JWT Json web token

已于 2024-05-13 17:43:49 修改
阅读量210 收藏
点赞数
分类专栏: Java 文章标签: java
于 2021-11-01 15:55:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46199937/article/details/121081718
版权

JWT概念

JWT是JSON Web Token。
它包含三部分:头部header,载荷payload,签证signature

header

jwt的头部承载两部分信息:

声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload

载荷就是存放有效信息的地方。这些有效信息包含三个部分:标准中注册的声明、公共的声明、私有的声明

标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

示例:定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的)、payload (base64后的)、secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

前端

一般在请求头中加入Authorization,并加上Bearer标注

headers: {
    'Authorization': 'Bearer ' + token
  }

Java发token示例

依赖

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.12.0</version>
</dependency>

DecodedJWT源码:

package com.auth0.jwt.interfaces;

public interface DecodedJWT extends Payload, Header {
    String getToken();

    String getHeader();

    String getPayload();

    String getSignature();
}

用法:

作为JWT解密之后的对象,例如:

public class GenerateJWT {
	//加密
    public static String generateJWT(String id,String salt){
        Calendar calendar=new GregorianCalendar();
        calendar.add(Calendar.DATE,1);

        JWTCreator.Builder builder = JWT.create();
        builder.withClaim("id", id);

        return builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(salt));
    }
    
	//解密,解密5种异常,参考下文的参考网站
    public static void decodeJWT(String token,String salt){
        JWTVerifier verifier= JWT.require(Algorithm.HMAC256(salt)).build();
        DecodedJWT decodedJWT=verifier.verify(token);
        System.out.println(decodedJWT.getClaim("id").asString());
    }
}

测试代码:

    @Test
    void testJWT(){
        String jwt = GenerateJWT.generateJWT("daihan", "sunyichen");
        GenerateJWT.decodeJWT(jwt,"sunyichen");
    }

参考

JWT

Kramer_149
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaWeb之Cookie,session,Token
weixin_46011471的博客
06-27 497
说明由来:在最开始的网页浏览中 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求与上一次请求是没有关系的。它的最大的问题是就是每次一都要去校验身份,解决方法就是cookie,session和token的使用,解决了它的鉴权问题。
cookie组成
qq_41801117的博客
04-06 1416
cookie的组成主要分为: 1、domain:表明了可以访问该cookie的域名。当需要跨域访问cookie时,可以在该字段进行添加相应域名 两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享 Cookie。 A 网页地址为 http://A1.example.com B 网页地址为 http://B1.example.com 2、path:规定了可以访问该cookie的路径。 比如:path=/docs,那么这些地址:/docs;/docs/Web/;/
django restful权限认证方式
m0_62520968的博客
04-24 670
1.session认证: # # 全局所有页面都有权限认证 # REST_FRAMEWORK = { # 'DEFAULT_AUTHENTICATION_CLASSES': ( # 'rest_framework.authentication.BasicAuthentication', # 'rest_framework.authentication.SessionAuthentication', # ), .
JWTJava web token)全网最快上手
最新发布
java_tgs的博客
05-23 156
工具类和配置类代码已在其中,直接上手使用
Java Web 开发必须掌握的三个技术:Token、Cookie、Session
weixin_45521583的博客
07-27 372
APP登录的时候发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果成功,以某种方式比如随机生成32位的字符串作为Token,存储到服务器中,并返回Token到APP,以后APP请求时,凡是需要验证的地方都要带上该Token,然后服务器端验证Token,成功返回所需要的结果,失败返回错误信息,让他重新登录。服务器接收到请求信息后,会通过浏览器请求的数据中的SessionId判断当前是哪个用户,然后根据SessionId在Session库中获取用户的Session数据返回给浏览器。
解密JWT的本质 通过java代码带你一步步还原Json Web Token的组成及验证原理
go24k的博客
09-05 1620
Json Web Token 是一个信息的载体,更是一个通信的安全凭证。通过代码实战让你彻底玩转jwt
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
Cookie的格式及组成
xeh的专栏
06-26 1463
 Cookie由变量名和值组成,类似Javascript变量。其属性里既有标准的Cookie变量,也有用户自己创建的变量,属性中变量是用“变量=值”形式来保存。  根据Netscape公司的规定,Cookie格式如下:  Set-Cookie: NAME=VALUE;Expires=DATE;Path=PATH;Domain=DOMAIN_NAME;SECURE  NAME=VALUE:  这是每...
cookie放在请求头_详解 Cookie,Session,Token
weixin_39792475的博客
11-19 1万+
前言无状态的HTTP协议很久很久之前, Web基本都是文档的浏览而已。既然是浏览, 作为服务器, 不需要记录在某一段时间里都浏览了什么文档, 每次请求都是一个新的HTTP协议,就是请求加响应。不用记录谁刚刚发了HTTP请求, 每次请求都是全新的。如何管理会话随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己...
聊一聊 cookie
weixin_34348174的博客
03-07 1946
咱们不搞一开始就一大堆理论知识介绍,怕把人讲懵了...... 咱们换一个思维方式——"从现象看本质",先说说我们看到了什么,再从看到的现象中提出问题,最后深入寻找答案。 我们看到的 cookie 我自己创建了一个网站,网址为http://ppsc.sankuai.com。在这个网页中我设置了几个cookie:JSSESSIONID,PA_...
Cookie详解与跨域问题
咖啡男孩之SRE之路
11-23 6693
Http是无状态的协议,客户端每次对服务端的http请求都是独立的,不受该客户端其它的请求的影响。 为了把Http这个无状态协议变的与上下文有关系,我们引入了会话(Session)的概念,具有相同会话ID的请求使之变成了有状态。 服务端可以给请求setSession的信息,信息保存在服务端内存,同时在response时将session内容推送给客户端浏览器,浏览器为了保存SessionID等信息,又有了Cookie这玩意,Cookie本质是一块存储少量数据的存储空间,可以存到内存也可以写入磁盘。每次浏览器向
header头、cookie和session
d704274243的专栏
05-20 7558
header(协议头)是服务器以HTTP传送HTML文件到浏览器前
javaweb
RzhenDwo的博客
11-13 920
javaweb
Django REST framework JWT认证方式和BasicAuthentication认证方式实现认证用户与未认证用户访问同一视图类并得到不同的功能
热门推荐
p571912102的博客
07-19 6万+
实现一个视图类可以被认证用户访问,也可以为未认证用户访问,但是访问的内容不一样 Django REST framework 三种认证方式: REST_FRAMEWORK = { # 异常处理 'EXCEPTION_HANDLER': 'meiduo_mall.utils.exceptions.exception_handler', 'DEFAULT_AUTHENTI...
HTTP请求头和响应头部包括的信息有哪些?
weixin_30449239的博客
03-05 1571
每个HTTP请求和响应都会带有相应的头部信息。默认情况下,在发送XHR请求的同时,还会发送下列头部信息: Accept:浏览器能够处理的内容类型 Accept-Charset:浏览器能够显示的字符集 Accept-Encoding:浏览器能够处理的压缩编码 Accept-Language:浏览器当前设置的语言 Connection:浏览器与服务器之间连接的类型 Cooki...
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值