jwt单点登录

最新推荐文章于 2024-05-27 22:11:25 发布
最新推荐文章于 2024-05-27 22:11:25 发布
阅读量1.1k 收藏 4
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61682705/article/details/134514993
版权

 一、前言

在我们日常开发中登录是每个系统都要做的,对于单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

开一下传统登录:

单点登录:

 

通俗讲:用户登录一次,就可已访问系统里的其他子系统。 

二、JWT是什么


1.JWT的概况


通俗讲:就是一种生存字符串的规则叫JWT。JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。

 Token(令牌)属于无状态,因每个人制定的规则不同,生成的结果也不同。目前,多数人采用JWT为统一令牌标准,之后我也采用JWT作为token生成标准。

2.JWT的组成


jwt实例可以在该网站上获得解析结果:JSON Web Tokens - jwt.io

组成: 

 该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。

 每一个子串表示了一个功能块,总共有以下三个部分:JWT头有效载荷签名

JWT头:

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

{
    "alg": "HS256",
    "typ": "JWT"
}

 

在上面的代码中,

alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);

typ属性表示令牌的类型,JWT令牌统一写为JWT。

最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

有效载荷【用户信息】:

(通俗的讲就是用户信息)有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

上默认字段外,我们还可以自定义私有字段,如下例:

{
    "userId": "1234567890",
    "name": "zhangsan",
    "admin": true
}

 

请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。

JSON对象也使用Base64 URL算法转换为字符串保存。

签名哈希【防伪标志】:

签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
 

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)

Base64URL算法:
如前所述,JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。 作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/“和”=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法。

3.JWT的用法


客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时,也可以将JWT被放置于POST请求的数据主体中。

4.JWT优缺点

  • JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
  • 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
  • 存储在客户端,不占用服务端的内存资源
  • JWT默认不加密,但可以加密。生成原始令牌后,可以再次对其进行加密。
  • 当JWT未加密时,一些私密数据无法通过JWT传输。
  • JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
  • JWT本身包含认证信息,token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。

为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

三、Token实现单点登录(代码)

1.添加JWT依赖与JWT工具类

依赖:

       <!--  jwt依赖    -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

jwt工具类:

public class JwtUtils {
 
    //token过期时间
    public static final long EXPIRE = 1000 * 60 * 60 * 24;
 
    //秘钥,每个公司生成规则不一样
    public static final String APP_SECRET = "rikka六花";
 
    //生成token字符串方法,参数根据自己实际要求指定
    public static String getJwtToken(String id, String nickname) {
        String JwtToken = Jwts.builder()
                //设置jwt头信息,红色部分,内容固定,不需要改
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
 
                .setSubject("guli-user")//设置主题(可选)
                .setIssuedAt(new Date())//设置发布时间(可选)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))//设置过期时间
 
                //设置token主体部分,存储用户信息,可设置多个值
                .claim("id", id)
                .claim("nickname", nickname)
 
                //设置签名哈希(防伪标志)
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();
 
        return JwtToken;
    }
 
    /**
     * 判断token是否存在与有效
     *
     * @param jwtToken
     * @return
     */
    public static boolean checkToken(String jwtToken) {
        if (StringUtils.isEmpty(jwtToken)) return false;
        try {
            //根据设置的防伪码解析token
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }
 
    /**
     * 判断token是否存在与有效
     *
     * @param request
     * @return
     */
    public static boolean checkToken(HttpServletRequest request) {
        try {
            String jwtToken = request.getHeader("token");
            if (StringUtils.isEmpty(jwtToken)) return false;
            //根据设置的防伪码解析token
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }
 
    /**
     * 根据token获取id
     *
     * @param request
     * @return
     */
    public static String getMemberIdByJwtToken(HttpServletRequest request) {
        String jwtToken = request.getHeader("token");
        if (StringUtils.isEmpty(jwtToken)) return "";
        //根据设置的防伪码解析token,获取对象
        Jws<Claims> claimsJws =
                Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        //获取token有效载荷【用户信息】
        Claims claims = claimsJws.getBody();
        return (String) claims.get("id");
    }
 
 
}

2.编写登录方法

    @Override
    public String login(LoginVo loginVo) {
        //写你自己的具体登录逻辑:
        //1.判断参数是否为空
        ...
        //2.判断数据库是否存在该用户
        ...
        //3.判断加密后的密码参数和数据库是否一致
        ...
        //4.判断用户是否禁用
        ...
        //5.生成jwt令牌返回给前端
        return JwtUtils.getJwtToken(ucenterMember.getId(), ucenterMember.getNickname());
    }

 将JWT返回给前端,前端选择将令牌存入cookie或放进地址栏。之后每次都带着JWT发送请求,因为JWT有效载荷里存有id,所以下次后端可根据id查找对应用户信息返回。可根据是否有token判断是否登录,所以单点登录就实现了。 

十年(Sugar)
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
Security基本配置
weixin_70964512的博客
11-07 112
utils包下的JsonUtils,JwtUtils,RsaUtils。数据库,在数据库中加入userPojo,rolePojo类。RsaKeyProperties类需要在启动类注明。domain下的Payload包。对应的mapper.xml。
JWT+cookie单点登录
Isonion的博客
09-01 411
Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
单点登录JWT实现)
最新发布
weixin_62773644的博客
05-27 388
如果无效的话请求打回,浏览器自动发起登录请求,此时网关服务器将请求路由到登陆服务上,登陆服务根据用户的信息生成一个JWT令牌,然后返回给网关,网关再返回给浏览器,此时将JWT放到浏览器的cookie中,之后每次请求都会带着cookie中的JWT。在单体项目中,我们登陆之后可以把验证用户信息的值放入session中,单个tomcat中的session是可以共享的。主要是要在每次发起服务请求时经过一个专门用来拦截请求的服务器,这个服务器我们可以当作是网关,然后使用这个服务器来进行校验token是否有效。
SpringSecurity + Oauth2 + jwt实现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 1387
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurity oauth2 的出现帮我们解决了这个问题。本文采用oauth2 + jwt实现单点登录
JWT 单点登录探析:原理、用途与安全实践
沉梦听雨的博客
12-22 1206
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。通过数字签名的方式,以 JSON 对象为载体,在不同的服务终端之间安全的传输信息。JWT,因此,我们的。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。(JWT 存储在【客户端】)
基于JWT实现单点登录
热门推荐
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 785
什么是JSON Web Token(JWT)?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其...
JWT单点登录
weixin_45427945的博客
06-09 1665
JWT单点登录
JWT实现单点登录
Shu0Shuo的博客
05-15 1990
舔狗的自我修养:怕你(服务器)太累(装太多session数据),所以我来承担!!
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议使用vs2019,framework4.8版本。
JWT 单点登录
severl的博客
09-19 1601
JWT单点登录相关概念问题及基础操作介绍,附加面试题。
JWT实现单点登录(sso)功能
玩转Java
12-04 5651
单点登录描述: 单点登录主要时应用在微服务架构中,在任意一个子服务中输入用户的用户名,密码进行登录时, 在跳转到其他系统的时候,就无需在进行登录,直接可以识别出用户的身份,权限以及角色等信息 . . JWT:全称java web token, 本质时一组加密后的字符串 JWT有三部分组成: header + payload+ sign (头+载荷+签名), header记录: jwt使用的加密算法的类型,是一个json字符串,使用base64编码 payload载荷记录: 用户的用户名,用户角色,用户
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4223
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
微服务学习系列四:JWT单点登录
yangyanping20108的博客
03-03 488
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
java jwt 单点登录
06-06
java jwt 单点登录是指使用Java程序实现单点登录(SSO)功能时,使用JWT(JSON Web Token)技术来保证用户身份的安全性和有效性。 JWT是一个轻量级的开放标准,用于在网络上传输数据。其包含三部分:Header、Payload和Signature。Header包含算法和token类型;Payload包含用户信息、权限以及过期时间等;Signature则是对Header和Payload的签名,以确保这个JWT是可信的。 在实现Java JWT单点登录时,首先需要通过一个认证服务器来颁发JWT token。用户登录成功后,服务器会生成一个JWT并返回给客户端。客户端收到token后,可以保存在本地进行后续操作。当用户访问其他系统时,需要携带这个JWT token,系统会通过请求头中的token信息,验证用户的身份。 通过JWT单点登录技术,用户只需要登录一次即可访问多个系统,不需要重复登录,大大提高了用户体验和安全性。同时,JWT token的加密和解密需要使用相同的密钥,这也可以更好地保障用户信息的安全性。 在Java中,可以使用第三方库如jjwt来简化JWT token的生成和验证过程。同时也可以使用Spring Security等框架来实现JWT单点登录功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值