JWT详解

最新推荐文章于 2023-08-05 15:56:10 发布
最新推荐文章于 2023-08-05 15:56:10 发布
阅读量425 收藏
点赞数
分类专栏: 微服务 文章标签: spring boot json spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63040701/article/details/130728894
版权

JWT详解

传统的session认证

安全性

CSRF攻击因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

扩展性

对于分布式应用,需要实现 session 数据共享

性能

每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大,与REST风格不匹配。因为它在一个无状态协议里注入了状态

JWT

官网

https://jwt.io/

JWT

JWT是一种用于双方之间传递安全信息的简洁的、URL安全的声明规范。定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。特别适用于分布式站点的单点登录(SSO)场景

优点:

无状态

适合移动端应用

单点登录友好

原理

服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样

{

 "姓名": "张三",

 "角色": "管理员",

 "到期时间": "2030年7月1日0点0分"

}

注意

用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候会加上签名,服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展

JWT的结构

头部(header)/载荷(payload)/签证(signature)

它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行

JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面

JWT项目搭建

创建maven项目,名字为cloud-jkw

pom.xml

<dependencies>
        <!-- JWT -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.79</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.7.0</version>
        </dependency>
        <!-- redis -->
<!--        <dependency>-->
<!--            <groupId>org.springframework.boot</groupId>-->
<!--            <artifactId>spring-boot-starter-data-redis</artifactId>-->
<!--        </dependency>-->
        <!-- eureka client -->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
        </dependency>
        <!-- Actuator-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
        <!-- SpringMVC -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.22</version>
        </dependency>
    </dependencies>

application.yml

server:
  port: 6500
spring:
  application:
    name: cloud-jwt
eureka:
  client:
    service-url:
      defaultZone: http://localhost:7001/eureka/

启动类

@SpringBootApplication
@EnableEurekaClient
public class Jwt6500 {
    public static void main(String[] args) {
        SpringApplication.run(Jwt6500.class,args);
    }
}

Jwt工具类

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import java.util.Date;

/**
 * JWT工具类
 */
public class JWTUtil {
    //签发人
    private static final String ISS_USER="jkw";
    //令牌过期时间(五分钟)
    private static final long TOKEN_EXPIRE_TIME=5*60*1000;
    //签名秘钥(最好写的复杂一点)
    private static final String KEY="jkw-123456";
    /**
     * 生成令牌(签名)
     * @return
     */
    public static String token(){
        Date now=new Date();//时间
        Algorithm algorithm_key=Algorithm.HMAC256(KEY);//加密秘钥
        //创建JWT
        String token = JWT.create()
                //签发人
                .withIssuer(ISS_USER)
                //签发时间(当前时间)
                .withIssuedAt(now)
                //过期时间(当前时间+过期时间)
                .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME))
                //加密过的签名秘钥
                .sign(algorithm_key);
        return token;
    }

    /**
     * 校验令牌(签名)
     * @param token 传来的令牌
     * @return
     */
    public static boolean verify(String token){
        try {
            Algorithm algorithm_key=Algorithm.HMAC256(KEY);//加密秘钥
            //校验令牌(校验 签发人/签名秘钥)
            JWTVerifier verifier = JWT.require(algorithm_key)
                    //签发人
                    .withIssuer(ISS_USER)
                    .build();
            verifier.verify(token);
            return true;
            //如果校验有问题,就会抛出异常
        }catch (IllegalArgumentException e){
            e.printStackTrace();
        }catch (JWTDecodeException e){
            e.printStackTrace();
        }
        return false;
    }
    //测试
    public static void main(String[] args) {
        //1.生成令牌
        //String token = token();
        //System.out.println(token);
        //eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ5dWx1IiwiZXhwIjoxNjc4MjAwMDM1LCJpYXQiOjE2NzgxOTk3MzV9.al7qL_RHDvLHLx38J-5WGcsrK9UnDEpSWM1L0I3iWT4
        boolean verify = verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ5dWx1IiwiZXhwIjoxNjc4MjAwMDM1LCJpYXQiOjE2NzgxOTk3MzV9.al7qL_RHDvLHLx38J-5WGcsrK9UnDEpSWM1L0I3iWT4");
        System.out.println(verify);
    }
}

统一返回结果集

/**
 * 统一返回结果实体类
 */
@Data
@AllArgsConstructor
public class BaseResult<T> implements Serializable {
    //状态码(成功:200,失败:其他)
    private Integer code;
    //提示信息
    private String message;
    //返回数据
    private T data;
    //构建成功结果
    public static <T> BaseResult<T> ok(){
        return new BaseResult(CodeEnum.SUCCESS.getCode(),CodeEnum.SUCCESS.getMessage(),null);
    }
    //构建带有数据的成功结果
    public static <T> BaseResult<T> ok(T data){
        return new BaseResult(CodeEnum.SUCCESS.getCode(),CodeEnum.SUCCESS.getMessage(),data);
    }

}
@Getter
@AllArgsConstructor
public enum CodeEnum {
    // 正常
    SUCCESS(200, "OK"),
    // 系统异常
    SYSTEM_ERROR(500, "系统异常"),
    // 业务异常
    PARAMETER_ERROR(601, "参数异常"),
    INSERT_PRODUCT_TYPE_ERROR(602, "该商品类型不能添加子类型"),
    DELETE_PRODUCT_TYPE_ERROR(603, "该商品类型有子类型,无法删除"),
    UPLOAD_FILE_ERROR(604, "文件上传失败"),
    /**
     * user
     */
    REGISTER_CODE_ERROR(605,"验证码不正确"),
    REGISTER_REPEAT_PHONE_ERROR(606,"手机号已存在"),
    REGISTER_REPEAT_NAME_ERROR(607,"用户名已存在"),
    LOGIN_NAME_PASSWORD_ERROR(608,"用户名或密码错误"),


    LOGIN_CODE_ERROR(609,"验证码不正确"),
    VERIFY_TOKEN_ERROR(610,"签名解析失败"),

    QR_CODE_ERROR(611,"二维码错误"),
    CHECK_SIGN_ERROR(612,"验签失败"),
    NO_STOCK_ERROR(613,"库存不足"),
    ORDER_EXPIRED_ERROR(614,"订单过期")
    ;


    private final Integer code;
    private final String message;
}

控制器接口

@RestController
@RequestMapping("/user")
public class UserController {
    /**
     * 登陆
     * @param username 用户名
     * @param password 密码
     */
    @PostMapping("/login")
    public BaseResult login(String username, String password){
        //1.验证用户名和密码
        if("user".equals(username)&&"user".equals(password)){
            //2.生成令牌
            String token = JWTUtil.token();
            return BaseResult.ok(token);
        }else {
            return new BaseResult(CodeEnum.Login_ERROR.getCode(), CodeEnum.Login_ERROR.getMessage(), null);
        }
    }
}

访问post【postman测试】

localhost:6500/user/login?username=jkw&password=jkw

配置路由

#cloud-jwt
- id: cloud-jwt
  uri: lb://cloud-jwt
  predicates:
    - Path=/user/*

访问post

localhost:9527/user/login?username=jkw&password=jkw

月木@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT简单介绍与使用
weixin_51980047的博客
07-27 2187
JWT简单介绍与使用
快速了解什么是jwt及如何使用jwt
最新发布
weixin_72997875的博客
10-14 249
JWT(JSON Web Token)是一种用于在网络应用间安全传递声明(claim)的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部主要包含了用于描述 JWT 类型以及所使用的签名算法的信息。载荷包含了需要传递的声明(claim),比如用户身份、权限等信息。签名则是对头部、载荷和一个密钥进行的签名,用于验证数据的完整性。1.1 Header这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;
JWT & Token
木子
08-26 198
JWT的使用场景 前后端分离项目(移动APP、小程序、H5) JWT分为三部分: 1. header 头部 加密算法 使用base64编码格式 Alg:HS256 标准中注册的声明 (建议但不强制使用) • iss: jwt签发者 • sub: jwt所面向的用户 • aud: 接收jwt的一方 • exp: jwt的过期时间,这个过期时间必须要大于签发时间 • nbf: 定义在什么时间之前,该jwt都是不可用的. • iat: jwt的签发时间 • jti: jwt的唯一身份标识,主要用来作为一次性tok
JWT令牌 创建JWT、和解析JWT
hyj7_7的博客
08-05 462
【代码】JWT令牌 创建JWT、和解析JWT
JWT介绍
m0_53151031的博客
11-21 1236
一、JWT出现的原因以及工作原理 1、JWT的定义: JSON Web Token (JWT),是目前最流行的跨域身份验证解决方案 二、JWT工具类的介绍以及三种场景 三、JWT与vuex在SPA项目中的应用
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
thinkphp框架使用JWTtoken的方法详解
10-16
主要介绍了thinkphp框架使用JWTtoken的方法,结合实例形式分析了JWTtoken的功能、原理及thinkPHP使用JWTtoken实现签名验证的相关操作技巧,需要的朋友可以参考下
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
Jwt
m0_63300795的博客
09-04 1591
这篇小案例采用的是模仿网银一类...如果用户在程序规定的时间不请求后端就会失效。
JSON WEB TOKEN
weixin_34273481的博客
03-19 725
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
API接口之JWT设置token过期时间(二)
尼古拉斯大树的博客
10-11 6万+
目录 1.什么是Jwt 2.token是什么 3.为什么要使用token 4.如何实现token 5.JWT的简单案例 6.API接口token案例 6.1 token的创建 6.2 用户验证流程 7.测试流程 7.1 项目地址 7.2 表结构 1.什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成tok...
畅购商城:微服务网关和JWT令牌(下)
夏野和弦的博客
02-24 699
畅购商城文章系列 畅购商城:分布式文件系统FastDFS 畅购商城:商品的SPU和SKU概念 畅购商城:Lua、OpenResty、Canal实现广告缓存 畅购商城:微服务网关和JWT令牌(上) 畅购商城:微服务网关和JWT令牌(下) 目录畅购商城文章系列目标 目标 了解加密算法 了解JWT鉴权的介绍 掌握JWT的鉴权的使用 掌握网关使用JWT进行校验 ...
jwt 的签发 和 jwt 的验证
phpfzh的博客
09-12 2465
jwt 文档地址:https://github.com/auth0/java-jwt
签发的用户认证token超时刷新策略
tomsun28
05-15 3万+
签发的用户认证token超时刷新策略 这个模块分离至上上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 对于登录的用户签发其对应的jwt,我们在jwt设置他的固定有效期时间,在有效期内用户携带jwt访问没问题,当过有效期后jwt失效,用户需要重新登录获取新的jwt。这个体验不太好,好的体验应该是:活跃的用户应该在无感知的情况下在jwt失效后获取到...
浅谈JWT
-
04-12 167
JWT 常见的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量...
jwt(json web token)
prigilm的博客
11-04 431
Python之jwt(json web token) 一、什么是jwt 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 jwt全称json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
本资源是一份关于Cookie、Session、Token和JWT的详细对比和深入解析的前端笔记。笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

月木@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值