jwt权限验证原理

已于 2024-07-31 00:10:54 修改
阅读量253 收藏 2
点赞数 3
分类专栏: 数据安全 文章标签: 开发语言 java
于 2024-07-30 23:53:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldw1986hf123/article/details/140809260
版权

1. JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权!

 2. JWT 由三部分组成:

  • 头部(Header): 通常包含令牌的类型(即 JWT)和加密算法(如 HMAC SHA256 或 RSA)。例如:        
{
  "alg": "HS256",
  "typ": "JWT"
}
  • 载荷(Payload): 包含要传递的声明(Claims)。声明总共可以包括如下七项,但是不是必须全部包含,可以根据业务具体需要进行设置。如下。       
{
 iss: jwt签发者
sub: jwt所面向,使用jwt的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须大于签发时间
nbf: 定义在指定时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
}

3.  签名(Signature): 通过对头部和载荷进行编码,然后用指定的算法和密钥生成的签名,用于验证数据的完整性和真实性,其中secret是密钥,不可泄漏,并且其生成也用到了头部信息和载荷信息。例如:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

JWT 的这三部分通过点(.)连接在一起形成最终的 JWT。例如:eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIkpvaG4gRG9lIiwgImFkbWluIjogdHJ1ZX0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

4.校验流程:

  • 生成 JWT: 服务器在用户登录时生成 JWT。生成时,服务器将用户的身份信息(例如用户 ID 和角色)放入载荷中,并用密钥对其进行签名,生成完整的 JWT。

  • 传递 JWT: JWT 可以通过 HTTP 请求的头部、查询参数或 cookies 进行传递。常见的做法是将 JWT 放在 Authorization 头部中,如 Authorization: Bearer <token>

  • 验证 JWT: 服务器在收到请求时,解码 JWT 头部和载荷,使用密钥验证签名是否正确。如果签名验证成功且载荷中的信息有效(例如,未过期),则接受请求;否则拒绝请求。

5.代码示例,工具类      

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
 
import java.util.Date;
import java.util.concurrent.TimeUnit;
 
@Component
public class JwtUtils {
 
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
 
 
    @Value("${jwt.secret}")
    private String secret;
 
    @Value("${jwt.expiration}")
    private  long expiration;
 
    /**
     * 生成token
     * @param username
     * @return
     */
    public  String generateToken(String username) {
        String token = Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + expiration))
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
 
        // 将 Token 存储到 Redis 中
        redisTemplate.opsForValue().set(username, token, expiration, TimeUnit.MILLISECONDS);
 
        return token;
    }
 
    /**
     * 验证token
     * @param token
     * @return
     */
    public boolean validateToken(String token) {
        // 从 Token 中获取用户名
        String username = getUsernameFromToken(token);
 
        // 从 Redis 中获取存储的 Token
        String storedToken = redisTemplate.opsForValue().get(username);
 
        // 判断 Redis 中存储的 Token 是否与传入的 Token 相同
        return storedToken != null && storedToken.equals(token);
    }
 
    /**
     * 删除token
     * @param username
     */
    public void removeToken(String username) {
        // 从 Redis 中删除 Token
        redisTemplate.delete(username);
    }
 
    /**
     * 根据token获取用户信息
     * @param token
     * @return
     */
    public String getUsernameFromToken(String token) {
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
        Claims claims = claimsJws.getBody();
        return claims.getSubject();
    }
 
    /**
     * 判断token是否存在
     * @param username
     * @return
     */
    public String getTokenIfExists(String username) {
        // Check if a valid token exists in Redis for the given username
        String storedToken = redisTemplate.opsForValue().get(username);
 
        // Validate the stored token
        if (storedToken != null && validateToken(storedToken)) {
            return storedToken;
        } else {
            return null;
        }
    }
 
 
}

6. 优缺点。jwt是无状态,自包含式(自身包含了加密算法以及加密数据)的权限校验框架。可以不同于session,使得可以不依赖于服务端的数据,减轻了服务的的负担,并且前端可以不用考虑请求被分发到哪一台服务器。

     缺点在于。生成的token很长,且都所有请求都比带上,增加网络传输开销;过期时间不可控,一旦生成了之后,比如用户注销登陆,token仍然是有效的,除非另外开发这部分过期功能。令牌中包含了用户信息,如果令牌被盗取,攻击者可以获得用户的敏感信息,因此需要对令牌进行严格的存储和管理。

深圳卢先生
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT - 令牌认证(认证流程和原理Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
springboot集成jwt
01-25
**SpringBoot集成JWT详解** ...集成SpringBoot和JWT的过程涉及多个组件,理解它们的工作原理和相互作用至关重要,这有助于构建安全、高效的身份验证系统。在实际开发中,还需要结合具体业务需求进行定制化调整。
JWT权限验证
weixin_53216033的博客
06-29 968
JWT,全称JSON Web Tokens,是一种开放标准(RFC 7519)定义的方式,用于在双方之间安全地传输信息。这些信息可以包括用户的身份信息、角色、权限等。JWT通过编码、签名等方式保证传输的信息的安全性和可验证性。JWT不是一种只能做权限验证的工具,而是一种标准化的数据传输规范,所以只要是在系统之间进行简短而又需要一定安全保护的数据传输都可以使用JWT规范来传输。而规范是不受平台限制的,所以JWT是可以跨平台使用的。在JWT中,Claim(生称)的用途主要是存储和传递用户身份信息和其他相关数据。
jwt认证原理
weixin_52596593的博客
10-12 915
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
无懈可击的身份验证:深入了解JWT的工作原理
todoitbo的博客
11-29 1681
本篇博客将带你深入研究JSON Web Token(JWT),这是一项用于身份验证和信息传递的强大工具。从基础概念到实际应用,你将了解JWT的工作原理、安全性,以及在现代Web应用中的广泛应用。
JWT原理
子冉冰清的博客
09-26 6832
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT原理详解
热门推荐
weixin_45839321的博客
10-06 1万+
1.COOKIE使用和优缺点 1.1cookie原理:用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给
基于MVC轻量级的JWT权限验证
qq_37230349的博客
03-19 931
JWT就不多介绍了 传统的shiro和SpringSecurity安全框架需要Session,重启后Session会丢失,或者将Session存入redis也行,但是相对比较繁琐。利用JWT可以很轻松的实现Token的认证,在前后端分离的情况下,JWT也显得非常的简易。 依赖 com.auth0 java-jwt 3.4.0   登录请求生成token,第一个参数传入ID,表明...
JWT原理
COMEKING的博客
07-23 3298
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
JWT实现原理
weixin_45640168的博客
10-16 1397
JWT实现原理一、传统的session流程二、JWT简介以及实现原理三、 一、传统的session流程  1.浏览器发起请求登陆  2.服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie  3.浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器  4.服务器发现 Cookie 中有身份信息,验明正身  5.服务器返回该用户的用户资料 二、JWT简介以及实现原理 1. 定义  JWT,全称为Json Web Token,是风格轻量级的授权和身份认证规范,可实
JWT认证原理、流程整合springboot实战应用
01-18
6. **权限控制**:使用Spring Security的注解如`@PreAuthorize`,根据JWT中的角色信息实现权限控制。 **实战应用** 1. 创建User实体和UserDetailsService实现,用于用户验证。 2. 实现JWTUtil工具类,包含生成和...
浅谈ASP.NET Core 中jwt授权认证的流程原理
12-20
在ASP.NET Core中,JWT(JSON Web Token)被广泛用于授权认证,因为它提供了一种安全、轻量级的身份验证机制。...此外,由于JWT的不可变性,若需撤销用户的访问权限,通常需要配合使用黑名单或短期令牌。
12_基于JWT的Web API身份验证
10-31
- **API验证JWT**:在Web API的每个受保护的路由前,通过权限验证过滤器检查JWT的签名和有效期。如果验证通过,请求将继续处理;否则,返回错误信息。 4. JWT的优势: - **无状态**:因为JWT包含了所有必要的认证...
Ruby-Knock为RailsAPI实现无缝JWT身份验证
08-15
通过理解JWT的工作原理和如何使用Knock,开发者可以构建更健壮、更安全的RESTful API服务。在提供的压缩包文件`nsarno-knock-03090f8`中,可能包含了Knock库的源代码、示例、文档或其他资源,这些都可以帮助进一步...
Flink 开发语言选择 —— Java vs Scala
qq_42072014的博客
08-03 926
Flink 支持多种编程语言,包括 Java 和 Scala。这两种语言都有其独特的特性和优势,因此,在选择开发语言时需要考虑多个方面,如性能、社区支持、开发效率等。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 626
1.导入hutool的maven依赖。2.复制一下代码执行。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
最新发布
m0_74283290的博客
08-03 651
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
社区养老服务小程序的设计
Karen198的博客
07-31 546
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
JWT Token验证技术介绍
03-03
JWT 的工作原理如下: 1. 用户使用用户名和密码进行身份验证。 2. 服务器验证用户名和密码的正确性。 3. 如果验证成功,服务器生成 JWT 并将其发送回客户端。 4. 客户端将 JWT 存储在本地并在每个后续请求中将其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值