jwt相关问题及应用

最新推荐文章于 2025-03-17 08:59:12 发布
原创 最新推荐文章于 2025-03-17 08:59:12 发布
· 1k 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#经验分享 #前端 #前端框架

本文介绍了JWT的出现原因、工作原理、JWT的结构和验证过程,并展示了JWT在SPA项目中的具体应用,包括JWTFilter和JwtUtils类的使用,用于身份验证和令牌管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

①、jwt出现的原因及工作原理

②、jwt工具类介绍,三种场景

③、jwt与vuex配合在SPA项目中的应用

1. JWT是什么

==========

JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案

2. 为什么使用JWT

===============

JWT的精髓在于:“去中心化”,数据是保存在客户端的。

3. JWT的工作原理

===============

①. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下:

{“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:15:56”}

②. 之后,当用户与服务器通信时,客户在请求中发回JSON对象

③. 为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证

![](https://img-blog.csdnimg.cn/c51ad41cd12a46bdb321915c97e318be.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA6IC 《大厂前端面试题解析+Web核心总结学习笔记+企业项目实战源码+最新高清讲解视频》无偿开源 徽信搜索公众号【编程进阶路】 B5rGk5aeG55-l5LmO,size_20,color_FFFFFF,t_70,g_se,x_16)

4. JWT组成

===================================================================================================================================================================================================================

一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature)

JWT结构原理图:

JWT实际结构:eyJhbGciOiJIUzI1NiJ9.

eyJzdWIiOiJ7fSIsImlzcyI6InpraW5nIiwiZXhwIjoxNTYyODUwMjM3LCJpYXQiOjE1NjI4NDg0MzcsImp0aSI6ImM5OWEyMzRmMDc4NzQyZWE4YjlmYThlYmYzY2VhNjBlIiwidXNlcm5hbWUiOiJ6c3MifQ.

WUfqhFTeGzUZCpCfz5eeEpBXBZ8-lYg1htp-t7wD3I4

它是一个很长的字符串,中间用点(.)分隔成三个部分。

注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。

写成一行,就是下面的样子:Header.Payload.Signature

五,JWT的验证过程

==========

在验证一个JWT的时候,签名认证是每个实现库都会自动做的,但是payload的认证是由使用者来决定的。因为JWT里面可能会包含一个自定义claim,所以它不会自动去验证这些claim

它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。

接收方生成签名的时候必须使用跟JWT发送方相同的密钥

六,JWT在spa项目中的使用

================

项目中 JwtFilter 类

package com.zking.vue.util;

import java.io.IOException;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import io.jsonwebtoken.Claims;

/**

    • JWT验证过滤器,配置顺序 :CorsFilte–>JwtFilter–>struts2中央控制器

  • @author Administrator

*/

public class JwtFilter implements Filter {

// 排除的URL,一般为登陆的URL(请改成自己登陆的URL)

private static String EXCLUDE = “^/vue/userAction_login\.action?.*$”;

private static Pattern PATTERN = Pattern.compile(EXCLUDE);

private boolean OFF = false;// true关闭jwt令牌验证功能

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void destroy() {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

HttpServletResponse resp = (HttpServletResponse) response;

String path = req.getServletPath();

if (OFF || isExcludeUrl(path)) {// 登陆直接放行

chain.doFilter(request, response);

return;

}

// 从客户端请求头中获得令牌并验证

String jwt = req.getHeader(JwtUtils.JWT_HEADER_KEY);

Claims claims = this.validateJwtToken(jwt);

if (null == claims) {

// resp.setCharacterEncoding(“UTF-8”);

resp.sendError(403, “JWT令牌已过期或已失效”);

return;

} else {

String newJwt = JwtUtils.copyJwt(jwt, JwtUtils.JWT_WEB_TTL);

resp.setHeader(JwtUtils.JWT_HEADER_KEY, newJwt);

chain.doFilter(request, response);

}

}

/**

  • 验证jwt令牌,验证通过返回声明(包括公有和私有),返回null则表示验证失败

*/

private Claims validateJwtToken(String jwt) {

Claims claims = null;

try {

if (null != jwt) {

claims = JwtUtils.parseJwt(jwt);

}

} catch (Exception e) {

e.printStackTrace();

}

return claims;

}

/**

  • 是否为排除的URL

  • @param path

  • @return

*/

private boolean isExcludeUrl(String path) {

Matcher matcher = PATTERN.matcher(path);

return matcher.matches();

}

// public static void main(String[] args) {

// String path = “/sys/userAction_doLogin.action?username=zs&password=123”;

// Matcher matcher = PATTERN.matcher(path);

// boolean b = matcher.matches();

// System.out.println(b);

// }

}

JwtUtils 类

package com.zking.vue.util;

import java.util.Date;

import java.util.Map;

import java.util.UUID;

import javax.crypto.SecretKey;

import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

/**

  • JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr–>StrutsPrepareAndExecuteFilter

*/

public class JwtUtils {

/**

  • JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟

*/

public static final long JWT_WEB_TTL = 30 * 60 * 1000;

/**

  • 将jwt令牌保存到header中的key

*/

public static final String JWT_HEADER_KEY = “jwt”;

// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。

private static final SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS256;

private static final String JWT_SECRET = “f356cdce935c42328ad2001d7e9552a3”;// JWT密匙

private static final SecretKey JWT_KEY;// 使用JWT密匙生成的加密key

static {

byte[] encodedKey = Base64.decodeBase64(JWT_SECRET);

JWT_KEY = new SecretKeySpec(encodedKey, 0, encodedKey.length, “AES”);

}

JWT应用
qq_63492318的博客
09-16 864
JWT的全称:JSON Web Token,它是目前最流行的跨域身份验证的解决方案。
jwt
weixin_45180770的博客
09-07 216
JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:15...
jwt问题
taiguolaotu的博客
12-15 132
玩转JWT,PyJWT库是你的不二之选
AIGC搞起
03-17 758
Token(JWT)作为一种轻量级、独立于平台的安全令牌,被广泛用于用户认证、信息传递和API授权。然而,手动处理JWT的生成、解析和验证不仅繁琐,还容易出错。它提供了简单易用的API,支持多种加密算法,能够高效地处理JWT的生成、解析和验证。7519标准,支持多种加密算法(如HS256、RS256等),能够轻松生成、解析和验证JWT。PyJWT是一个流行的Python第三方库,专门用于处理JSON Web Token(JWT)。在现代Web开发中,身份验证和信息交换是不可或缺的环节。指定允许的加密算法。
jwt面试问题
weixin_45566576的博客
05-30 1470
看了一个面试题,找的解决办法原帖:https://juejin.cn/post/7347947619746086939#heading-2提示:以下是本篇文章正文内容,下面案例可供参考不要将所有信息存储在 JWT 中:只存储必要的身份和授权信息,避免存储敏感数据。JWT 并非绝对安全:其安全性取决于正确的使用方式和配置,如使用强加密、短期有效性、HTTPS 传输等。保护 JWT:防止 JWT 被盗用的措施包括使用短期令牌和刷新令牌、撤销机制、绑定 IP 和 User-Agent 以及加密敏感数据。
JWT常见问题
songjuntao8的专栏
01-17 389
JWT常见问题
jwt使用常见问题
2301_80432558的博客
04-10 463
解决这些问题需要充分了解JWT的工作原理和使用场景,并在设计和实施中采取适当的安全措施和最佳实践。
API开发基于Python的JWT身份验证实现:详解JWT原理、编码及应用实践
最新发布
04-07
②理解JWT在无状态微服务架构中的应用;③掌握JWT身份验证在实际API开发中的实现方法;④了解JWT与会话管理的区别及其各自的优缺点。; 阅读建议:本文不仅提供了理论知识,还包含了实际代码示例,建议读者结合代码...
jwt的简单React应用程序:带jwt的简单React应用程序
02-11
标题中的“带jwt的简单React应用程序”指的是一个使用JWT(JSON Web Token)身份验证机制的React前端应用JWT是一种安全的、轻量级的身份验证方式,广泛用于Web应用的单点登录(SSO)和API认证。React是Facebook...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWT(JSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
JWT Token生成及验证
07-16
JWT在身份验证和授权场景中广泛应用,尤其是在微服务架构和API安全中。 在C#中实现JWT Token的生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header...
JWT相关问题及答案(2024)
qq_43012298的博客
01-12 1355
总之,安全地存储JWT需要使用安全的传输协议、定期轮换密钥、选择适当的加密算法、验证签名和令牌完整性,防止令牌泄露和盗用,使用短期有效的令牌,维护令牌撤销列表或黑名单,强化访问控制和授权机制,以及进行监控和审计。需要注意的是,在生成和验证JWT时,要确保使用安全的密钥、合适的算法和正确的配置,以保证JWT的安全性和可靠性。相反,通常建议在JWT中只包含必要的信息,如用户ID或角色。需要注意的是,这些方法都需要在验证JWT的时候进行额外的逻辑处理,并且需要选择合适的存储机制来维护黑名单或废弃令牌列表。
JWT、Redis常见问题整理
weixin_44797986的博客
06-18 629
答案:雪花ID(Snowflake)是Twitter开源的一种分布式ID生成算法,它可以生成一个全局唯一的64位整数,其中包含了时间戳、工作机器ID、序列号等信息。雪花ID的优点是:1)高效:通过位运算实现高效的ID生成;2)唯一性:生成的ID全局唯一,且按照时间递增排序;3)可反解:由于ID中包含时间戳等信息,因此可以根据ID反解出生成时间、工作机器ID等信息。缺点是:1)依赖机器时钟:如果机器时钟不准确,会导致生成的ID不唯一;2)有一定的并发问题:如果同一毫秒内多个请求生成ID,可能会导致序列号重复。
JWT安全漏洞以及常见攻击方式
zzz6583zz的博客
06-13 1364
JWT即Json WebToken的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。仅需要对该Token正确性进行校验即可,这就意味着基于token认证机制的应用,不需要去考虑用户在哪一台服务器登录了,为应用的扩展提供了便利。新技术带来便利的同时也会带来新的安全问题,如果JWT本身安全存在问题,那么整个身份认证机制就会得不到保障。JWT由三部分组成,类似于。
轻松搞定jwt致命问题
qq_42673825的博客
08-11 308
其实脑洞大开。jwt有许多致命问题。可以巧妙避开。 从而注重使用最牛的特点。多个服务的情况下。jwt可以轻松在任何一个服务使用。 网友问: 网上有很多文章,可是几乎都没有讲jwt如何续签的​ 我: 要么存redis,要么刷新令牌。网上随便一搜就有。​ 网友: 存redis那我就不用jwt了,普通session改造得了,jwt一大串还占用带宽呢​ 我: 此言差矣。那是因为你jwt里面包含了太多的信息。 以我对jwt的了解。如果里面只包含用户id。正常情况下是不会超过150个字母,占用空间。可以忽略不计。无论系
JWT校验
Monster
03-08 2240
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
portswigger JWT attacks
weixin_63231007的博客
11-05 2093
通过 jwk header注入绕过身份验证 不同的是,这个 jku header注入多了一个漏洞利用服务器,因而我们可以通过 把 JWK set放到漏洞利用服务器上,然后通过往header里写入 "jku":"漏洞利用服务器url" 从而实现 jwk 注入到header里,有种远程文件包含的味道。Hashcat 使用 wordlist 中的每个密钥对来自 JWT 的标头和有效负载进行签名,然后将生成的签名与来自服务器的原始签名进行比较。JWE 非常相似,只是令牌的实际内容是加密的,而不仅仅是编码的。
拦截器无法获取JWT令牌,显示JWT令牌为空
weixin_45994787的博客
12-16 768
用户可以正常登录并返回token,但登录后其他请求无法完成,状态码401。输出日志发现从请求头获取的令牌为空(null)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值