JWT 简明教程

最新推荐文章于 2023-10-13 11:50:32 发布
最新推荐文章于 2023-10-13 11:50:32 发布
阅读量248 收藏
点赞数
分类专栏: 第三方类库
原文链接:https://www.zuojl.com/jwt/
版权

转载自:https://www.zuojl.com/jwt/

叙述

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。

应用程序或者客户端向服务器请求授权,授权服务器向客户端返回一个 JWT。之后将 JWT 放入到请求里(通常放在 HTTP 的 Authorization 头里)。服务器接收请求后,验证 JWT 并执行对应的逻辑。为了防止用户的信息被篡改,服务器在生成这个对象的时候,会加上签名。JWT 的大体结构如下

JWT 结构

JWT 有三部分组成,中间用(.)进行分割,JWT 是没有换行的。三个部分以次为Header(头部)Payload(负载)Signature(签名)。就如 JWT 网站 的示例一样

Header 部分是将一个 Json 对象进行 Base64URL 算法之后的字符串。其中 alg 表示签名的算法(algorithm)为 HMAC SHA256(写成 HS256)。 typ 表示 token (令牌)的类型为 JWT

Payload

Payload 部分和 Header 一样是将 JSON 对象进行 Base64URL 转换。其中 JWT 规格的官方字段含义如下

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除了官方的字段外,也是可以进行自定义字段的。

Signature

Signature 部分是对前两部分的签名,防止数据篡改。HS256 的算法如上图所示的

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

jjwt 实现

首先引入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

生成 JWT Token

// 生成 JWT Token
public static String generateToken(String payload) {
    Date now = new Date();
    Date expire = new Date(now.getTime() + 5 * 60 * 1000);
    return Jwts.builder()
            .setHeaderParam("typ", "JWT")
            .setSubject(payload)
            .setIssuedAt(now)
            .setExpiration(expire)
            .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
            .compact();
}

此处生成一个过期时间为 5 分钟的 Token

校验 Token

下面对是否合法和是否过期进行校验

// 解析 Token
private static Claims parseToken(String token) {
    try {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    } catch (Exception e) {
        return null;
    }
}

// 校验 Token 是否合法
public static boolean isTokenValid(String token) {
    return parseToken(token) != null;
}

// 校验 Token 是否过期/失效
public static boolean isTokenExpired(String token) {
    Claims claims = parseToken(token);
    return claims != null && claims.getExpiration().before(new Date());
}

更新 Token

对于 Token 应该在用户每次操作后都更新其过期时间,俗称喂狗

// 更新 Token 的过期时间
public static String updateToken(String token) {
    Claims claims = parseToken(token);
    return claims == null ? null : generateToken(claims.getSubject());
}

JWT 的特点

  • JWT 默认是不加密的,只是简单的进行 Base64URL 转换,所以不要存储敏感信息。
  • 为了安全,JWT 应该使用 HTTPS 协议传输,避免使用 HTTP 明码进行传输。
  • 由于服务器不保存 session 状态,因此一旦 JWT 签发后,无法在使用过程中对其进行废除和更改权限,在过期之前始终有效。
Full Stack Developme
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT的使用及流程解析
weixin_69554846的博客
08-04 846
JWT加密到解码的过程解析总结及使用方法
JWT详细讲解
m0_71012114的博客
10-19 6156
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
【2023/2/1】JWT 学习、实操一个简易的登录流程
qq_43774264的博客
02-01 966
token
JWT 快速入门,并实现登录认证
m0_56966142的博客
03-10 4051
一、JWT 简介 jwt(JSON Web Tokens),是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 1.1 Jwt认证流程 前端用户填写好用户名和密码,点击登录 后端对提交的用户名和密码进行校验,校验通过则发送token给前端 前端将token保存在cookie中,并在每一次请求时都将cookie一并发送给后端 后端对用户发送过来的token进行校验,并通过token识别是哪个用户。 1.2 sessio
JWT认证原理,流程
weixin_45557544的博客
11-06 4392
JWT1,什么是jwt官网翻译:通俗解释:2,JWT能做什么2.1,授权 1,什么是jwt 官网 翻译: jsonwebtoken(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/秘钥对进行签名 通俗解释: JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息
JWT详解
weixin_43866856的博客
12-10 2354
JWT详解 1.我们为什么要使用JWT呢? 在前后端分离的项目中,session是不能够使用的,因为session是JSP的九大内置对象之一。也就是说原来的方式不满足当前的需求,这个时候,需要使用JWT。 来看下面这张图,更加方便你理解。 2.JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权...
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。它通过使用数字签名来确保数据的完整性和真实性。JWT在Spring Boot中的整合是常见的应用场景,尤其是在构建RESTful API时,它...
使用JJWT库的Java JWT令牌教程
04-11
总的来说,本教程的"Java-JWT-Token-Tutorial-using-JJWT-Library.pdf"应该会详细讲解这些概念,并提供实践示例。"jwttest.zip"可能包含了一个演示项目,让你能够亲手实践JWT的创建和验证过程。通过学习这些内容,你...
基于Token的身份验证之JWT基础教程
10-18
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。下面这篇文章主要给大家介绍了关于基于Token的身份验证之JWT的基础相关资料,文中通过示例代码的非常详细,需要的朋友可以参考...
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
SpringSecurity集成JWT
05-15
JWT(Json Web Token)是一种轻量级的身份验证机制,广泛应用于API的安全授权。本篇文章将详细探讨如何将SpringSecurity与JWT相结合,实现高效且安全的身份验证。 首先,让我们了解一下SpringSecurity的基本配置...
JWT(Json Web Token)介绍
mijichui2153的博客
04-25 1672
前言:JWT(JSON Web token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。JWT是REST API中经常使用的一种机制。 JWT是一种由Header、PayLoad和Key计算并组合得到的数字令牌。简单点说就是一个字符串,由三部分组成,分别是:头部(Header)、载荷(PayLoad)、签名(sign)。 一、各部分介绍及使用体验 Header: Header为JSON格式,用于描述关于该JWT的最基本的信息,例如类型以及签名采用的算法.
jwt的认证流程和使用案例(session和token两种方式)
健康平安的活着的专栏
06-25 2916
传统session是保存在服务器内存中的,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存
asp.net JWT用户认证方法
sunlibo111111的专栏
10-07 941
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串。 后端将J...
Vert.x 关于权限授权和认证(基于JWT
yushan126的专栏
11-16 1224
vertx也用了有一段时间,起初对其使用都基于固有的模块在用,官网的教程也比较详细,虽然使用过程中有些问题还需要自己研究尝试,整体来说还算顺利,但是最近在使用其授权、认证的模块,官方的文档还是保持着原有的言简意赅,有些东西看了实例代码还是一头雾水,尤其是权限认证的方式,特将研究的内容发出来,一来可以共享信息,方便大家斧正,二来也做为记录 package zzy.verticles; import io.vertx.core.*; import io.vertx.core.buffer.Buffer;.
Android Token过期解决方案
Xu_zaiqing的博客
11-07 6370
对开发中遇到的问题进行整理记录~~ 场景:Token验证较多的Android应用; 需求:在Token过期后,向服务器重新获取Token并使用新Token重新发起请求; 实现: 参考:http://www.jianshu.com/p/62ab11ddacc8 1、服务器若能在Token过期时返回401错误码,则可以使用OkHttp提供的Authenticator接口
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 9206
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
ASP外观专利图像检索平台(源代码+论文).rar
最新发布
07-21
ASP外观专利图像检索平台(源代码+论文)
微服务网关与JWT鉴权实践
"本文主要探讨了微服务架构中网关与JWT令牌的使用,旨在让读者理解JWT鉴权机制,并掌握如何在网关中实施JWT校验用户登录。" JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用和API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值