Java实现登录验证 -- JWT令牌实现

已于 2024-07-03 09:23:43 修改
阅读量1.2k 收藏 21
点赞数 21
分类专栏: JavaEE进阶 文章标签: java python github
于 2024-07-02 16:56:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63440113/article/details/140127885
版权

目录

1.实现登录验证的引出

传统思路下:

  1. 登录页面把用户名和密码交给服务器。
  2. 服务器验证用户名和密码是否正确,并返回校验结果给后端。
  3. 如果密码正确,就会在服务器创建Session,通过Cookie把sessionId返回给客户端。

原因

但是在集群环境下,无法直接使用Session。因为如果只部署在一台机器时,容易发生单点故障(一旦这台服务器挂了,整个应用就无法访问),所以通常情况下,一个Web应用会部署在多个服务器上,通过Nginx等进行负载均衡。此时,来自一个用户的请求就会分发到不同的服务器上

在这里插入图片描述

  • 使用Session时:
    1. 用户登录: 用户登录请求,经过负载均衡发送给服务器1,服务器1进行用户名和密码验证,验证成功后,把Session存在了服务器1上。
    2. 查询操作:用户登录之后,携带Cookie(里面带有SessionId)继续执行查询操作,假如进行查询博客列表,此时请求经过负载均衡发到服务器2上,服务器2会先通过SessionId验证用户是否登录,此时第二台机器上没有该用户的Session,即出现查询不了的问题。

在这里插入图片描述

2.JWT令牌

JWT全称:JSON Web Token,用于客户端和服务器之间传递安全可靠的信息,本质是一个token,也叫token,令牌的本质就是一个字符串。相当于现在人们的身份证,出门在外验证身份的时候,拿出身份证即可。

2.1 使用JWT令牌时

  1. 用户登录 : 用户登录请求,经过负载均衡,把请求发给服务器1,服务器1进行账号密码验证,验证成功之后,生成一个令牌,并返回给客户端。
  2. 客户端收到令牌时,把令牌存储起来,可以存储在Cookie中,也可以存储在其它的存储空间,典型的如(localStorage)
  3. 查询操作 用户登录之后,携带令牌继续执行查询操作,假如查询博客列表,此时请求经过负载均衡发到服务器2,服务器2先进行权限验证操作。服务器验证令牌是否有效,如果有效,说明用户已经执行了登录操作,如果无效,说明用户之前未执行登录操作。

在这里插入图片描述

2.2 令牌的组成

令牌官网所示,token,本质上一个字符串中间使用 符号 点 . 来分割,令牌由三部分组成,header、payload和verify signature

在这里插入图片描述

  • 第一部分:Header(头),令牌的类型和使用的签名算法,如"alg": “HS256(哈希算法)”, “typ”: “JWT”。

  • 第二部分:Payload(负载),存放一些有效的信息(自定义信息,默认信息)如{“id”:“1”,“username”:“zhangsan”},还存在JWT提供的现场字段,如过期时间戳等。

  • 第三部分:Signature(签名),防止token被篡改,确保安全性

    签名的目的就是为了防止token被篡改,而正因为token最后一个部分签名存在,
所以整个token是非常安全可靠的,一旦token当中的任何一部分被修改,
整个token在校验的时候都会失败。

3. JWT令牌(token)生成和校验

3.1 引入JWT令牌的依赖

  • 在pom.xml文件中引入依赖
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt-api</artifactId>
			<version>0.11.5</version>
		</dependency>
		<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt-impl</artifactId>
			<version>0.11.5</version>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is
preferred -->
			<version>0.11.5</version>
			<scope>runtime</scope>
		</dependency>

3.2 使用Jar包中提供的API来实现JWT令牌的生成和校验

  • 生成token之后,获取token进行解析,创建解释器,设置签名密钥,如果解析token的claims内容不为null,说明校验成功,否则失败。
package com.example.blog.utils;

import com.example.blog.constant.Constants;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.io.Decoders;
import io.jsonwebtoken.io.Encoders;
import io.jsonwebtoken.security.Keys;
import lombok.extern.slf4j.Slf4j;

import javax.crypto.SecretKey;
import java.security.Key;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Slf4j
public class JwtUtils {
    // JWT过期时间
    public static final long JWT_EXPIRATION = 60*60*60*1000;
    // 生成key
    private static final String secretStr = "DuJXRS2W3AJHqyFhAplBmsPNawnEdFYFNmlNdMbyU9w=";
    private static final Key key = Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretStr));

    /**
     *  生成token
     */
    public static String genJwtToken(Map<String,Object> claim) {
        String token = Jwts.builder().setClaims(claim)
                .setExpiration(new Date(System.currentTimeMillis()+JWT_EXPIRATION))
                .signWith(key)
                .compact();
        return token;
    }


    /**
     *  校验token
     *  Claims 为空,表示jwt校验失败
     *
     */
    public static Claims parseToken(String token) {
        // 创建解析器,设置签名密钥
        JwtParser build = Jwts.parserBuilder().setSigningKey(key).build();
        Claims claims = null;
        try {
            // 解析token
            claims = build.parseClaimsJws(token).getBody();
        }catch (Exception e){
            log.error("解析token失败,token:{}",token);
            return null;
        }
        return claims;
    }
}

3.3 使用JWT令牌验证登录

在这里插入图片描述

3.4 令牌的优缺点

  1. 优点:
    • 解决了集群环境下认证的问题
    • 不需要在服务器端存储,从而减轻了服务器的存储压力
  2. 缺点:
    • 需要自己实现令牌的生成、传递、校验
水冠7
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java实现JWTToken认证机制
m0_75011249的博客
05-03 950
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims//为了方便测试,我们将过期时间设置为1分钟//当前时间//过期时间为1分钟.setSubject(“小白”)System.out.println(“签发时间:”+sdf.format(claims.getIssuedAt()));System.out.println(“过期时间:”+sdf.format(claims.getExpiration()));
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
现在,您可以利用以下方法来签名和验证JWT令牌: HMAC算法,提供机密文本(旧方法,自版本2.xx起可用) RSA算法,为密钥库提供公共密钥 现在已根据OIDC身份提供商提供的从有效JWKS uri下载的公钥对OpenID Connect...
java app token验证_App登陆java后台处理和用户权限验证
weixin_33467546的博客
02-12 838
最近做一个app项目,后台我独自一人开发,开发任务顺序安排上没有把登陆,注册和权限验证这些基本功能放在第一阶段开发,现在是部分业务相关功能已经完成,但是用户入口竟然还没有,只能说明当初需求分析的时候还是太过于着急了,把最基本的用户入口给放到后面了。现在就需要在现有代码的基础上添加用户登录权限验证功能。关于登录权限验证方面,参照以前做iOS的开发经验,App端提供用户名密码换取token,每次...
JAVA后端生成Token令牌),用于校验客户端
dongxing515的博客
07-15 1033
1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。 2.解决方法: ①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。 ②后端处理:对于每次提交到后台的数据必须校验,也就是通过前端携带的令牌(一串唯一字符串)与后端校验来判断当前数据是否有效。 3.总结:第一种方法相对来说比较简单,但是安全系数不高,第二种方法从根本上解决了
后端使用token进行校验用户
m0_60689237的博客
03-21 1315
在现在的开发中,token已经成为了校验用户的非常重要的一部分。但在使用token时,有些时候可能会遇到一些问题,故此,我写下这篇文章以供大家参考。
Java基于JWT实现Token登录验证
HRSR1314的博客
11-18 1296
Java基于JWT实现Toekn登录验证,内部有自定义注解,HandlerInterceptor、WebMvcConfigurer用法。
Java使用JWT
热门推荐
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 2454
2、后端核对用户名密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
Java JWT Token 生成验证
weixin_44647098的博客
05-18 626
导入maven 依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.11.0</version> </dependency>
Java令牌Token登录与退出的实现
08-19
在上面的代码中,我们使用Java-JWT生成一个JWT令牌,包含用户的身份信息和有效期限。我们使用HMAC256算法来签名令牌,并将其返回为字符串。 在Java令牌Token登录与退出的实现中,我们还需要实现令牌验证和管理...
java-jwt:JSON Web令牌JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
JWT 生成Token验证
01-22
JWT生成token验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份验证标准,它允许信息在多个服务之间安全地传输,而无需在服务器上存储会话信息。JWT...
springboot-react-jwt:JSON Web令牌React Spring Boot示例
02-05
JSON Web令牌JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘密(使用HMAC...
spring-security-jwt-demo.zip
11-19
- 测试登录接口,验证JWT生成验证流程。 6. 注意事项: - JWT的过期时间和安全性设置非常重要,避免长时间有效的JWT,以防被恶意使用。 - 对于敏感操作,如修改密码,应使用刷新令牌或者重新登录获取新JWT。 ...
Java生成JWT令牌
ltt159264的博客
04-04 318
②如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,令牌非法。注意事项:①JWT校验时使用的签名密钥,必须和生成JWT令牌时使用的密钥是配套的。
JAVA实现JWT
l_learning的博客
04-24 1827
JWT介绍 详情访问官网https://jwt.io/ JWT是什么 JSON Web TokenJWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。 虽然 JWT 可以被加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌会对其他方隐藏这些声
Java实现JWT
天涯明月
10-19 2554
JWT(JSON Web Token) JWT在web环境中通常作为一种用户凭证,它是一个以.分隔,由heaer.payload.signature组成的字符串,其中每个部分都经过Base64编码。header包含token采用的算法、类型(JWT)、KeyId等信息,payload中包含token的发行人iss、过期时间exp、业务信息等(比如用户ID、昵称等),signature是对(header.payload)的Base64组合串用密钥加密得到的摘要,代表header.payloa....
java 实现JWT 验证token
05-27
为了实现JWT验证token,可以按照以下步骤: 1.在服务端生成JWT,并在其中包含所需的信息(如用户ID、过期时间等)。 2.将JWT发送给客户端,并存储在客户端的本地存储或Cookie中。 3.客户端在每个请求的Authorization标头中将JWT发送回服务器。 4.服务端验证JWT是否有效,并检查其中包含的信息是否与请求匹配。 5.如果JWT有效,则服务端响应请求,否则返回错误响应。 下面是一个Java实现JWT验证token的示例代码: ``` import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JWTUtil { //设置token过期时间为30分钟 private static final long EXPIRATION_TIME = 30 * 60 * 1000; //设置加密密钥 private static final String SECRET_KEY = "secret_key"; //生成token public static String generateToken(String subject) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + EXPIRATION_TIME); String jwt = Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); return jwt; } //解析token public static String parseToken(String jwt) { String subject = null; try { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(jwt).getBody(); subject = claims.getSubject(); } catch (Exception e) { //token验证失败 } return subject; } } ``` 在这个示例代码中,我们使用了JWT库来生成和解析JWT,同时使用了HS256算法来对JWT进行签名和密钥验证。在generateToken方法中,我们设置了令牌的主题、签发时间和过期时间,并使用密钥对令牌进行签名。在parseToken方法中,我们验证令牌的签名,并从其主题中提取用户ID。可以根据需要进行修改来适应具体的应用场景。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值