jwt令牌的运行机制

已于 2023-05-18 23:56:16 修改
阅读量193 收藏
点赞数
文章标签: java
于 2023-05-18 23:54:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53726326/article/details/130751420
版权
文章介绍了JWT的三个组成部分:header、payload和signature,以及JWT的运行机制。在登录成功后,通过JWT工具生成token,设置header和payload的信息,并使用HMAC256算法签名。后端在接收到请求时会验证JWT,通过JWT工具解析并校验token的有效性,包括检查token、解密、验证用户信息等步骤。
摘要由CSDN通过智能技术生成

一、jwt的组成部分

1、Header(头部)

        常见的属性有:alg(签名加密使用的算法),typ(标识token,默认为JWT),是json字符串类型。

2、Payload(有效荷载)

        用来承载传递的数据,是josn字符串类型。它的属性值对是Claim类,调用Payload的属性值对时,采用DecodedJWT类的getClaim方法,可以用asString方法转换成String类型。

3、Signture(签名)

        就是使用base64编码后的header和payload数据,通过header中alg属性指定的算法进行加密生成哈希。

二、JWT运行机制

1、发送第一次请求,携带用户信息的username和password。当有拦截器拦截路径时,第一次访问只能访问未被拦截的地址。

//拦截器
@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/login1");

        super.addInterceptors(registry);
    }
}

2、当用户信息的username和password登录成功时,通过JWT工具生成token。在jwt工具中可以设置header和payload的属性,withClaim方法用来放入数据,sgin方法中放入使用算法(一般使用HMAC256算法,该算法需要设置盐值(密钥))签名加密。

//设置盐值(密钥)
private static String salt="oiaho2h434";

//生成token
    public static String createToken(LoginUser user){
        LoginUser user1 = getLoginUser();
        //创建一个JWT
        JWTCreator.Builder builder = JWT.create();
        //设置JWT的头部  alg typ
        Map map1 = new HashMap();
        map1.put("alg","HMAC256");
        map1.put("typ","JWT");
        builder.withHeader(map1);
        //设置 JWT的有效荷载  Payload
        Map map2 = new HashMap();
        map2.put("username",user1.getUsername());
        map2.put("password",user1.getPassword());
        builder.withPayload(map2);
        //给JWT加密
        builder.withClaim("salt",salt).withClaim("user",user.getUsername());
        String token = builder.sign(Algorithm.HMAC256(salt));
        return token;
    }

3、后端每次收到请求的时候,验证是否存在JWT 。如果存在,通过携带JWT 访问被拦截的路径,这时不会被拦截器拦截。JWT串会在JWT工具中被解析成用户信息,进行最终校验。主要是判断JWT中的token,需要注意token是否为null,token的报错信息。最后是解析过后的用户信息的判断用户是否存在,用户账号和密码是否一致。

public static Map verifyToken(String token){

        //判断token是否为空
        if(token == null){
            System.out.println("token不能为空");
        }
        //把JWT进行解密 得到  DecodedJWT 这个就是JWT
        //JWT.build构建内部类
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(salt)).build();


        //解密的过程如果token出错了,有错误信息
        Map map = new HashMap();
        try {
         //   DecodedJWT decodedJWT = JWTUtils.verifyToken(token);

            DecodedJWT verify = verifier.verify(token);

            //从JWT对象中获取我需要的部分  有效荷载
            // 有效荷载 用户名+用户密码

            String username = verify.getClaim("username").asString();
            String password = verify.getClaim("password").asString();

            //如果出现错误:错误信息:用户相关的错误信息
            LoginUser user1 = getLoginUser();
            //判断用户是否存在
            if(username.equals(user1.getUsername())){
                //区判断用户的账号密码是否一致
                if (username.equals(user1.getUsername()) && password.equals(user1.getPassword())){
                    map.put("success","true" );
                    map.put("msg","登录成功");
                }else{
                    map.put("msg","密码错误");
                }
            }else{
                map.put("msg","用户不存在");
            }

            return map;

        }catch (SignatureVerificationException e){
            map.put("msg","无效签名1");
        }catch (TokenExpiredException e){
            map.put("msg","token过期!");
        }catch (AlgorithmMismatchException e){
            map.put("msg","token加密算法不一致");
        }catch (Exception e){
            map.put("msg","无效签名2");
        }

        return map;

    }

黎明的消逝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【微服务】JWT令牌原理
zhcf的博客
07-10 598
JWT令牌原理
JWT令牌
qiumin的博客
07-14 3292
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
JWT令牌的工作原理
qq_16159433的博客
10-26 270
这里写目录标题JSON Web Tokens基于Token的身份认证与基于服务器的身份认证基于服务器的身份认证基于Token的身份认证基于Token的身份认证是如何工作的用Token的好处无状态和可拓展性安全JWT和OAuth的区别 JSON Web Tokens 在认证的时候,当用户用他们的的凭证成功登录以后,一个JSON Web Token将会被返回。此后,用户名和密码就不再是用户的凭证,而token是用户用来访问资源的新凭证了。你必须非常小新以防止出现安全问题。一般而言,你保存令牌的时间不应该超过你所
了解JWT令牌
qq_48575500的博客
12-31 823
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。此信息可以被验证和信任,因为它是数字签名的。JW T可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。认证流程用户首次登录成功并将用户信息保存到Session中()http协议本身是一种无状态的协议:用户成功登录之后继续发送后续业务请求,但是由于角色权限。
JWT令牌详解
最新发布
深夜无眠的博客
03-31 953
概念Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准().该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
auth-api:使用JWT令牌的Express API
03-07
**Express API 使用JWT令牌进行身份验证** 在现代Web应用程序中,安全性和用户认证是至关重要的。JSON Web Token(JWT)是一种流行的轻量级身份验证机制,它允许客户端和服务器之间安全地交换信息,而无需在每次...
jwt-react-authentication:使用JWT令牌保护React
05-01
JWT是一种安全的、轻量级的身份验证机制,常用于无状态API的授权。 **描述分析:** 描述中提到了React JWT认证系统的实施步骤。首先,开发者需要通过 `npm install` 命令来安装所有必要的依赖项,这是任何Node.js...
Jersey-Spring-JWT:带有JWT令牌的其余API的Spring安全性
04-28
带有JWT令牌的其余API的Spring安全性 带有剩余API的身份验证机制,能够根据可用系统根据LDAP和/或DB对用户进行身份验证。 该解决方案基于用于实现REST的Jersey,用于布线和安全性的Spring和用于令牌生成的JWT。 生成...
property-management-api:具有JWT令牌实现的Spring Boot API
04-09
**物业管理系统API基于JWT令牌的Spring Boot实现** 在现代Web应用程序开发中,安全性和权限管理是至关重要的。本文将深入探讨一个使用Java编程语言、Spring Boot框架和JSON Web Tokens(JWT)实现的物业管理API。...
ext-jwt-test:在 Node 和 ExtJS 5 中使用 JWT 令牌
06-23
1. **煎茶命令(Jasmine Command)**:Jasmine 是一个广泛使用的 JavaScript 测试框架,这里提到的“煎茶命令”可能是指运行 Jasmine 测试套件的命令,用于验证 JWT 令牌的实现是否正确。 2. **Node.js 版本要求**:...
JWT权限验证教程详解 代码实例
半亩方糖
12-01 2761
JWT介绍JWT代码实例 JWT介绍 JWT(JSON Web Token)是目前比较流行权限验证方案。其实它更像是一种规范。 平时基于session的验证方式 用户登录 服务器在当前会话(session)里面储存登录的信息比如用户名和id 服务器向用户返回一个session_id,写入用户的cookie(下一次用用户再次请求的时候的验证) 用户再次请求的时候带上cookie(session_id) ,服务器session_id查询之前储存的数据,得知用户身份. 但是session验证又2个问.
JWT详解
xiaokanfuchen86的博客
09-04 847
jwt
JWT基础用法
学习学习学习学习
10-12 502
JWT 基本用法 导包 <!--引入jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 创建token
SpringBoot整合JWT(二)
smiling
01-19 1736
JWT相关概念介绍: 1、头部信息 2、载荷信息 3、签名信息 一、头部信息:头部信息由两部分组成1、令牌的类型,即JWT;2、使用的签名算法,例如HMASSHA256或RSA; 头部信息JSON代码如下:然后这个JSON被编码为Base64URL,形成JWT的第一部分 { "alg": "HS256", "typ": "JWT" } 二、载荷信息:其中包含声明(claims),声明可以存放实体和其它数据的声明,声明包括三种类型 1、已注册声明:这些是一组预定义声明,不是强制性的,
JWT
weixin_43934513的博客
11-14 134
一.springboot后端 1.导入依赖 <!--jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency.
JWT笔记
qq_44799530的博客
06-04 219
** JWT ** 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digita
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT,springboot整合JWT完成token的验证,token的使用,java架构师技术栈
m0_64204730的博客
11-21 586
/** @author dugt1998@163.com @date 2020/11/8 12:40 */ public class JWTUtils { //签名 自己项目中的签名 private static final String SIGN = “token!@19weawe2r24@#$@%!wewa98du”; /** 生成token @param claim 传入的payload @return */ public static String getToken(M
JWT令牌详细解读
。。。。
07-05 3096
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
blazor server webapi jwt
05-15
Blazor Server是一个基于ASP.NET Core的Web应用程序框架,它允许使用C#和.NET在Web浏览器上构建交互式用户界面。...使用JWT还可以避免服务器存储用户会话信息的需求,因为所有必要的信息都包含在JWT令牌中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值