JWT结构详解与JWT设置

最新推荐文章于 2024-09-29 09:46:16 发布
最新推荐文章于 2024-09-29 09:46:16 发布
阅读量1.2k 收藏 23
点赞数 25
分类专栏: Java学习 文章标签: java 登录认证 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57861784/article/details/141678438
版权

JWT结构详解与JWT设置

1. 什么是token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务端生成一个token并返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。

2. 为什么要使用token

大家可能会想到,用服务器的session_id存储到cookies中也能做到,为什么非要用token呢?
个人觉得,开发web应用的话用哪种都行。但如果是开发api接口,前后端分离,最好使用token,因为 session + cookies 是基于web的。但是针对 api接口,需要考虑到移动端,app是没有cookies和session的。

3. 什么是JWT

JWT是 JSON Web Tokens 的简称,从单词可以看出它也是一种 token,其实可以理解为一种生成token的框架或规范。

4. JWT的格式

在这里插入图片描述

4.1 header

在这里插入图片描述
非常简单,typ顾名思义就是type的意思,例如上面这里就指明是JWT的类型。alg顾名思义是algorithm的意思,指代一个加密算法,例如上面指代HS256(HMAC-SHA256),这个算法会在生成第三部分signature的时候用到。

4.2 payload

payload 用来承载要传递的数据,它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为 claims
payload 的一个“属性值对”其实就是一个claim(要求),每一个 claim 都代表特定的含义和作用。
根据JWT的标准,这些 claims 可以分为以下三种类型:

  • Reserved claims(保留)
    它属于JWT标准里面规定的一些claim,就像是编程语言的保留字一样。JWT标准里面定义好的claim有:

    iss(Issuser):代表这个JWT的签发主体;
    sub(Subject):代表这个JWT的主体,即它的所有人;
    aud(Audience):代表这个JWT的接收对象;
    exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;
    nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的;
    iat(Issued at):是一个时间戳,代表这个JWT的签发时间;
    jti(JWT ID):是JWT的唯一标识。

  • Public claims,略(不重要)

  • Private claims(私有)
    这个指的就是自定义的claim。这些claim跟JWT标准规定的claim区别在于:

    • JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(即JWT的每个实现库都会参照这个描述来提供JWT的验证实现);
    • 而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行;
    • 按照JWT标准的说明:保留的claims都是可选的,在生成payload不强制用上面的那些claim;

4.3 signature

在这里插入图片描述
signature顾名思义就是签名,签名一般就是用一些算法生成一个能够认证身份的字符串,具体算法就是上面表示的,也比较简单,唯一说明的一点是上面 hash 方法用到了一个 secret,这个东西需要 客户端 和 服务端 双方都知道,相当于约好了同一把验证的钥匙,最终才好做认证。

最后,每个部分都做一个 base64url encoded 的转换,然后按照 header.payload.signature 这个格式串起来就行了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiJiMDhmODZhZi0zNWRhLTQ4ZjItOGZhYi1jZWYzOTA0NjYwYmQifQ.-xN_h82PHVTCMA9vdoHrcZxH-x5mb11y1537t3rGzcM

注意:JWT不保证数据不泄露,因为JWT的设计目的就不是数据加密和保护,而是为了认证来源。

5. JWT校验流程

最后再解释一下服务端 如何认证用户发来的JWT是否合法。

首先服务端和客户端必须要有个约定,例如双方同时知道加密用的 secret(这里假设用的就是简单的对称加密算法),那么在服务端 收到这个JWT时,就可以利用 JWT 前两段数据作为输入,用同一套 hash 算法和同一个 secret 自己计算一个签名值,然后把计算出来的签名值和收到的 JWT 第三段比较,如果相同则认证通过,如果不相同,则认证不通过。

就这么简单,当然,上面是假设了这个hash算法是对称加密算法,其实如果用非对称加密算法也是可以的,比方说我就用非对称的算法,对应的密钥就是一对,而非一个,那么一对公钥+私钥可以这样分配:私钥由客户端保存,公钥由服务端保存,服务端验证的时候,用公钥解密收到的 signature,这样就得到了 header 和 payload 的拼接值,用这个拼接值跟前两段比较,相同就验证通过。

6. JWT使用案例

6.1 token的创建

   /**
     * 初始化生成token的参数
     * @param userId
     * @return String
     */
    public String generateToken(String userId) {
        Map<String, Object> claims = new HashMap<>(1);
        claims.put("sub", userId);
        return generateToken(claims);
    }
 
    /**
     * 生成token
     * @param claims
     * @return String
     */
    private String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(this.generateExpirationDate())
                .setIssuedAt(this.generateCurrentDate())
                .signWith(SignatureAlgorithm.HS512, this.secret)
                .compact();
    }

6.2 判断token是否可以刷新

    public Boolean canTokenBeRefreshed(String token, Date lastPasswordReset) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(this.secret)
                    .parseClaimsJws(token)
                    .getBody();
            final Date iat = claims.getIssuedAt();
            final Date exp = claims.getExpiration();
            if (iat.before(lastPasswordReset) || exp.before(generateCurrentDate())) {
                return false;
            }
            return true;
        } catch (Exception e) {
            return false;
        }
    }

6.3 刷新token

public String refreshToken(String token) {
        String refreshedToken;
        try {
            final Claims claims = Jwts.parser()
                    .setSigningKey(this.secret)
                    .parseClaimsJws(token)
                    .getBody();
            refreshedToken = this.generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

6.4 token的校验

    public String verifyToken(String token) {
        String result = "";
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(this.secret)
                    .parseClaimsJws(token)
                    .getBody();
            result = TokenStatus.TOKEN_VALID;
        } catch (Exception e) {
            result = TokenStatus.TOKEN_INVALID;
        }
        return result;
    }

6.5 用户验证流程

用户登录

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public JSONResponse login(@RequestBody Map<String, String> map) {
        String loginName = map.get("loginName");
        String password = map.get("password");
        User user1 = new User();
        user1.setName(loginName);
        user1.setPassword(password);
        //身份验证是否成功
        boolean isSuccess = userService.checkUser(user1);
        if (isSuccess) {
            User user = userService.getUserByLoginName(loginName);
            if (user != null) {
                //生成token,返回给客户端
                String token = jwtUtil.generateToken(user.getId());
                if (token != null) {
                    return JSONResponse.ok(token);
                }
            }
        }
        //返回登陆失败消息
        return JSONResponse.info("登陆失败");
    }

拦截器验证

 @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String token = request.getHeader("access_token");
        //token是否存在
        if (null != token) {
            //验证token是否正确
            String result = jwtUtil.verifyToken(token);
            if(result.equals(TokenStatus.TOKEN_INVALID)){//无效
                outputStream(servletResponse,"token令牌无效...");
            }else{//有效令牌,需要重新刷新token,再将token传回客户端,客户端会拿着新的token进行访问
                String refreshedToken = jwtUtil.refreshToken(token);
                System.out.println("refreshedToken:"+refreshedToken);
                // Access-Control-Allow-Origin就是我们需要设置的域名
                // Access-Control-Allow-Headers跨域允许包含的头。
                // Access-Control-Allow-Methods是允许的请求方式
//                response.setHeader("Access-Control-Allow-Origin", "*");// *,任何域名
//                response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, DELETE");
                // response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type, Accept");
                // 允许请求头Token
                // httpResponse.setHeader("Access-Control-Allow-Headers","Origin,X-Requested-With, Content-Type, Accept, Token");
                // 允许客户端,发一个新的请求头jwt
//                response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With, Content-Type, Accept, jwt");
                // 允许客户端,处理一个新的响应头jwt
//                response.setHeader("Access-Control-Expose-Headers", "jwt");
                response.setHeader("access_token", refreshedToken);
            }
            filterChain.doFilter(request, response);
            return;
        }
        outputStream(servletResponse,"无token令牌...");
    }

    /**
     * @description: 向客户端返回响应信息(json格式)
     * @author wangdong
     * @date 2019/10/8 16:46
     */
    private void outputStream(ServletResponse servletResponse,String message){
        try{
            String string = JSON.toJSONString(JSONResponse.info(message));
            servletResponse.setContentType("application/json;charset=UTF-8");
            servletResponse.getOutputStream().write(string.getBytes("UTF-8"));
            servletResponse.getOutputStream().close();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
--------over
Sup星月★然
关注
专栏目录
详解JWT token心得与使用实例
01-21
token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该...
SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
【积累】,是一个长期持续的过程。
07-11 2506
JWT(全称JSONWebToken),在基于HTTP通信过程中,进行身份认证
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证JWT登录鉴权
什么是 JWT?它是如何工作的?
最新发布
江南一点雨的专栏
09-29 1316
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。服务端保存大量数据,增加服务端压力服务端保存用户状态,不支持集群化部署。
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 1万+
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
Tangzx_的博客
01-28 1万+
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
基于JWT.NET的使用(详解)
08-28
2. JWT结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature。 3. Header(头部) header承载两部分信息:声明类型和加密算法。通常直接使用HMAC SHA256,其它还有RS256等...
thinkphp框架使用JWTtoken的方法详解
10-16
与传统的基于Cookie-Session的验证方式相比,JWT在分布式系统和微服务架构中因其无状态的特性而显得尤为有用。 在ThinkPHP框架中使用JWT的优势包括: 1. 服务端不需要保存传统的会话信息,这样可以减轻服务器的存储...
JWT Token实现方法及步骤详解
09-07
JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成:Header、Payload 和 Signature,通过 Base64 编码后连接而成,通常用“.”分隔。 1. Header Header ...
JWT详解
weixin_44736637的博客
04-07 3万+
JWT
JWT详细讲解
m0_71012114的博客
10-19 6358
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 1万+
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
JWT详细解析
m0_65224643的博客
07-30 6538
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
什么是JWT??
as15282235592的博客
09-04 5554
JWT
JWT基本介绍
qq_51133939的博客
08-14 4948
JWT基本介绍
JWT的简单理解
qq_45464560的博客
03-31 2829
JWT入门学习什么是JWT(what)简单介绍JWT能做什么为什么使用JWT(why)传统Session认证的弊端JWT认证流程JWT认证的优势JWT结构1、Header2、Payload3、Signature如何在Java中使用JWT(how)入门使用 什么是JWT(what) 简单介绍 官网地址: https://jwt.io/introduction/ 翻译: json web token(JWT)是一个开放标准,它定义了一种紧凑的、自包含的方式,用于各方之间以JSON对象安全地传输信息。此信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值