JWT(Java web token)全网最快上手

已于 2024-05-23 21:34:28 修改
阅读量199 收藏
点赞数 5
分类专栏: JWT 文章标签: 安全 java spring spring boot 后端 开发语言
于 2024-05-23 21:33:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_tgs/article/details/139158034
版权

token的介绍

  • Header:头部,通常头部有两部分内容:

声明类型,这里是JWT 签名算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据

  • Payload:载荷,就是有效数据,一般包含下面信息:

用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息) tokenID:当前这个JWT的唯一标示 注册声明:如token的签发时间,过期时间,签发人等 这部分也会采用base64加密,得到第二部分数据

  • Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),通过加密算法生成。用于验证整个数据完整和可靠性

例如:

"token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.

eyJhdWQiOiIxIiwiZXhwIjoxNzE2NDYyMTE5fQ.

to4o36ikHcZydjrRrR1SMxfwkekHtZu_2TAAeok-AG000"}

pom依赖的引入

<!--        JWT-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>

生成token(TokenUtils)

import cn.hutool.core.date.DateUnit;
import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.tgs.springboot.entity.User;
import com.tgs.springboot.service.IUserService;
import com.tgs.springboot.service.impl.UserServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

/**
 * 生成token
 *
 */
public class TokenUtils {
    public static IUserService staticUserService;

    @Resource
    private IUserService userService;

    @PostConstruct
    public  void getUserService(){
        staticUserService = userService;
    }

    public static String getToken(String userId, String sign) {
        return JWT.create().withAudience(userId) //将userId保存到token中 , 作为载荷
                .withExpiresAt(DateUtil.offsetHour(new Date(),1)) //1小时后token过期
                .sign(Algorithm.HMAC256(sign)); //以password 作为 token的密钥
    }

    /*
        获取当前登录的用户信息
     */
    public static User getCurrentUser() {
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            String token = request.getHeader("token");
            if (StrUtil.isNotBlank(token)){
                String userId = JWT.decode(token).getAudience().get(0);
                return staticUserService.getById(userId);
            }
        }catch (Exception e){
            return null;
        }
        return null;
    }
}

拦截器的代码实现

在可能会出现异常的建议trycatch一下 博主在这就不做演示了

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.tgs.springboot.common.Constants;
import com.tgs.springboot.entity.User;
import com.tgs.springboot.exception.ServiceException;
import com.tgs.springboot.service.IUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 拦截器
 *
 */
@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private IUserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)  {
        String token = request.getHeader("token");
        //如果不是映射方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        //执行认证
        if (StrUtil.isBlank(token)){
            //此处可直接抛出异常
        }
        //获取token中的userId
        String userId;
    
        userId = JWT.decode(token).getAudience().get(0);
        
        //根据token中的userId查询数据库,判断是否存在
        User user = userService.getById(userId);
        
        //用户密码加签验证token
        JWTVerifier jwtVerifier =             
        JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        jwtVerifier.verify(token);
        return true;
    }
}

放行和拦截的配置代码实现

import com.tgs.springboot.config.interceptor.JwtInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 放行和拦截
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor()).
                addPathPatterns("/**") //拦截所有请求,通过判断token是否合法来判断是否需要重新登录
                .excludePathPatterns("/user/login","user/register"); //可以放行的路径

    }

    @Bean
    public JwtInterceptor jwtInterceptor(){
        return new JwtInterceptor();
    }
}

偷袭西兰花
关注
专栏目录
SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发后端分离项目时,要求我们对用户会话状态要进行一
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
基于JWT的登录流程
qq_38559956的博客
01-02 1160
JWT包含三部分数据: Header:头部,通常头部有两部分内容: 声明类型,这里是JWT 签名算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息) tokenID:当前这个JWT的唯一标示 注册声明:如token的签发时间,过期...
JWT(JSON WEB TOKEN)详解
最新发布
yjp1240201821的博客
08-24 2375
JWT(JSON WEB TOKEN),本文主要详细讲解了jwt,从其定义、token的理解、结构、使用等等帮助深刻理解jwt
简单说明一下Token ,Cookie,Session
weixin_30482383的博客
01-12 315
Web应用中,HTTP请求是无状态的。即:用户第一次发起请求,与服务器建立连接并登录成功后,为了避免每次打开一个页面都需要登录一下,就出现了cookie,Session。 Cookie Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。Cookie存储的数据量有限,且都是保存在客户端浏览器中。不同的浏览器有不同的存储大小,但一般不超...
基于JWTtoken简介(一)
ninja_的博客
11-25 226
一、JWT的几个特点 JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。 jwt官网 :https://jwt.io/introduction/ What is the JSON Web Token structure? In its compact form, JSON Web Tok.
Java Web Token(JWT)介绍
zhaisharap的专栏
09-09 1063
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Token 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
JWT(Java Web Token)的介绍.doc
04-05
初学者、面试求职者
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
JWT(JAVA WEB TOKEN)
weixin_45380450的博客
09-20 1075
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 优点 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,Nod
JWT 实现登录
Dailyblue的专栏
06-24 8712
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token
jwt工作流程
qq_46497604的博客
03-21 369
登录的时候向服务器发送用户密码,服务器验证通过后返回给一个token也就是所谓的令牌,然后用户在做每一个请求操作时都会带上这个令牌发给服务器,服务器一看令牌就返回数据了
JWT(Java Web Token)的介绍
lrd15521148795的博客
04-05 219
JWT(Java Web Token)的介绍 Authorization (授权) :广泛的授权:单点登录开销小。用户登录之后,后续的每个请求都包含jwt,允许用户访问该令牌允许的路由、服务和资源, Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。 1.传统的Se
JWT流程
mywaya2333的博客
02-24 364
Spring Security的配置中,你需要添加一个JWT过滤器来验证请求中的JWT,并根据其中的信息进行用户认证和授权。:客户端在每次请求时需要将JWT放在请求的Header中发送给服务器,服务器会验证JWT的签名和有效性,并根据其中的信息进行用户认证和授权。是一个JWT过滤器,用于在Spring Security过滤器链中验证请求中的JWT。:后端需要编写处理登录请求的控制器方法,验证用户的身份信息,并生成JWT返回给客户端。,用于在Spring Security过滤器链中验证请求中的JWT
【2023/2/1】JWT 学习、实操一个简易的登录流程
qq_43774264的博客
02-01 1034
token
JWT(java web token)
LC的博客
12-08 757
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
基于jwt的用户登录认证
weixin_34179762的博客
06-18 858
最近在app的开发过程中,做了一个基于token的用户登录认证,使用vue+node+mongoDB进行的开发,前来总结一下。 token认证流程: 1:用户输入用户名和密码,进行登录操作,发送登录信息到服务器端。 2:服务器端查询数据库验证用户名密码是否正确,正确,通过jsonwebtoken生成token,返回给客户端;否则返回错误信息给客户端。 3:通过本地存储存储获取的token信...
Java中的Token
m0_65732083的博客
06-12 1787
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。
JavaWeb之Cookie,session,Token
weixin_46011471的博客
06-27 545
说明由来:在最开始的网页浏览中 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求与上一次请求是没有关系的。它的最大的问题是就是每次一都要去校验身份,解决方法就是cookie,session和token的使用,解决了它的鉴权问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷袭西兰花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值