JWT的使用

已于 2022-04-29 20:48:18 修改
阅读量9.7k 收藏
点赞数
分类专栏: Java 文章标签: 安全 java 开发语言
于 2022-01-28 18:25:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50704703/article/details/122734996
版权

概述

JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

虽然 JWT 可以加密以在各方之间提供保密性,但我们将专注于签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌会向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是签署它的一方。

JWT实际上是一串字符串,由三部分组成,标题、有效载荷、签名。

以下是 JSON Web 令牌有用的一些场景:

  • 授权:这是使用 JWT 最常见的场景。用户登录后,每个后续请求都将包含 JWT,从而允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小并且能够在不同的域中轻松使用。
  • 信息交换:JSON Web 令牌是在各方之间安全传输信息的好方法。因为可以对 JWT 进行签名(例如,使用公钥/私钥对),所以您可以确定发件人就是他们所说的那个人。此外,由于使用标头和有效负载计算签名,您还可以验证内容没有被篡改。
标题(Header)

标头通常由两部分组成:令牌的类型,即 JWT,以及正在使用的签名算法,例如 HMAC SHA256 或 RSA。

例如:

{
"alg": "HS256",
"typ": "JWT"
}

然后,这个 JSON 被Base64Url编码以形成 JWT 的第一部分。

有效载荷(Payload)

令牌的第二部分是有效负载,其中包含声明。声明是关于实体(通常是用户)和附加数据的陈述。索赔分为三种类型:注册索赔、公开索赔和私人索赔。

  • 注册声明:这些是一组预定义的声明,不是强制性的,但建议使用。如: iss(发行人)、 exp(到期时间)、 sub(主题)、 aud(受众)等,请注意,声明名称只有三个字符,只要 JWT 是紧凑的。
  • 公共声明:这些可以由使用 JWT 的人随意定义。
  • 私人声明:这些是为在同意使用它们的各方之间共享信息而创建的自定义声明

示例:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后对有效负载进行Base64Url编码以形成 JSON Web 令牌的第二部分。

签名(Signture)

前面两部分都是使用Base64 进行编码的,即前端可以解开知道里面的信息。Signature需要使用编码后的 header 和 payload以及自己提供的一个密钥,然后使用header中指定的签名算法(HS256)进行签名。签名的作用是保证JWT没有被篡改过。

例如,如果您想使用 HMAC SHA256 算法,签名将通过以下方式创建:

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。

如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的语得出来的签名也是不一样的。

JWT的使用

导入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.2</version>
</dependency>
创建Token
@Test
public void test01(){
    String token = JWT.create()
        .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60))  //指定令牌的过期时间为1小时
        .withClaim("userID", 1)         //payload部分
        .withClaim("userName", "张三")
        .sign(Algorithm.HMAC256("ABCD"));//签名部分:使用HMAC256进行加密,秘钥是:ABCD
    System.out.println(token);
}

结果

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NDMzNjg5MDUsInVzZXJOYW1lIjoi5byg5LiJIiwidXNlcklEIjoxfQ.uHwyrN6Yw9ZHcZGv_sacxzTrkGE6Chx0y9kvGNdX8_o

验证Token
@Test
public void test02(){
    DecodedJWT verify = JWT.require(Algorithm.HMAC256("ABCD")).build()
        .verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NDMzNjg5MDUsInVzZXJOYW1lIjoi5byg5LiJIiwidXNlcklEIjoxfQ.uHwyrN6Yw9ZHcZGv_sacxzTrkGE6Chx0y9kvGNdX8_o");
    System.out.println(verify.getClaim("userID").asInt());
    System.out.println(verify.getClaim("userName").asString());
}

如果 DecodedJWT verify = JWT.require(Algorithm.HMAC256("ABCD")).build() .verify(token);这一行代码没有异常,则说明验证成功

相应异常如下:

SignatureVerificationException:签名不一致

TokenExpiredException:令牌过期

AlgorithmMismatchException:签名算法不匹配

InvalidClaimException:paload失效

结果

1
张三

陆沉、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成Jwt(详细步骤+图解)
撸码社区的博客
04-16 3万+
SpringBoot集成Jwt(详细步骤+图解) Jwt简介 JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证 Jwt构成(.隔开) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTkxNjQ4NjEsInVzZXJuYW1lIjoiYWRtaW4ifQ.fo5a-H_C7XG3fSnNdCEMzM2QmrF5c7yypzoSxGzgJOo Header(头部):放有签名
JWT使用
cl960409的博客
02-05 109
package com.jkys.crm.common.utl; import java.util.Calendar; import java.util.Date; import java.util.HashMap; import java.util.Map; import com.alibaba.druid.util.StringUtils; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.a
jose-jwt:.NET和.NET Core的最终Javascript对象签名和加密(JOSE)和JSON Web令牌(JWT)实现
02-03
.NET和.NET Core的终极Javascript对象签名和加密(JOSE)和JSON Web令牌(JWT)实现 简约的零依赖库,用于生成,解码和加密。 从2014年7月4日版本开始支持全套。 与JSON解析无关,可以插入任何所需的JSON处理库。 广泛测试了与 , 和库的兼容性。 符合FIPS 自v2.1起,该库完全符合FIPS标准 哪个版本? v3.0及更高版本还针对netstandard2.1以在* nix系统上利用更好的.net加密支持并启用更多受支持的算法。 所有新功能很可能会根据给定的版本出现。 v2.1及更高版本增加了对.NET461 +的额外功能支持,并随附3个版本的
JWT介绍&amp;空加密&amp;暴破密钥&amp;私钥泄露&amp;密钥混淆&amp;黑盒_jwt泄露
最新发布
2401_84970268的博客
05-12 889
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
PHP接口数据安全解决方案(二)
热门推荐
withoutfear的博客
10-08 1万+
前言 实例演示token签名并创建token 解析token并校验token合法性 类库封装管理jwt实例 前言 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者
BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题
u013119911的博客
07-02 8299
JWT
jwt生成token
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
JWT的基本使用
jkj2460228393的博客
05-13 3873
前言 主要介绍JWT的基本使用。 一、JWT的样子 示例:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。 二、JWT的构成 第一部分我们称它为头部(header),第二部分我们称其为
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是...
Laravel配合jwt使用的方法实例
01-19
测试使用的是Laravel5.5版本。 安装 composer require tymon/jwt-auth=1.0.0-rc.5 配置 生成配置 php artisan vendor:publish --provider=Tymon\JWTAuth\Providers\LaravelServiceProvider ...
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
fastify-jwt:用于Fastify的JWT实用程序
04-27
Fastify的JWT utils在内部使用 。 fastify-jwt支持Fastify @ 3。 fastify-jwt 支持Fastify @ 2。 安装 npm i fastify-jwt --save 用法 注册为插件。 这将使用标准的方法decode , sign和verify来装饰您的fastify...
ctfhub 技能树 JSON Web Token 修改签名算法
devil8123665的博客
01-23 6480
1、题目提示:有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。 2、打开题目看到题目给的源码,源码如下, <?php require __DIR__ . '/vendor/autoload.php'; use \Firebase\JWT\JWT; ​ class JWTHelper { public static function encode($pay
js xhr导出
u013239476的博客
07-05 4222
var xhr = new XMLHttpRequest(); xhr.open('GET', 'http://101.37.80.237:88/backend/file/download/88?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC8xMDEuMzcuODAuMjM3Ojg4XC9iYWNrZW5kXC9hdXRoXC9sb2dpbiIsImlhdCI6MTU5Mzk1Mjc0NSwi..
测试JWT加密过程
Leon_Jinhai_Sun的博客
01-03 8742
import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import org.junit.jupiter.api.Test; import org.springframework.boot.test.context.SpringBootTest; import java.
springboot整合jwt实现单点登录
qq_35872777的博客
07-06 7831
jwt的结构:
JWT使用教程
FishLearning的博客
10-16 2734
JWT使用教程 1、什么是jwt # 1、官网地址 https://jwt.io/introduction/ jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对其进行签名 # 2、通俗解释 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方
SpringBoot实战(七)集成JWT
ACGkaka的博客
05-06 1032
JWT(Json Web Token),是一种广泛应用于网络环境传输、基于 JSON 的开放标准(RFC 7519),主要应用于单点登录(SSO)。
gin jwt 使用
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和授权功能。JWT是一种用于在网络应用间传递信息的安全方法,它由三部分组成:header、payload和signature[^1]。 下面是在Gin框架中使用JWT的示例代码[^2]: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值