JWT学习与使用

已于 2022-06-12 16:37:07 修改
阅读量585 收藏 1
点赞数
分类专栏: spring boot 文章标签: 学习 前端 json
于 2022-06-10 15:43:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46607044/article/details/125220690
版权

1. 什么是JWT?

JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于
作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

1.1 什么时候应该⽤JWT?

  • Authorization (授权) : 这是使⽤JWT的最常⻅场景。⼀旦⽤⼾登录,后续每个请求都将包含
    JWT,允许⽤⼾访问该令牌允许的路由、服务和资源。单点登录是现在⼴泛使⽤的JWT的⼀个特
    性,因为它的开销很⼩,并且可以轻松地跨域使⽤。

  • Information Exchange (信息交换) : 对于安全的在各⽅之间传输信息⽽⾔,JSON Web Tokens⽆
    疑是⼀种很好的⽅式。因为JWT可以被签名,例如,⽤公钥/私钥对,你可以确定发送⼈就是它们
    所说的那个⼈。另外,由于签名是使⽤头和有效负载计算的,您还可以验证内容没有被篡改。

1.2. 认证流程

在这里插入图片描述

1.后端核对⽤⼾名和密码成功后,将⽤⼾的id等其他信息作为JWT Payload (负载),将其与头部分别
进⾏Base64编码拼接后签名,形成⼀个JWT(Token)。形成的JWT就是⼀个形同11. zzz. xxx的字符
串。token head.payload.signature
2.后端将JWT字符串作为登录成功的返回结果返回给前端。 前端可以将返回的结果保存在
localStorage或sessionStorage上, 退出登录时前端删除保存的JWT即可。
3. 前端在每次请求时将JWT放⼊HTTP Header中的Authorization位。 (解决XSS和XSRF问题)
4. 后端检查是否存在,如存在验证JWT的有效性。
◦ 检查签名是否正确;
◦ 检查Token是否过期;
◦ 检查Token的接收⽅是否是⾃⼰(可选)
5. 验证通过后后端使⽤JWT中包含的⽤⼾信息进⾏其他逻辑操作,返回相应结果。

1.3 JWT优势在哪?

  1. 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,数据量⼩,传输速度快
  2. ⾃包含(Self-contained):负载中包含了所有⽤⼾所需要的信息,避免了多次查询数据库
    因为Token是 以JSON加密的形式保存在客⼾端的,所以JWT是跨语⾔的,原则上任何web形式都
    ⽀持。
  3. 不需要在服务端保存会话信息,特别适⽤于分布式微服务。
    1.4 JWT具体包含信息
  4. header
    标头通常由两部分组成: 令牌的类型(即JWT) 和所使⽤的签名算法,例如HMAC、SHA256或RSA。 它
    会使⽤Base64 编码组成JWT 结构的第⼀部分。
    注意:Base64是⼀ 种编码,也就是说,它是可以被翻译回原来的样⼦来的。它并不是⼀种加密过程。
{
"alg":"HS256",
"typ":"JWT"
}
  1. Payload
    令牌的第⼆部分是有效负载,其中包含声明。声明是有关实体(通常是⽤⼾)和其他数据的声明。同样
    的,它会使⽤Base64 编码组成JWT结构的第⼆部分
{
"sub" : "HS256"
"name" : "yjiewei"
"admin" : "true"
}
  1. Signature
    header和payload都是结果Base64编码过的,中间⽤.隔开,第三部分就是前⾯两部分合起来做签
    名,密钥绝对⾃⼰保管好,签名值同样做Base64编码拼接在JWT后⾯。(签名并编码)
 HMACSHA256 (base64Ur1Encode(header) + "." + base64Ur1Encode(payload) , secret);

2.整合pom进行系统测试

<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--引⼊mybatis-->
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.0</version>
</dependency>
<!--引⼊jwt-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
<!--引⼊mysql-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.16</version>
</dependency>
<!--引⼊druid-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.2.0</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>

2.2 测试JWT加密过程

public class Jwt {
/**
* 获取JWT令牌
*/
@Test
public void getToken() {
Map<String, Object> map = new HashMap<>();
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 2000)
/**
* header可以不写有默认值
* payload 通常⽤来存放⽤⼾信息
* signature 是前两个合起来的签名值
*/
String token = JWT.create().withHeader(map) //header
.withClaim("userId", 21)//payload
.withClaim("username", "yjiewei")//payload
.withExpiresAt(instance.getTime())//指定令牌的过期时间
.sign(Algorithm.HMAC256("!RHO4$%*^fi$R")); //签名,密钥⾃⼰记住
System.out.println(token);
}
/**
* 令牌验证:根据令牌和签名解析数据
* 常⻅异常:
* SignatureVerificationException 签名不⼀致异常
* TokenExpiredException 令牌过期异常
* AlgorithmMismatchException 算法不匹配异常
* InvalidClaimException 失效的payload异常
*/
@Test
public void tokenVerify() {
// token值传⼊做验证
String token =
"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjkyMDg0NjgsInVzZXJJZCI6MjEsIn
VzZXJuYW1lIjoieWppZXdlaSJ9.e4auZWkykZ2Hu8Q20toaks-4e62gerPlDEPHvhunCnQ";
/**
* ⽤⼾Id:21
* ⽤⼾名:yjiewei
* 过期时间:Tue Aug 17 21:54:28 CST 2021
*/
JWTVerifier jwtVerifier =
JWT.require(Algorithm.HMAC256("!RHO4$%*^fi$R")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token); // 验证并获取解码后的
token
System.out.println("⽤⼾Id:" + decodedJWT.getClaim("userId").asInt());
System.out.println("⽤⼾名:" +
decodedJWT.getClaim("username").asString());
System.
  1. 封装⼯具类
    Java就是封装抽象封装抽象…所以这⾥也封装⼀个⼯具类。
public class JWTUtil {
/**
* 密钥要⾃⼰保管好
*/
private static String SECRET = "privatekey#^&^%!save";
/**
* 传⼊payload信息获取token
* @param map payload
* @return token
*/
public static String getToken(Map<String, String> map) {
JWTCreator.Builder builder = JWT.create();
//payload
map.forEach(builder::withClaim);
Calendar instance = Calendar.getInstance();
instance.add(Calendar.DATE, 3); //默认3天过期
builder.withExpiresAt(instance.getTime());//指定令牌的过期时间
return builder.sign(Algorithm.HMAC256(SECRET));
}
/**
* 验证token
*/
public static DecodedJWT verify(String token) {
//如果有任何验证异常,此处都会抛出异常
return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
}
/**
* 获取token中的payload
*/
public static Map<String, Claim> getPayloadFromToken(String token) {
return
JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token).getClaims();
}
}
  1. JWT 整合SpringBoot
    我们要对每个请求都去验证实现单点登录,通过拦截器拦截请求对JWT做验证。
    4.1 登录并获取token
    在这里插入图片描述
    4.2 在请求头中添加token

在这里插入图片描述
4.3 完整的springboot的整合流程
· pom

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.0</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.xuda.webjwt</groupId>
    <artifactId>001-springboot-webjwt</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>001-springboot-webjwt</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--引入jwt依赖-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

· 设置控制层

package com.xuda.webjwt.controller;

import com.auth0.jwt.interfaces.DecodedJWT;
import com.xuda.webjwt.utils.JWTUtil;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;

/**
 * @author :程序员徐大大
 * @description:TODO
 * @date :2022-06-12 16:15
 */
@RestController
public class userController {

    @PostMapping("/user/test")
    public Map<String,Object> test(HttpServletRequest request) {
        String token = request.getHeader("token");
        DecodedJWT verify = JWTUtil.verify(token);
        String id = verify.getClaim("id").asString();
        String name = verify.getClaim("name").asString();
        System.err.println("id:" + id);
        System.err.println("name:" + name);
        //TODO:业务逻辑
        HashMap<String, Object> map = new HashMap<>();
        map.put("status",true);
        map.put("msg","请求成功");
        return map;
    }

    @PostMapping("/user/login")
    public Map<String,Object> login(HttpServletRequest request) {

        //TODO:业务逻辑
        HashMap<String, String> map = new HashMap<>();
        map.put("id","12");
        map.put("name","xuweili");
        String token = JWTUtil.getToken(map);
        System.err.println(token);
        HashMap<String, Object> map1 = new HashMap<>();
        map1.put("status",true);
        map1.put("msg",token);
        return map1;
    }
}

· 设置工具类

package com.xuda.webjwt.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

/**
 * @author :程序员徐大大
 * @description:TODO
 * @date :2022-06-12 16:02
 */
public class JWTUtil {
    /**
     * 设置密钥
     */
    private static String SECRET = "@!LFJAK>FDS!?fdas1";
    public static String getToken(Map<String , String> map) {
        JWTCreator.Builder builder = JWT.create();
        //payload
        map.forEach(builder::withClaim);
        Calendar instance = Calendar.getInstance(); //设置过期时间
        instance.add(Calendar.DATE, 3);
        builder.withExpiresAt(instance.getTime()); //进行指定过期时间
        return builder.sign(Algorithm.HMAC256(SECRET));
    }

    /**
     * 验证token
     */
    public static DecodedJWT verify(String token) {
        //如果有任何验证异常,此处会抛出异常
        return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
    }

    /**
     * 获取token中的payload
     */
    public static Map<String, Claim> getPalloadFormToken(String token) {
        return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token).getClaims();
    }
}

· 设置拦截器

package com.xuda.webjwt.utils;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;

/**
 * @author :程序员徐大大
 * @description:TODO
 * @date :2022-06-12 15:58
 */
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求头中的令牌
        String token = request.getHeader("token");
        HashMap<String, Object> map = new HashMap<>();
        try {
             JWTUtil.verify(token);
             return true;
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg", "签名不⼀致");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "令牌过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不匹配");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            map.put("msg", "失效的payload");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token⽆效");
        }
        map.put("status", false);
        //响应到前端: 将map转为json
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}

· 全局拦截

package com.xuda.webjwt.config;

import com.xuda.webjwt.utils.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author :程序员徐大大
 * @description:TODO
 * @date :2022-06-12 16:13
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/test")
                .excludePathPatterns("/user/login");
    }
}

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

程序员小徐同学
关注
专栏目录
JWT的概念以及如何使用
qq_47905231的博客
06-02 376
JSON Web Token (JWT)
jwt项目使用
weixin_51261234的博客
08-20 734
【代码】jwt项目使用
JWT在项目的简单应用
m0_37825219的博客
10-08 802
JWT在项目的简单应用 JWT介绍 JWTJSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 JWT的项目应用 引入依赖: <dependency> <groupId>io.jsonwe
JWT在项目的应用
qq_58055172的博客
08-17 390
JWT
JWT的简单说明与使用
jgdabc的博客
07-08 654
JWT是"JSON Web Token"的缩写,是一种用于在不同系统之间传输信息的开放标准。它通过将信息进行加密后生成一个安全的令牌,以便在网络请求进行身份验证和授权。具体来说,JWT可以用于以下几个方面:身份验证:当用户登录系统时,服务器会生成一个JWT并将其发送给客户端。客户端在后续的请求携带JWT作为身份凭证,服务器可以根据JWT验证用户的身份信息,从而实现无状态的身份验证。授权:JWT可以包含一些声明信息,如用户角色、权限等。
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWTJSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
ASP.NET Core学习使用JWT认证授权详解
10-14
本文将深入探讨如何在ASP.NET Core使用JWTJSON Web Tokens)进行认证授权。 JWT是一种轻量级的身份验证机制,它允许在客户端和服务器之间安全地传递信息,而无需在服务器上存储会话信息。JWT通过在令牌携带...
jwt学习Spring-security
01-18
jwt学习Spring-security Spring Security 是一个广泛使用的 Java 认证和授权框架,用于保护基于 Java 的 web 应用程序。它提供了一个灵活的安全机制来保护 web 应用程序免受未经授权的访问。Spring Security 提供...
JWT学习1
08-08
JSON Web Token(JWT)是一种广泛使用的身份验证和信息交换的标准,尤其在Web应用程序JWT允许客户端和服务器之间安全地传递信息,而无需在每个请求携带完整的认证信息。JWT的结构由三个部分组成:头部(Header...
HTTP、HTTPS、Session Cookie与JWT
qq_51535737的博客
04-24 2410
HTTP各版本 HTTP的特点: 无状态:对事物处理没有“记忆”能力 通信使用明文,请求和响应不会对通信方进行确认、无法保护数据的完整性 基于请求和响应:基本的特性,由客户端发起请求,服务端响应 简单快速、灵活 缺点: 通信使用明文,内容可能被窃听 不验证通信方身份,可能遭遇伪装 HTTP/1.0 默认使用短连接;每次请求都需要建立TCP连接,即每次发送数据都需要三次握手、四次挥手,传输完成立即断开,开销大,效率低。可以设置 Connection:keep-alive,强制开启长连接 错误状态响应
JWT进行请求头校验
m0_71777195的博客
09-09 243
最后,将认证对象设置到当前的安全上下文,这样就代表验证完成了。默认提供的过滤器链是一组预定义的过滤器,用于处理各种安全相关的任务,比如身份验证、授权、会话管理等。是登录进去,但没有权限访问一些页面的处理器,其他没有什么要注意的,也可以把这些处理器写成一个,那样就清爽多了,但我懒,代码就不贴了。这里就是先获取请求头内令牌的内容,再调用工具类的方法对令牌进行解析,方法内部校验令牌的合法与解析,将jwt令牌转化成。第二个参数是凭证,就是密码之类的,我们不需要,所以传null。配置类,我们将他引入,
深入解析 JWTJSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 3656
JWTJSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证JWT使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT令牌存储到浏览器localStorage,并且往页面请求头添加token
weixin_52183261的博客
02-17 1098
response.data.data是后端返回的数据为jwt字符串。
后端Jwt实现Token编码、解码以及axios的request请求头的Token传输方式
最新发布
辰辰Ado_I
03-23 998
JWT是token的一种实现方式,全称是:JSON Wwb Token。简单来讲,Jwt是一种字符串,可以根据用户信息进行相关的编码操作生成带有用户信息的JWT token,我们可以根据这个来判断其信息是否正确或者是否被篡改。
加载秘钥InvalidKeySpecException: java.security.InvalidKeyException: IOException: Short read of DERl 异常处理
林夕
02-09 1万+
导致异常的原因通常有两种:第一,JDK加密算法问题,第二,秘钥内容自身问题。
JWT(Json Web Token)
weixin_65549694的博客
06-07 318
今天对这个知识做了一个简单的了解,做一个小的总结,梳理思路,便于日后复习。首先JWT简单的说就是用来代替session的。之前的登录信息都保存在session,那么JWT为什么可以代替session,也就是说,和session相比,JWT的优点是什么呢?那么JWT到底是怎么一回事呢?那么就看看它的构成:那么每部分都具体是什么呢?1.Header JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统
过滤器和拦截器_浅聊过滤器 + 拦截器 + JWT
weixin_40007548的博客
12-15 478
前言还记得上次我写过几篇在实际项目如何使用jwt《公众号授权 + jwt》、《小程序授权+ jwt》、《微信支付》紧接着,就有个小伙伴,问了我一个这样的问题:授权使用jwt签发token后,登录、注册等,用户是不需要token的,此时,应该怎么排除这些请求的url呢?得嘞,今天咱们就掰扯掰扯这件事,如何使用“过滤器”或“拦截器”实现登录、注册的过滤是不是有人也这么写过?在写此文时,我曾...
JWT(详解)
热门推荐
weixin_44736637的博客
04-07 3万+
JWT
JWT使用及流程解析
weixin_69554846的博客
08-04 862
JWT加密到解码的过程解析总结及使用方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员小徐同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值