JWT介绍及使用

最新推荐文章于 2024-07-10 06:15:00 发布
最新推荐文章于 2024-07-10 06:15:00 发布
阅读量943 收藏
点赞数
分类专栏: 流程 SpringBoot 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/je_rry/article/details/112990124
版权

JWT 介绍及使用

简介

JSON WEB Token(JWT),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。

原理: 经过服务器认证之后,生成一个JSON对象,发回给用户,以后,用户域服务器之间通讯时,都要发回这个 JSON 对象。

JWT 的特点

(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。

(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输

JWT 数据结构

由 header(头部)、Payload(负载)、SIgnature(签名)组成,三部分由 . 进行分隔

Header

由 令牌类型(JWT)和所使用的签名算法(例如MHAC,SHA256或RSA),会使用Base64编码组成JWT结构的第一部分。

header 部分是一个 JSON 对象,描述JWT的元数据

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中, alg 属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256); typ 属性表示这个令牌(token)的类型(type),JWT 令牌统一写为 JWT

Payload

包含需要传输的数据,同样会使用Base64编码(不建议存放用户的密码)

也是一个 JSON 对象,用来存放时间需要传输的数据。官方给定的是7个字段,如下所示:

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

Tips: 除了官方的字段之外,还可以存放自定义的字段

Signature

为了防止前面两部分的数据篡改,特别设置此签名

首先需要指定一个密钥。这个密钥只有服务器才知道,不能够泄露给用户。然后使用 Header 里面指定的签名算法,按照公式(如下所示)产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名计算完成后将 Header、Payload、Signature 三部分进行拼接,各部分用 . 进行分割,最后返回给用户。

使用方式

方式一(常用):

放在 HTTP 请求的头信息 Authorization 字段里面

方式二:

跨域的时候,JWT 就放在 POST 请求的数据体里面。

认证流程

  • 首先通过web表单将自己的用户名和密码发送到后端的接口(POST请求,建议使用https加密)
  • 后端对数据(用户名和密码)进行校验,随后将用户id等其他信息作为JWT Payload(负载),将其头部进行 Base64 编码进行拼接后签名,形成一个 JWT 字符串
  • 后端将JWT字符串返回给前端,前端将其存储在localStorage 或者 SessionStorage上,退出登录时将JWT删除即可
  • 前端在每次的请求中 将 JWT 放入 HTTP HeaderAuthorization 的位置上(可以避免XSS和XSRF问题)
  • 后端检查 JWT 是否存在,是否有效
  • 验证通过后再进行后续的逻辑操作,并返回相应的结果

附上本人使用的代码

使用 JWT(这里采用方式一)

1、引入JWT 依赖

<!--jwt-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.12.0</version>
</dependency>

2、生成和验证token

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.HashMap;
import java.util.Map;

public class JWTUtils {

    //设置签名
    private static final String SIGN = "jerry";

    /**
     * 生成token
     * */

    public static String generateToken(Map<String,String> map){
        //设置有效时间,30分钟
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.MINUTE,30);
        //创建 jwt builder
        JWTCreator.Builder builder = JWT.create();
        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        String token = builder.withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256(SIGN));
        return token;
    }


    /**
     * 验证token
     * */
    public static void verifyToken(String token){
        JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
    }

2、为了提高代码的复用,将验证过程统一放入拦截器中

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureGenerationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.jerry.jwt.utils.JWTUtils;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        Map<String, Object> map = new HashMap<>();

        String token = request.getHeader("token");  //获取请求头中的token

        try {
            JWTUtils.verifyToken(token);
            return true;
        } catch (SignatureGenerationException e) {
            e.printStackTrace();
            map.put("msg","签名无效");
        } catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token已过期");
        } catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","token算法不一致");
        } catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效");
        }
        map.put("code",1);  //返回错误代码
        //将map转换为json的格式返回
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json");
        response.getWriter().println(json);
        return false;
    }
}

3、为了让拦截器顺利工作,需要将拦截器注入

import com.jerry.jwt.interceptors.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")             //拦截所有请求
                .excludePathPatterns("/login");     //除了生成token的请求
    }
}
  • tips: 欢迎大佬们一起学习、一起探讨以及指导
je_rry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springboot中使用jwt
03-06
7. **验证JWT**:在`JwtRequestFilter`中,解码JWT,验证其签名和过期时间,如果有效则将用户信息放入SecurityContextHolder,供后续的Controller使用。 8. **处理异常**:配置全局异常处理,处理JWT验证失败或其他...
jwt简单的介绍和了解
10-27
例如,`{ "alg": "HS256", "typ": "JWT" }`表示使用了HS256算法的JWT。 2. **载荷(Payload)**:也是一个JSON对象,包含了声明(Claims)。声明可以分为三类:注册声明、公开声明和私有声明。注册声明是预定义的,...
JwtUtil类
Mr_Huifeng的博客
02-27 476
JwtUtil类
springboot_shiro_jwt配制依赖注入
maqingbin8888的专栏
10-12 302
package com.cmiinv.shp.auth.config; import com.auth0.jwt.JWT; import com.cmiinv.shp.auth.*; import org.apache.shiro.mgt.DefaultSessionStorageEvaluator; import org.apache.shiro.mgt.DefaultSubjectDAO;...
【Web前端】JWT(JSON Web Tokens)概述
最新发布
wosixiaokeai的博客
07-10 628
JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。它基于JSON对象,并通过数字签名确保其完整性和真实性。JWT因其小巧、自包含以及易于在客户端和服务器之间传输的特性而被广泛使用于身份验证和信息交换的场景中。
jwtUtils使用
芒果的日常记录
03-23 3524
引入pom <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> <dependency&gt...
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 764
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT基础
qq_55137734的博客
08-24 1444
JWT基础
在SpringBoot中使用JWT的实现方法
08-26
在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是一种基于 token 的身份验证机制,可以...
ThinkPHP5框架中使用JWT的方法示例
10-15
通过本文的介绍,我们可以了解到如何在ThinkPHP5框架中整合JWT,并通过实例学习了JWTAuth类的设计和实现。对于追求安全、高效的Web应用开发来说,了解并掌握JWT在ThinkPHP5中的应用无疑是大有裨益的。
JWT介绍和实践,带demo
03-03
3. **Signature**:由编码后的Header和Payload加上一个秘密(Secret)使用Header中指定的算法(如HMAC SHA256)计算得出,用于验证JWT的完整性和来源。 使用JWT的过程: 1. 用户成功登录后,服务端生成JWT,包含...
Springboot中使用JWT
qq_31277409的博客
01-06 312
文章目录一、引入依赖二、创建JWT工具类 一、引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 二、创建JWT工具类 代码如下(示例): /** * @author helen * @since 2019/..
认识并使用JWT
南七行者的博客
01-16 892
注意:不要把秘密信息放在这个JSON对象中,因为通常这个JSON对象被转换为字符串后,默认是不加密的,这就会被别人解析回JSON对象,里面的信息就暴露了。(1)alg属性表示签名的算法,默认是 HMAC SHA256(写成 HS256);(2)typ属性表示这个令牌(token)的类型,JWT统一写为"JWT"。(2)exp (expiration time):过期时间。(6)iat (Issued At):签发时间。(1) iss (issuer):签发人。(3)sub (subject):主题。
JwtUtils
生命的演绎的博客
11-27 715
package com.math.util; import com.nimbusds.jose.*; import com.nimbusds.jose.crypto.MACSigner; import com.nimbusds.jose.crypto.MACVerifier; import com.nimbusds.jose.crypto.RSASSASigner; import com.nimbusds.jose.crypto.RSASSAVerifier; import com.nimbusds.j.
JWTUtils工具
weixin_64443786的博客
07-13 4865
JWT
后端代码解析工具类(until)JwtUtils
2201_75464794的博客
05-29 987
个人理解这个JwtUtils类实现了一系列与JWT(JSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
JWTUtils工具类
m0_56231256的博客
11-26 1503
JWTUtils工具类
JwtUtiles 生成token工具类
hwt1070359898的博客
11-15 808
package com.sense.fircloud.common.util; import com.sense.fircloud.common.exception.BusinessException; import com.sense.fircloud.common.result.RespCode; import io.jsonwebtoken.*; import org.springframework.util.StringUtils; import javax.crypto.spec.Secre.
使用JWT完成前后端请求发送的数据校验
qq_43647376的博客
08-17 1081
一切配置好后,使用postman发送请求。有此工具类就可调用接口生成token。在浏览器修改错误token同理。#### 配置请求头。
java 使用jwt
09-03
- *1* *2* *3* [JWT介绍以及java-jwt使用](https://blog.csdn.net/oscar999/article/details/102728303)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值