什么是 JWT -- JSON WEB TOKEN,字节Java高工面试

最新推荐文章于 2024-11-01 14:28:11 发布
最新推荐文章于 2024-11-01 14:28:11 发布
阅读量188 收藏
点赞数
分类专栏: 程序员 文章标签: 后端 面试 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60607171/article/details/119582092
版权

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:


{

  "sub": "1234567890",

  "name": "John Doe",

  "admin": true

}

然后将其进行base64加密,得到Jwt的第二部分。


eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

3、signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)```

    fetch(‘api/user/1’, {

    headers: {

    'Authorization': 'Bearer ' + token

    }

    })

  • payload (base64后的)

  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。


// javascript

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);



var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:


 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

八、如何应用

一般是在请求头里加入Authorization,并加上Bearer标注:

服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:

九、JWT工具类


@Configuration

@ConfigurationProperties(prefix = "jwt.token")

public class JwtTokenUtil {

    public static void setSecret(String secret) {

        JwtTokenUtil.secret = secret;

    }



    public static void setExpiration(int expiration) {

        JwtTokenUtil.expiration = expiration;

    }



    private static String secret="winner";

    private static int expiration=7200;

    private static final String CLAIM_KEY_USERNAME="sub";

    private static final String CLAIM_KEY_ID="id";

    private static final String CLAIM_KEY_CREATED="created";

    private static final String CLAIM_KEY_ROLES="roles";



    //获得的token中得到用户

    public static String getUsernameFromToken(String token){

        String username;

        try {

            username=getClaimsFromToken(token).getSubject();

        }catch (Exception e){

            username=null;

        }

        return username;

    }



    //获得token中的时间

    public static Date getCreatedDateFromToken(String token){

        Date date;

        try {

            final Claims claims=getClaimsFromToken(token);

            date=new Date((Long)claims.get(CLAIM_KEY_CREATED));

        }catch (Exception e)

        {

            date=null;

        }

        return date;

    }



    //从token中获得过期时间

    public static Date getExpirationDateFromToken(String token) {

        Date expiration;

        try {

            final Claims claims = getClaimsFromToken(token);

            expiration = claims.getExpiration();

        } catch (Exception e) {

            expiration = null;

        }

        return expiration;

    }



    //解析token

    private static Claims getClaimsFromToken(String token){

        Claims claims;

        try {

            claims = Jwts.parser().setSigningKey(secret).parseClaimsJwt(token).getBody();

        }catch(ExpiredJwtException e){

            claims=e.getClaims();

        }

        return claims;

    }



    //生成过期时间

    private static Date generateExpirationDate(){

        //过期事件



        return new Date(System.currentTimeMillis()+ expiration);

    }



    //userDetails中的信息加入到token并调用generateToken生产token

    public static String generateToken(Employee userDetails){

        Map<String,Object> claims=new HashMap<>();

        claims.put(CLAIM_KEY_USERNAME,userDetails.getUsername());

        claims.put(CLAIM_KEY_CREATED,new Date());

        claims.put(CLAIM_KEY_ID,userDetails.getENo());

        claims.put(CLAIM_KEY_ROLES,userDetails.getRoles());

        return generateToken(claims);

    }

//            Jwts.builder()

//            .setClaims(map)

                .claim("authorities","admin")

//            .setExpiration(new Date(System.currentTimeMillis() + 7 * 60 * 1000))

//            .signWith(SignatureAlgorithm.HS512, "tmax")

//            .compact();

    //生产token

    public static String generateToken(Map<String,Object> claims){

        return Jwts.builder()

//                .claim("xx","xxx")

                .setClaims(claims)

                .setExpiration(generateExpirationDate())

                .signWith(SignatureAlgorithm.HS512,secret)

                .compact();

    }



    //判断是否在是否在过期时间之前

    private static Boolean isTokenExpired(String token){

        final Date expiration=getExpirationDateFromToken(token);

        return expiration.before(new Date());

    }



    //判断是否可以刷下

    public static Boolean canTokenBeRefreshed(String token){

        return !isTokenExpired(token);

    }



    //刷新token把CLAIM_KEY_CREATED刷新了

    public static String refreshToken(String token){

        String refreshedToken;

        try{

            final Claims claims=getClaimsFromToken(token);

            claims.put(CLAIM_KEY_CREATED,new Date());

            refreshedToken=generateToken(claims);

        }catch(Exception e){

            refreshedToken=null;

        }

        return refreshedToken;

    }

	

	//判断token是否过期,是否可用

    public static Boolean validateToken(String token, UserDetails userDetails){

        Employee user=(Employee)userDetails;

        final String username=getUsernameFromToken(token);

        final Date created=getCreatedDateFromToken(token);

        return username.equals(user.getUsername())&&isTokenExpired(token);

    }



# **读者福利**

读到这的朋友还可以免费领取一份收集的Java进阶知识笔记和视频资料。

**[资料免费领取方式:关注后,点击这里即可免费领取](https://gitee.com/vip204888/java-p7)**

![秋招我借这份PDF的复习思路,收获美团,小米,京东等Java岗offer](https://img-blog.csdnimg.cn/img_convert/e666ea8d298a3797799d0d0706631c64.png)

**更多笔记分享**

![秋招我借这份PDF的复习思路,收获美团,小米,京东等Java岗offer](https://img-blog.csdnimg.cn/img_convert/50509b2b55697dfab9e3c8453fd302ff.png)

![秋招我借这份PDF的复习思路,收获美团,小米,京东等Java岗offer](https://img-blog.csdnimg.cn/img_convert/3ca1624f959d70fa1a111ad91d49f39d.png)

 created=getCreatedDateFromToken(token);

        return username.equals(user.getUsername())&&isTokenExpired(token);

    }



# **读者福利**

读到这的朋友还可以免费领取一份收集的Java进阶知识笔记和视频资料。

**[资料免费领取方式:关注后,点击这里即可免费领取](https://gitee.com/vip204888/java-p7)**

[外链图片转存中...(img-JHSWRSC8-1628610226031)]

**更多笔记分享**

[外链图片转存中...(img-L478RSmU-1628610226034)]

[外链图片转存中...(img-g1GHnIw7-1628610226035)]
m0_60607171
关注
专栏目录
JWT token心得与使用实例
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
JWT---Json Web Token
龙梓琦的博客
04-22 1675
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
JWT Token 如何运作? 面试准备(Java + 前端)
zhirongwang94的博客
08-03 302
直接上图: 四个步骤: 一、client(browser)访问login page, 输入登录信息,若信息无误,server就会generate一个jwt token. 二、server将JWT token发到client side, 浏览器就会将该 JWT token 保存起来。之后每次与server交流,都会携带jwt token。 三、如果client要访问一些特权服务(如VIP服务,编辑权限),server会先检查验证浏览器所携带的jwt token。 四、然后server返回对应的结果到浏览器。
传统tokenJwt区别及优缺点
qq_41369135的博客
05-08 4551
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
浅析JWT原理及牛客出现过的相关面试
Kixuan214的博客
07-25 1442
总结jwt相关原理及牛客出现的面试题(含答案)
4、JWT常见面试总结
Java__EE小白成长之路
09-01 1762
关于JWT面试看它就够了
php-jwt:JWTJSON Web Token)生成器、解析器、验证器和验证器的 PHP 实现
05-29
PHP-JWT 是一个用 PHP 编程语言编写的包,用于编码(生成)、解码(解析)、验证和验证 JWTJSON Web 令牌)。 它提供了一个流畅、易于使用和面向对象的界面。 由确认。 文档 版本号 2.xx (LTS) 1.xx(不支持) ...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
快速入门:使用Express-JWTJSON Web Token保护你的Node.js应用
01-30
在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwtjsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。
js代码-JWTjson-web-token)-认识与学习
07-15
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在JavaScript(JS)环境中,JWT...
基于JWTToken认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web TokenJWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
JWT面试常见问题
Mingju's Blog
11-12 1万+
JWT面试常见问题 jwt和security的对比: JWT的优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 JWT的缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服...
JWT面试
maotou526的博客
05-11 2495
一、JWT出现的原因 1.1 http无状态协议 http是无状态的协议,也就是说当客户端发来请求时,服务端并不清楚该请求是哪台主机发出的,因此需要有一种识别和鉴定机制来实现这一需求 1.2 传统上是采用给用户分配唯一session_id的方式实现这一需求 1)客户端登录成功后,服务器会给每一台主机分配一个唯一的session_id,用来区分他们,除了存入服务器的缓存,数据库或者内存中,还会把这个session_id返回给相应的主机, 2)主机收到session_id后会存入cookie中,以后主机的每一次
jwt无状态登陆常见面试问题总结
weixin_51291483的博客
10-21 1783
1.Jwt和Spring Security的对比: JWT的: 优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 有利于水平扩展 缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服务端,服务端可以对用户状态绝对控制 基于Spring,无缝整合,修改登录逻辑,其实就是添加过
面试官:谈谈JWT鉴权的应用场景及使用建议?
架构师小秘圈
04-20 4025
作者:mantou叔叔 || 编辑:搜云库技术团队出处:https://dwz.cn/7bikj3yk1. JWT 介绍JSON Web TokenJWT)是一个开放式...
Cookie、Session、TokenJWT
kagurawill的博客
12-30 1542
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
Vue项目中动态路由与权限控制:router.beforeEach的使用及无token重定向登录页
Jiaberrr的博客
10-31 591
本文将详细介绍在Vue项目中如何使用router.beforeEach钩子函数动态添加权限路由,并在没有token时重定向到登录页,从而实现路由权限控制。
Nginx安装配置详解
最新发布
qq_40851623的博客
11-01 654
轻量级的Web服务器,主要有反向代理、负载均衡的功能。能够支撑5万的并发量,运行时内存和CPU占用低,配置简单,运行稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值