",
  "typ": "JWT"
}

alg:algorithm 就是算法,表示签名的算法,HS256是一种对称加密(签名部分会讲对称加密)

typ: type类型,表示这个token令牌是jwt类型.



2.payload负载

payload用来存放实际传输的数据

例如下面是官方的7个保留的字段

(使用base64解码得到信息)

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

当然你也可以自定义

{
   username: "半亩方塘",
   userRole: "admin"
}


3.(重要)signature签名

这个是防止数据篡改的关键,我们使用一个秘钥(secret)

前面的 header 和 payload 使用base64解码几乎都是明文的,只有signature才是签名加密的关键.



signature签名如何获得

前2部分header和payload分别base64加密,再通过秘钥secret,进行HS256这种对称式加密的出来,



对称式加密的secrete就像一个钥匙,加密和解密都需要它,没有它就没有办法加密和解密,

所以服务端的secrete十分重要,如果有了secrete用户就可以自己仿制签名




JWT代码实例

这里是maven项目

<!--        jwt依赖-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.1</version>
</dependency>

public class TokenUtil {
    private static String secrete = "1234567890";

    /**
     * 传入用户角色进行验证
     * @param userRole 用户角色比如admin
     * @return 返回一个加密JWT token .
     */
    public static String getToken(String userRole){
        String token = JWT.create()//链式编程创建JWTCreator
            .withClaim("userRole", userRole)//存放 payload 数据
            .sign(Algorithm.HMAC256(secrete)); //使用secrete对称加密生成 signature
        return  token;
    }

    /**
     * 解析token获得里面的payload数据
     */
    public static Map<String,String> parseToken(String token){
        HashMap<String, String> map = new HashMap<>();
        //通过secret 和相同的对称加密算法反加密
        DecodedJWT jwt = JWT.require(Algorithm.HMAC256(secrete))
                .build().verify(token);
        //获得你储存的payload信息
        String userRole = jwt.getClaim("userRole").asString();
        map.put("userRole",userRole);
        return map;
    }

}

test

String token = getToken("admin");
System.out.println("token="+token);
Map<String, String> map = parseToken(token);
String userRole = map.get("userRole");
System.out.println("解析token获得数据userRole="+userRole);

result

token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyUm9sZSI6ImFkbWluIn0.dWOUbJfnKAgTKw8OpBg1ooy-yqKrOjMU5aibs9CKv0o
解析token获得数据userRole=admin

拓展:这个私钥secrete是固定的,为了加强安全,你甚至可以使用动态的secrete私钥,例如

动态私钥 = 静态私钥 + 用户的ip,

这样即使别人得到了用户的token,也会因为ip不一致而访问失败.

JarvanStack
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
微信小程序登录对接Django后端实现JWT方式验证登录详解
10-16
主要介绍了微信小程序登录对接Django后端实现JWT方式验证登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot整合JWT
weixin_53272667的博客
11-06 425
1、什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2、为什么需要JWT? 我们知道,http协议本身是一种无状态的协议,那而这就意味着如果用户向我们的应用提供了用户
jwt做登录校验流程?
最新发布
程序猿老白~的博客
02-19 120
客户端使用用户名和密码请求登录,服务端收到请求,验证用户名和密码
基于Java验证jwt token代码实例
08-25
主要介绍了基于Java验证jwt token代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解JWT token心得与使用实例
01-21
本文你能学到什么? token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串: eyJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { “iss”: “Online JWT Builder”, “iat”: 1416797419,
vue+egg+jwt实现登录验证的示例代码
10-16
主要介绍了vue+egg+jwt实现登录验证的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT详解
xiaokanfuchen86的博客
09-04 579
jwt
JWT基础用法
学习学习学习学习
10-12 408
JWT 基本用法 导包 <!--引入jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 创建token
jwt令牌的运行机制
m0_53726326的博客
05-18 166
常见的属性有:alg(签名加密使用的算法),typ(标识token,默认为JWT),是json字符串类型。
SpringBoot整合JWT(二)
smiling
01-19 1662
JWT相关概念介绍: 1、头部信息 2、载荷信息 3、签名信息 一、头部信息:头部信息由两部分组成1、令牌的类型,即JWT;2、使用的签名算法,例如HMASSHA256或RSA; 头部信息JSON代码如下:然后这个JSON被编码为Base64URL,形成JWT的第一部分 { "alg": "HS256", "typ": "JWT" } 二、载荷信息:其中包含声明(claims),声明可以存放实体和其它数据的声明,声明包括三种类型 1、已注册声明:这些是一组预定义声明,不是强制性的,
JWT
weixin_43934513的博客
11-14 123
一.springboot后端 1.导入依赖 <!--jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency.
php实现JWT验证实例教程
01-21
JWT,全称 Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON...php实现JWT,本例使用thinkphp框架,代码如下: 在vendor包中建立Jwt.php,建立类文件 class Jwt { //头部 private static $head
Java简单快速入门JWTtoken生成与验证
greatming666的博客
09-08 5903
java jwt简单了解并快速上手
Springboot与Jwt结合入门教程
weixin_45611956的博客
11-18 355
Sprigboot与Jwt结合入门教程
关于使用Java-JWT的笔记
m0_63622279的博客
11-21 356
在生成token的方法中,设置了issuer签发者,签发时间,token过期时间,校验token方,以及一些自定义数据载荷,签证加密算法使用 HMAC256。我的这个例子就通过普通的maven项目来生成token,并不从web项目方面构建,但原理是一致的。自定义载荷:自定义载荷就是将自己需要的一些 key=>value数据放入到载荷中.
jwt 多字段 加密 和解析
jonathan_joestar的博客
07-29 695
代码主要是从这里来的 稍微改了一下, 之前不知道 可以 setClaims 放map,摸索出来的 https://gitee.com/SnailClimb/spring-security-jwt-guide //import github.javaguide.springsecurityjwtguide.security.common.constants.SecurityConstants; import io.jsonwebtoken.Claims; import io.jsonwebtoken.J
JWT笔记
qq_44799530的博客
06-04 182
** JWT ** 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digita
go语言使用jwt认证
sywdebug的博客
04-03 6345
这几天在学习nodejs,进一步了解npm,学习过程中解开了以前的一个疑惑,以前不知道token可以携带信息,只以为是用来做对比的,学到了jwt身份认证,知道了如何使用的,感觉很好用,但是我不用nodejs开发,所以有自己去看了下go的,做下记录 刚学,博客内容写的可能不大对,因为基本都是自己的理解,术语用的可能也不到位,但是用起来倒是没问题,见谅 golang-jwt 项目仓库 使用以下命令获取 go get github.com/golang-jwt/jwt 加密 首先声明一串用于加密解密的秘钥 .
认证机制之JWT
teresa_cm的博客
12-20 343
认证机制之JWT常见的认证机制HTTP BASIC AUTHSession和cookieJWT-Token认证JWT简介什么是JWT特点优点缺点使用缺陷适用情景数据结构JWT头(header)组成令牌类型散列算法转换字符串有效载荷(payload)claimsregistered claimspublic claimsprivate claims注意签名目的参数生成签名公式Base64URL算法注...
微信小程序使用springsecurity和jwt实现权限验证java代码
05-24
以下是微信小程序使用Spring Security和JWT实现权限验证Java代码示例: 1. 配置Spring Security 创建一个SecurityConfig类,配置Spring Security的基本设置和JWT过滤器: ```java @Configuration @...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JarvanStack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值