JWT单点登录

最新推荐文章于 2024-07-02 14:53:15 发布
最新推荐文章于 2024-07-02 14:53:15 发布
阅读量838 收藏 7
点赞数 1
分类专栏: JWT 文章标签: JWT 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu719900/article/details/102767170
版权

JWT的介绍:

JWT也就是JSON Web Token(JWT),是目前最流行的跨域身份验证解决方案。

JWT的组成:

一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature).

1, Header

{“typ”:“JWT”,“alg”:“HS256”}

这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;它的alg属性,用来说明这个JWT签发的时候所使用的签名和摘要算法

typ跟alg属性的全称其实是type跟algorithm,分别是类型跟算法的意思。之所以都用三个字母来表示,也是基于JWT最终字串大小的考虑,

同时也是跟JWT这个名称保持一致,这样就都是三个字符了…typ跟alg是JWT中标准中规定的属性名称

2, Payload(负荷)

{“sub”:“123”,“name”:“Tom”,“admin”:true}

payload用来承载要传递的数据,它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims,

它的一个“属性值对”其实就是一个claim(要求),

每一个claim的都代表特定的含义和作用。

3 signature

签名是把header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。

算法不同,签名结果不同。以alg: HS256为例来说明前面的签名如何来得到。

按照前面alg可用值的说明,HS256其实包含的是两种算法:HMAC算法和SHA256算法,前者用于生成摘要,后者用于对摘要进行数字签名。这两个算法也可以用HMACSHA256来统称 。

JWT的验证过程

JWT验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,

并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。

接收方生成签名的时候必须使用跟JWT发送方相同的密钥

JWT结合springboot项目:

  1. pom.xml添加如下依赖

     <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
 <dependency>
 	<groupId>com.auth0</groupId>
 	<artifactId>java-jwt</artifactId>
 	<version>3.8.1</version>
 </dependency>
 <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
 <dependency>
 	<groupId>io.jsonwebtoken</groupId>
 	<artifactId>jjwt</artifactId>
 	<version>0.9.1</version>
 </dependency>

  2. test单元测试加密

     @Test
 public void testCase1(){
 	JwtBuilder builder = Jwts.builder();
 	JwtBuilder jwtBuilder = builder.setSubject("yangjingwen")
 		.signWith(SignatureAlgorithm.HS256, "qianfeng")
 		.claim("role", "admin")
 		.setExpiration(new Date(System.currentTimeMillis() + 60000))
 		.setIssuedAt(new Date());
 	String compact = jwtBuilder.compact();
 	System.out.println(compact);
 }

  3. test单元测试解密

     @Test
 public void testCase2(){
 	String 	token="eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ5YW5namluZ3dlbiIsInJvbGUiOiJhZG1pbiIsI	mV4cCI6MTU2MzI2ODUzNywiaWF0IjoxNTYzMjY4NDc3fQ.mHrESLyGONzlAXwOmRa	U3gkVwFZ_pNqBUl7WcM2vviE";
 	String key="qianfeng";
 	Claims body = Jwts.parser().setSigningKey(key)
 			.parseClaimsJws(token).getBody();
 	String subject = body.getSubject();
 	Date issuedAt = body.getIssuedAt();
 	Date expiration = body.getExpiration();
 }

JWT基本使用

生成token的逻辑:登录成功之后,采用jwt生成token。

//登录成功之后,需要生成token
String token = Jwts.builder().setSubject(userDTO.getUsername()) //主题,可以放用户的详细信息
    .setIssuedAt(new Date()) //token创建时间
    .setExpiration(new Date(System.currentTimeMillis() + 60000)) //token过期时间
    .setId(memeber.getMemeberId()) //用户ID
    .setClaims(hashMap) //配置角色信息
    .signWith(SignatureAlgorithm.HS256, "qianfeng") //加密方式和加密密码
    .compact();

Token校验

try {
    JwtParser parser = Jwts.parser();
    parser.setSigningKey("qianfeng");
    Jws<Claims> claimsJws = parser.parseClaimsJws(token);
    Claims body = claimsJws.getBody();
    String username = body.getSubject();
    Object role = body.get("role");
    return true;
} catch (ExpiredJwtException e) {
	e.printStackTrace();
} catch (UnsupportedJwtException e) {
    e.printStackTrace();
} catch (MalformedJwtException e) {
	e.printStackTrace();
} catch (SignatureException e) {
	e.printStackTrace();
} catch (IllegalArgumentException e) {
    e.printStackTrace();
}

Springboot如何开启拦截器

package com.qianfeng.interceptor;

import io.jsonwebtoken.*;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 登录拦截
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {

  	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    String token = request.getParameter("token");

    try {
        JwtParser parser = Jwts.parser();
        parser.setSigningKey("qianfeng");
        Jws<Claims> claimsJws = parser.parseClaimsJws(token);
        Claims body = claimsJws.getBody();
        String username = body.getSubject();
        Object role = body.get("role");

        return true;
    } catch (ExpiredJwtException e) {
        e.printStackTrace();
    } catch (UnsupportedJwtException e) {
        e.printStackTrace();
    } catch (MalformedJwtException e) {
        e.printStackTrace();
    } catch (SignatureException e) {
        e.printStackTrace();
    } catch (IllegalArgumentException e) {
        e.printStackTrace();
    }


    return false;
  }

 	 @Override
   public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

   @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse 	response, Object handler, Exception ex) throws Exception {

    }
}

添拦截器

package com.qianfeng.configuration;

import com.qianfeng.interceptor.LoginInterceptor;
import org.springframework.cloud.client.loadbalancer.LoadBalanced;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.client.RestTemplate;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class AppConfiguration implements WebMvcConfigurer {

	@Resource
    private LoginInterceptor loginInterceptor;

	@Bean
	@LoadBalanced
	public RestTemplate provideRestTemplate(){
    	return new RestTemplate();
	}

 	/**
 	* 添加拦截器
 	* @param registry
	 */
	@Override
	public void addInterceptors(InterceptorRegistry registry) {

    	registry.addInterceptor(loginInterceptor).addPathPatterns("/**");

    }
}
一处繁华一页笺灬
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解使用JWT实现单点登录(完全跨域方案)
12-02
首先介绍一下什么是JSON Web Token(JWT)? 官方文档是这样解释的:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则隐藏其他方的声明。当使用公钥/私钥对签署令牌时,签名还证明只有持有私钥的一方是签署私钥的一方。 通俗来讲,JWT是一个含签名并
如何使用JWT来实现单点登录功能
02-16 964
我们平时自己开发项目,分布式的结构时,访问量不大,但是又不想搭建redis服务器,这时我觉得jwt不错. 个人理解,jwt就是类似于一把锁和钥匙,客户来租房(登录),我们需要给他进来(第一次登录)登记消息,配把钥匙给他(使用jwt生成一个token,存放在用的cookie中),我们这边也需要配置一把我们需求的锁(jwt的生成token,解析token规则我们来写),接下来看下我最近运用...
手把手带你使用JWT实现单点登录
最新发布
程序员志哥的博客
07-02 820
JWT(英文全名:JSON Web Token)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱!
JWT 单点登录
severl的博客
09-19 1628
JWT单点登录相关概念问题及基础操作介绍,附加面试题。
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解 基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录(SSO)的机制。在这种机制中,用户只需要登录一次,就可以访问多个应用服务器上的资源,而不需要再次...
JWT实现的单点登录系统Demo
02-01
基于JWT实现的单点登录系统,使用idea开发的,可以供学习参考,有什么问题可以咨询
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议使用vs2019,framework4.8版本。
jwt手写SSO单点登录框架zip
07-02
在这个"jwt手写SSO单点登录框架zip"中,开发者手动实现了基于JWT的SSO解决方案。这个实践项目旨在帮助我们理解SSO的工作原理,并通过实际操作加深对JWT和cookie的运用。 首先,我们需要了解JWT的基本结构。JWT由三...
单点登录流程图.png
08-07
单点登录流程图
SpringBoot+JWT实现单点登录解决方案
07-26
在IT行业中,单点登录(Single Sign-On,简称SSO)是一种常见的身份验证机制,它允许用户在一个系统中登录...通过分析和学习这些代码,可以深入了解Spring Boot和JWT在SSO中的应用,为构建自己的单点登录系统提供基础。
基于JWT实现单点登录
热门推荐
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
单点登录JWT
qq614452400的博客
07-17 196
1 单点登录三种方法(第二三种常用) 2 第三种token可以使用jwt来实现生成字符串 怎么使用jwt 1,在pom中添加依赖 2 写工具类 public class JwtUtils { //EXPIRE表示token过期时间 APP_SECRET密钥为了做加密编码 public static final long EXPIRE = 1000 * 60 * 60 * 24; public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWu
java jwt 单点登录
06-06
通过JWT单点登录技术,用户只需要登录一次即可访问多个系统,不需要重复登录,大大提高了用户体验和安全性。同时,JWT token的加密和解密需要使用相同的密钥,这也可以更好地保障用户信息的安全性。 在Java中,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值