【JWT】令牌-概述&&基本使用

已于 2024-04-08 20:13:51 修改
阅读量804 收藏 21
点赞数 16
分类专栏: Security 文章标签: java 安全
于 2024-04-08 20:09:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63834571/article/details/137522019
版权

目录

JWT令牌的使用

1. 需求

​ 在实现系统登录功能的时候,我们需要实现用户完成一次登录之后,在后续的请求中不再需要反复登录,以前我们经常用到的技术是session

  • 即用户发出登录的请求到服务器。
  • 验证成功之后,创建session对象(用于存储数据)。
  • 服务器返回一个session对象的id到浏览器,浏览器以cookie的形式存储到浏览器端
  • 后续的浏览器的请求都携带这个cookie访问服务器就可以实现多次请求间的数据共享,包括登录状态

Alt

Alt

但是使用session存在以下缺点:

  1. session中与用户的会话数据是保存在服务器的内存中的,当session中的数据越来越大,会降低服务器运行的性能
  2. session无法用于集群环境,因为session是存储的服务器端的,这样子虽然安全,但集群环境中一般会布置多台服务器,用户在浏览器端二次请求使用的sessionID访问的不是第一次请求的服务器,就无法获取到session中的数据
  3. session底层是基于cookie实现的,cookie无法实现跨域(域指的是域名,即网址,只要协议、IP地址和端口号任意一个不同即为跨域)且cookie无法在移动端使用,这是浏览器出于安全禁止的。

​ 这时, JWT令牌技术就问世了,令牌技术将上面的问题基本都解决了,如下

  • 跨域问题:
    jwt令牌是无状态的,jwt令牌的编码所用的信息就有用户信息(如用户名和用户id等非敏感信息),因此,服务器不需要存储跟用户的会话信息,对jwt令牌解析之后,就可以确定该请求是否来自同一端,确保了服务器的安全问题。
    在跨域请求中,浏览器会自动检查请求的来源,如果不是同源的请求,会触发跨域安全机制导致请求被阻止。但通过使用令牌技术,可以将令牌作为请求的一部分发送,服务器接收到请求时会验证令牌的有效性,从而允许跨域请求。
  • 服务器存储压力:jwt令牌存储在浏览器端
  • PC和移动端都可以使用

2. 是什么

​ jwt令牌本质是一串字符串,由三部分组成,类似"xxx.yyy.zzz",前两部分(xxx.yyy)由json对象经过base64编码而来,“zzz”部分属于签名(通过加密算法和密钥生成的),jwt令牌由编码和加密而来,jwt令牌也可以被解析获取json对象中的信息,解析失败一般会导致程序的报错。
​ (参考课程笔记:javaweb)JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

  • 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{“alg”:“HS256”,“type”:“JWT”}

  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{“id”:“1”,“username”:“Tom”}

  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

3. 工作流程

Alt

4. 怎么用

  1. 导入maven坐标,junit不是一定要导入,后续只是用作测试

    		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

		 <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.13.2</version>
            <scope>test</scope>
        </dependency>

  2. 创建令牌(注意密钥的长度要稍微大点)

    @Test
    public void testGetJwt() {


        //模拟浏览器发请求携带的用户信息
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", "aimin");
        claims.put("password", "123456");

        String jwtToken = Jwts.builder()
                //设置签名加密算法和密钥
                .signWith(SignatureAlgorithm.HS256, "aimin")
                //设置声明,里面可以是一些自定义的信息
                .setClaims(claims)
                //设置token过期时间
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))
                //添加JWT 字符串由三部分组成,它们通过句点 . 分隔开来,分别是头部(Header)、载荷(Payload)、签名(Signature)。compact() 方法的作用是将这三部分合并成一个完整的 JWT 字符串,以便在网络传输中使用。
                .compact();
        System.out.println(jwtToken);

    }

  3. 解析令牌

     @Test
    public void testParserJwt(){

        Map<String, Object> claims = Jwts.parser()
                //输入密钥
                .setSigningKey("aimin")
                //输入令牌        		    .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsImV4cCI6MTcxMjUwNTQ0MCwidXNlcm5hbWUiOiJhaW1pbiJ9.2V277eqJo3gxiRgrxM3JbbKku6qez2WgsJ5dCE9kZP8")
                .getBody();

        		System.out.println(claims);


    }

指数反对数
关注
专栏目录
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt令牌使用
m0_57406300的博客
08-01 128
JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案将登陆的用户信息生成jwt串同时生成jwt存活时间。
JWT token令牌使用
weixin_54925172的博客
01-23 560
JWT简称 json web token, 也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON格式进行传输。在传输过程中可以完成数据的加密,签名等相关处理。
JWT令牌在项目中的实战操作
最新发布
2302_79840586的博客
07-23 1045
JWT,全称JSON Web Token,官网(),定义了一种间接的,自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。通俗来讲,我们可以通过JWT令牌来实现对于用户登录权限的校验以此达到安全性。
JWT 令牌使用
Leon_Jinhai_Sun的博客
12-18 137
JWT 令牌使用
JWT令牌使用
wptalenter的博客
05-21 677
1 JWT的结构 JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)一个例子如下: 下边是Header部分的内容 { "alg":"HS256", "typ":"JWT" } 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。 Payload 第二部分是负载,内容也是一个json对象,...
JWT令牌-概述&amp;&amp;基本使用
2401_84969363的博客
05-13 646
jwt令牌本质是一串字符串,由三部分组成,类似"xxx.yyy.zzz",前两部分(xxx.yyy)由json对象经过base64编码而来,“zzz”部分属于签名(通过加密算法和密钥生成的),jwt令牌由编码和加密而来,jwt令牌也可以被解析获取json对象中的信息,解析失败一般会导致程序的报错。​ (参考课程笔记:javaweb)JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)​ 在实现系统登录功能的时候,我们需要实现用户完成一次登录之后,在后续的请求中不再需要。
JWT令牌 JWT概述和简单使用
guohao_Kwok的博客
04-24 7157
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
Laravel 5.5 使用 Jwt-Auth 实现 API 用户认证、刷新令牌(一)
woqianduo的博客
11-16 9728
需求: 新项目,采用前后端分离的模式,前端使用 Vue.js,后端使用 Laravel 5.5构建 Api 服务,用户认证的包使用 jwt-auth 。 概述JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 更详细讲解地址:https://laravel...
yocto-jwt:管理jwt令牌,并基于jwt webtoken加密解密所有请求
05-17
此模块可以管理您应用程序上的Web令牌过程,也可以像加密工具一样使用。 我们可以像使用中间件一样使用它,只需使用预配置的密钥即可加密和解密所有json请求。 如果请求是允许的,您还可以检查每个json请求。 !!...
emqx启用JWT令牌认证(包含hmac-based和public-key)
虚幻私塾
10-15 1239
JWT 即 JSON Web Tokens是一种开放的,用于在两方之间安全地表示声明的行业标准的方法(RFC 7519)。emqx中hmac-based方式,表明 JWT使用对称密钥生成签名和校验签名(支持 HS256、HS384 和 HS512 算法),上述的JWT令牌使用的是SignatureAlgorithm.HS256,使用该方式验证,上述代码可以直接使用
node-js-jwt-authentication-postgresql
05-26
Node.js的基于令牌的身份验证概述PostgreSQLJWT身份验证示例使用JWT身份验证的注册和登录流程带有身份验证和授权技术的Node.js Express体系结构项目结构创建Node.js App设置Express Web服务器配置PostgreSQL数据库...
【记录】JWT令牌使用(两步即可)
weixin_54345825的博客
09-10 1317
【记录】JWT令牌使用
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1568
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
Day975.如何使用JWT结构化令牌 -OAuth 2.0
阿昌爱Java
06-13 913
OAuth 2.0 的核心是授权服务,更进一步讲是令牌,没有令牌就没有 OAuth,令牌表示的是授权行为之后的结果。一般情况下令牌对第三方软件来说是一个随机的字符串,是不透明的。大部分情况下,提及的令牌,都是一个无意义的字符串。但是,人们“不甘于”这样的满足,于是开始探索有没有其他生成令牌的方式,也就有了 JWT 令牌,这样一来既不需要通过共享数据库,也不需要通过授权服务提供接口的方式来做令牌校验了。这就相当于通过 JWT 这种结构化的方式,在做令牌校验的时候多了一种选择。
JWT令牌基础教程 全方位带你剖析JWT令牌,在Springboot中使用JWT技术体系,完成拦截器的实现 Interceptor (后附源码)
dream_ready的博客
10-18 438
此处只是定义,若想定义的拦截器发挥功能,需注册拦截器定义一个类,实现接口,并重写对应方法一般来说preHandle是必须要重写的,因为它在请求到达目标资源方法前期执行,是拦截器的核心在preHandle中进行JWT令牌的校验,并根据校验结果选择放行或拦截/*** 校验jwt* @return*/// 该方法在请求处理方法之前被自动调用System.out.println("当前线程的id:" + Thread.currentThread().getId());
JWT的简单说明与使用
jgdabc的博客
07-08 652
JWT是"JSON Web Token"的缩写,是一种用于在不同系统之间传输信息的开放标准。它通过将信息进行加密后生成一个安全令牌,以便在网络请求中进行身份验证和授权。具体来说,JWT可以用于以下几个方面:身份验证:当用户登录系统时,服务器会生成一个JWT并将其发送给客户端。客户端在后续的请求中携带JWT作为身份凭证,服务器可以根据JWT验证用户的身份信息,从而实现无状态的身份验证。授权:JWT中可以包含一些声明信息,如用户角色、权限等。
"SpringSecurity与shiro的使用及框架概述
认证器根据传入的令牌,将相应的认证信息导入Realm,从Realm获取到相应的认证数据。 那么什么是Realm呢?Realm的本质是一个特定的安全DAO(Data Access Object),它封装了数据源的连接详细信息,使Shiro所需的相关...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值