什么是JWT?JWT能做什么?JWT怎么使用?

已于 2022-04-14 14:54:09 修改
阅读量1.2k 收藏 4
点赞数 1
分类专栏: JWT SpringBoot 文章标签: java spring boot idea
于 2022-04-14 14:12:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lidasha_521/article/details/124170526
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

什么是JWT?

  • JWT 全称JSON Web Token ,简单的说就是用户登录成功之后,将用户的信息进行加密,然后生成一个token 返回给客户端

在这里插入图片描述

JWT能做什么?

  • 授权:这是使用 JWT 最常见的场景。用户登录后,每个后续请求都将包含 JWT,从而允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小并且能够在不同的域中轻松使用。
  • 信息交换:JSON Web 令牌是在各方之间安全传输信息的好方法。因为可以对 JWT 进行签名(例如,使用公钥/私钥对),所以可以确定发件人就是他们所说的那个人。此外,由于使用标头和有效负载计算签名,还可以验证内容没有被篡改。

JWT 结构

在这里插入图片描述

JWT 由以点 ( .) 分隔的三部分组成,分别是:

  • 标头(HEADER)
  • 有效载荷(PAYLOAD)
  • 签名(SIGNATURE)

因此,JWT 通常如下所示:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 标头(HEADER)
    • 标头通常由两部分组成:令牌的类型,即 JWT,以及正在使用的签名算法,例如 HMAC SHA256 或 RSA,并使用 Base64编码组成 JWT 结构的 第一部分
  • 有效载荷(PAYLOAD)
    • 令牌的第二部分是有效负载,其中包含声明。声明是关于实体(通常是用户)和附加数据的声明,并使用 Base64编码组成 JWT 结构的 第二部分
  • 签名(SIGNATURE)
    • 要创建签名部分,必须获取编码后标头(HEADER)有效载荷(PAYLOAD)以及我们提供的一个密钥,然后使用标头(HEADER)中指定的签名算法进行签名。
    • 签名的作用是保证 JWT 没有被篡改过

信息安全问题

  • Base64是一种编码,是可逆的,所以,在JWT中,不应该在有效载荷(PAYLOAD)里面加入任何敏感的数据(如:密码)

SpringBoot应用中如何使用JWT?

1.添加依赖

<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.19.1</version>
</dependency>
  • 生成令牌/解析令牌(签名算法和密钥要相同,否则会抛异常)案例
public static void main(String[] args) {
      // 生成令牌
      Map<String, Object> map = new HashMap<>();
      map.put("id", 100);
      map.put("name", "李四");
      String token = JWT.create()
              .withClaim("userId", 1) // 设置payload
              .withClaim("userName", "张三")
              .withClaim("user", map) // 自定义Map
              .withIssuedAt(new Date()) // 令牌生成时间
              .withExpiresAt(new Date(System.currentTimeMillis() + 8 * 60 * 60 * 1000)) // 令牌过期时间(8小时有效)
              .sign(Algorithm.HMAC256("Test666"));// 设置签名算法和密钥
      System.out.println("token = " + token);

      // 解析令牌
      JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("Test666")).build();
      DecodedJWT verify = jwtVerifier.verify(token);
      System.out.println("解析结果:" + verify.getClaim("userId").asInt());
      System.out.println("解析结果:" + verify.getClaim("userName").asString());
      System.out.println("解析结果:" + verify.getClaim("user").asMap());
      System.out.println("解析结果:" + verify.getClaim("user").asMap().get("id"));
      System.out.println("解析结果:" + verify.getClaim("user").asMap().get("name"));
  }

2.拦截器配置(受限请求访问,检验Token)

  • 创建返回值对象VO
/**
 * 公用返回结果Vo
 * @Date: 2022/04/14 22:01
 * @Version 1.0
 **/
@ApiModel(value = "ResultVo", description = "公用返回结果Vo")
@Data
@NoArgsConstructor
@AllArgsConstructor
public class ResultVo {

    @ApiModelProperty(value = "状态码", example = "200")
    private Integer code;

    @ApiModelProperty(value = "返回信息", example = "success")
    private String msg;

    @ApiModelProperty(value = "返回数据", example = "data")
    private Object data;
}

  • 创建拦截器,新建TokenInterceptor

    • 认证成功后生成的token,前端通过请求头传递token给后端

      axios({
	method: 'get',
	url: url,
	headers: {
		token: this.token
	}
}).then(res => {
	console.log(data);
});

  • 由于浏览器的预检机制:当前端发送的请求携带自定义配置时,浏览器会发送一次预检请求(method = “OPTIONS”),如果后端正常响应,再发送第二次请求提交数据

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.cy.fmmall.common.vo.ResultStatus;
import com.cy.fmmall.common.vo.ResultVo;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 定义拦截器
 * @Date: 2022/04/14 12:26
 * @Version 1.0
 **/
@Component
public class TokenInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {

        // System.out.println("------这不就进来了吗");

        // 处理 method = “OPTIONS” 预检请求
        String requestMethod = request.getMethod();
        if ("OPTIONS".equalsIgnoreCase(requestMethod)){
            return true;
        }
        
        if (StrUtil.isBlank(token)){
            ResultVo resultVo = new ResultVo(ResultStatus.SUCCESS, "请先登录", null);
            doResponse(response, resultVo);
            return false;
        } else {
            try {
                // 解析令牌
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("Lidasha521")).build();
                jwtVerifier.verify(token);
                /*
                 * 常见异常
                 * SignatureVerificationException: 签名不一致异常
                 * TokenExpiredException: 令牌过期异常
                 * AlgorithmMismatchException: 算法不匹配异常
                 */
            } catch (SignatureVerificationException | AlgorithmMismatchException e) {
                ResultVo resultVo = new ResultVo(ResultStatus.FAIL, "Token不合法,请重新登录", null);
                doResponse(response, resultVo);
            } catch (TokenExpiredException e) {
                ResultVo resultVo = new ResultVo(ResultStatus.FAIL, "Token已过期,请重新登录", null);
                doResponse(response, resultVo);
            } catch (Exception e){
                ResultVo resultVo = new ResultVo(ResultStatus.FAIL, "请先登录", null);
                doResponse(response, resultVo);
            }
            return true;
        }
    }

    // 创建json格式返回对象
    private void doResponse(HttpServletResponse response, ResultVo resultVo) throws IOException {
        response.setContentType("application/json");
        response.setCharacterEncoding("utf-8");
        PrintWriter writer = response.getWriter();
        String msg = new ObjectMapper().writeValueAsString(resultVo);
        writer.println(msg);
        writer.flush();
        writer.close();
    }
}
  • 配置拦截器:新建InterceptorConfig
import com.cy.fmmall.api.interceptor.TokenInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import javax.annotation.Resource;

/**
 * 配置拦截器
 * @Date: 2022/04/14 12:22
 * @Version 1.0
 **/
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Resource
    private TokenInterceptor tokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器
        InterceptorRegistration interceptorRegistration = registry.addInterceptor(tokenInterceptor);
        // 设置需要拦截的请求(也可设置成list集合)
        interceptorRegistration.addPathPatterns("/product/**");
        // 设置不需要拦截的请求(也可设置成list集合)
        interceptorRegistration.excludePathPatterns("/user/**");
    }
}
  • 测试结果

在这里插入图片描述

你的泪丶烫伤我的脸
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jwt
遥是此间桃花庵
10-10 395
文章目录1.JWT是什么2.为什么使用JWT3.JWT的工作原理4. JWT组成5.jwt实现验证: 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3.JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName...
基于JWT.NET的使用(详解)
08-28
1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的...
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?
Rverdoser的博客
06-07 392
简单来说,JWT就像一个加密的“通行证”,可以在不同的服务终端之间安全地传递信息。JWT就像一个加密的“通行证”,可以帮助我们在不同的服务之间安全地传递信息。2. 可扩展性:JWT支持自定义的声明(Claim),可以根据需要包含更多的用户信息或其他业务逻辑所需的信息。4. 安全性:JWT使用数字签名对Token进行验证,确保了数据的完整性和真实性,防止被篡改或伪造。5. 跨域支持:由于Token的传输和验证都是在HTTP头部进行的,因此JWT支持跨域请求。Token,具有较小的数据体积,便于传输和存储。
JWT能够干什么,不应该干什么?
weixin_34085658的博客
11-28 443
http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/ At the start of this article, I said that therearegood usecases for JWT, but that they're just not suitable as a session m...
JWT介绍及其基本使用
最新发布
一名编程小白的Java学习日志
06-23 707
JWT介绍及其基本使用
JWT的介绍与应用
CONSOLE11的博客
12-30 3569
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
Tangzx_的博客
01-28 5285
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
JWT是个啥?JWT的原理和应用
Liquor的博客
01-27 551
JWT简介 JWT:Json Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,他的两大使用场景是:认证和数据交换 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登录状态 的办法,通过token来代表用户身份。 JWT生成 JWT校验 一些问题 token到底生成什么样最好?(规则),每个用户要唯一 token
常见的JWT到底有什么用?
码农桃子的博客
07-10 2447
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其...
SpringBoot使用JWT的实现方法
08-26
什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是一种基于 token 的身份验证机制,可以取代传统的 cookie 或 session 机制。JWT 的主要特点是无状态、可扩展和安全。 JWT 的组成部分 ...
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
2. **配置JWT**:在`Startup.cs`的`ConfigureServices`方法中,使用`AddAuthentication`和`AddJwtBearer`方法来配置JWT认证。需要设置密钥(`IssuerSigningKey`)、令牌过期时间(`TokenValidationParameters`的`...
ThinkPHP5框架中使用JWT的方法示例
12-17
本文实例讲述了ThinkPHP5框架中使用JWT的方法。分享给大家供大家参考,具体如下: JWT下载地址:https://jwt.io 可以直接去github上下载,也可以使用composer 使用composer的话要确保你的电脑上安装了composer,进入...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT是什么
小熊的博客
10-11 210
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区
JWT是干什么的?为什么要用JWT?底层原理是什么?
长风破浪会有时的博客
07-21 2654
这样,服务端可以确信JWT的内容是可信的,因为只有拥有正确密钥的服务端才能生成有效的签名。同时,由于JWT中包含了用户信息和权限声明,服务端可以通过解析JWT获取到这些信息,无需再进行数据库查询,从而提高了性能。状态无关性:传统的会话认证在服务端需要保存用户的会话状态,而JWT是无状态的,所有信息都被包含在令牌本身中,这使得服务端不需要保存任何状态信息,从而降低了服务端的负担。扩展性:由于JWT允许在Payload中添加自定义的声明,因此可以在令牌中携带更多的用户信息和相关权限,满足不同应用的需求。
php jwt是什么,JWT 是干什么?
weixin_31523833的博客
03-21 380
JWT是目前流行的跨域认证解决方案,其原理是将用户信息通过加密生成Token,每次请求服务端只需要使用保存的密钥验证Token的正确性,进而不用再保存任何Session数据,使服务端变得无状态。jwt验证方式是将用户信息通过加密生成token,每次请求服务端只需要使用保存的密钥验证token的正确性,不用再保存任何session数据了,进而服务端变得无状态,容易实现拓展。加密前的用户信息,如:{"...
JWT是什么?它有什么用?
努力
12-23 957
JWT是 JSON Web Token 的缩写,通过数字签名的方式,以JSON对象为载体,在不同的服务器终端之间安全传输的信息。
Django中的JWT(Json Web Token认证机制)
python_nice的博客
08-07 1万+
session:用户经过应用认证后会在服务端保存,以便于下次请求鉴别。第一点session是储存在服务器上面的,会占用少量内存,如果网站用户非常多的话,会影响服务器的性能; 第二点拓展性:如果网站比较大,需要搭建有多个服务器,但是session是保存在当前服务器的,其他服务器调用不到。第三点::session是基于cookie进行识别的,容易被CSRF跨站请求伪造拦截。 基于token的鉴...
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
什么是JWT?如何生成和验证JWT token?
03-10
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519)。它是一种轻量级的安全传输方式,用于在网络应用间传递声明信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于令牌的元数据和加密算法的信息,通常由两部分组成:令牌类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。 载荷是JWT的主要内容,包含了一些声明信息,如用户ID、角色、权限等。载荷可以自定义,但建议只包含一些非敏感的信息,因为JWT是可解码的。 签名是对头部和载荷进行加密生成的,用于验证JWT的真实性和完整性。签名需要使用头部中指定的算法和密钥进行生成,接收方可以通过验证签名来确保JWT没有被篡改。 生成JWT token的过程如下: 1. 创建一个包含所需声明信息的JSON对象。 2. 使用Base64编码头部和载荷,形成两个字符串。 3. 将两个字符串用点号连接起来,形成一个未签名的JWT。 4. 使用指定的算法和密钥对未签名的JWT进行签名,生成签名字符串。 5. 将签名字符串添加到未签名的JWT末尾,形成最终的JWT token。 验证JWT token的过程如下: 1. 将接收到的JWT token按点号分割为头部、载荷和签名三部分。 2. 使用相同的算法和密钥对头部和载荷进行签名,生成一个新的签名字符串。 3. 将新生成的签名字符串与接收到的签名进行比较,如果相同,则说明JWT token是有效的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你的泪丶烫伤我的脸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值