JWT的简介和在Springboot中使用JWT进行加密+++=>工具类

最新推荐文章于 2024-06-13 18:53:47 发布
最新推荐文章于 2024-06-13 18:53:47 发布
阅读量1.3k 收藏 1
点赞数 1
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65041486/article/details/126446296
版权

简介:

        Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

官网:JSON Web Tokens - jwt.io

组成结构:

它是一个很长的字符串,中间用点(.)分隔成三个部分。
分别为:Header(头部);Payload(负载);Signature(签名);
Header部分:该部分为一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
{
  "alg": "HS256",
  "typ": "JWT"
}
alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串。

Payload 部分:也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息(密码,手机号等)放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。
Signature 部分:对前两部分的签名,防止数据篡改。

钥匙:一个字符串 秘钥    abcdefg   对称加密    非对称加密 A  B

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
 HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

JWT 的使用方式:

第一种方式:客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。
Authorization: Bearer jwt

第二种方式:跨域的时候,JWT 就放在 POST 请求的数据体里面。

Springboot使用JWT:

pom文件添加JWT依赖:

<!-- 添加jwt的依赖 -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.11.0</version>
</dependency>

测试方法:

获取token
    public static String createToken(Long userId) {
        // 生成的时间
        Date createTime = new Date();
        // 创建过期时间1天
        Calendar nowTime = Calendar.getInstance();
        // 当前时间加上 1天
        nowTime.add(Calendar.DATE, 1);
        // 得到过期时间
        Date expireTime = nowTime.getTime();
        // 设置header信息
        HashMap<String, Object> header = new HashMap<>(4);
        header.put("alg", "HS256");
        header.put("typ", "JWT");
        // 生成token
        String token = JWT.create()
                .withHeader(header) // 设置头部
                .withClaim("userId", userId) // 设置载荷
                .withClaim("username", "cxs")
                .withIssuedAt(createTime) // 创建时间
                .withExpiresAt(expireTime)  // 过期时间
                .sign(Algorithm.HMAC256("cxs-jwt")); // 设置签名秘钥
        return token;
    }

解析token
public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            // 根据签名解密
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("cxs-jwt")).build();
            // 得到jwt对象
            jwt = jwtVerifier.verify(token);
        } catch (Exception e) {
            e.printStackTrace();
        }
        // 拿到载荷
        Map<String, Claim> claims = jwt.getClaims();
        return claims;
    }

JWT工具类:

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.stereotype.Component;

import java.util.Calendar;
import java.util.Map;

@Component
public class JwtUtils {
    /** 盐值*/
    private static final String SING="你猜这里写什么";

    //生成令牌
    //存储载荷声明参数map:map集合中为需要token加密的信息
    public static String getToken(Map<String,String> map){
        //获取日历对象
        Calendar calendar=Calendar.getInstance();
        //默认7天过期
        calendar.add(Calendar.DATE,7);
        //新建一个JWT的Builder对象
        JWTCreator.Builder builder = JWT.create();
        //将map集合中的数据设置进payload
        map.forEach((k,v)->{
            builder.withClaim(k, v);
        });
        //设置过期时间和签名
        String sign = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SING));
        return sign;
    }
    /**
     * 验签并返回DecodedJWT
     * @param token  令牌
     */
    public  static DecodedJWT getTokenInfo(String token){
        return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }

}

总结:JWT就是一个加密的带用户信息的字符串

小胡不吃芹菜
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT加密算法原理及实现
禅与计算机程序设计艺术
10-03 1155
作者:禅与计算机程序设计艺术 1.简介 JSON Web Token(JWT)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。该规范允许用户将登录 credentials 和 session state 作为 JSON 对象进行加密,这些信息可以被验证但无
SpringBoot+JWT登录校验,以及JWT刷新机制
Slience Wind
08-15 7841
接上篇博客,继续讲解JWT使用。 本部分内容主要是SpringBoot项目具体使用JWT的代码实现,包括了登录创建Token,后续请求验证Token,并且加入了JWT刷新机制等等。 本文大纲: 1.JWT的引入 2.JWT工具类的实现 3.登录申请Token 4.请求验证Token 5.JWT刷新机制的实现 注意:本文注重使大家理解JWT如何在SpringBoot项目集成和使...
SpringBoot使用JWT的实现方法
08-26
主要介绍了在SpringBoot使用JWT的实现方法,详细的介绍了什么是JWTJWT实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Express实战构建后台接口(jwt/加密/token)
05-30
本系列课程会带大家使用Express构建后端接口文档!包括jwt/token/加密等核心知识点!
JWT加密解密
最新发布
weixin_53520295的博客
06-13 1192
JWT加密解密
Spring-Boot实现jwt加密
zhzxd的博客
06-08 676
1、减轻服务端压力。2、查询效率比token高。3、不容易被客户端篡改数据。1、如果一旦生成好一个jwt之后,后期是否可以销毁2、Jwt playload数据多,占据服务器端带宽资源jwt不是很安全,playload不能存放敏感的信息,必要须加密
Jwt Token 加密
Continue_Python的博客
07-11 966
token生成
JWT加密详解
qq_37647812的博客
10-07 3537
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
JWTSpringBoot的应用
芸灵fly的博客
03-17 1389
说明 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认...
SpringBoot+shiro+redis+jwt .zip
01-03
7. `TokenManager.java`:JWT生成和验证的工具类,通常包括JWT的签发和解析方法。 这个项目实例将帮助开发者理解如何在`SpringBoot`集成`Shiro`、`JWT`和`Redis`,实现一套完整的鉴权流程。通过对这些组件的实践...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
在现代Web应用开发,确保用户安全登录和权限管理至关重要。Spring Boot结合Spring Security和JWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统...
SpringBoot集成Shiro、Jwt和Redis
10-24
SpringBoot结合Shiro使用Jwt,可以在用户登录成功后生成一个Jwt Token,然后将其返回给客户端。客户端每次请求时带上Token,服务器端验证Token的有效性,以此实现无状态的身份认证。 **Redis** 是一个高性能的...
SpringBoot 使用jwt进行身份验证的方法示例
08-26
在业务逻辑使用JwtUtils工具类来生成和验证jwt token。例如,在用户登录时,生成jwt token并返回给客户端;在后续的请求使用jwt token来验证用户身份。 使用jwt身份验证机制可以提供许多好处,例如: 1. ...
JWT加密规则
weixin_44949531的博客
07-16 1633
JWT加密规则 JWT(Java Web Token)是基于token的身份认证的方案,可以保证安全传输的前提下传送一些基本的信息,JWT的安全特性保证了token的不可伪造和不可篡改。本质上是一个独立的身份验证令牌,可以包含用户标识、用户角色和权限等信息,以及您可以存储任何其他信息(自包含)。任何人都可以轻松读取和解析,并使用密钥来验证真实性。JWT包含如下三部分: 头部(header): {“alg”:“HS256”} , 使用base64编码 载荷(playload): {“jti”:“18cba4
jwt加密原理,和token的简单操作
热门推荐
qq_51705526的博客
04-03 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 因为HTTP request 本身是stateless的,所
工具类JWT加密生成和校验
程序员无羡的博客
04-28 513
工具类JWT加密生成和校验
jwt在线解密工具分享
小元分享
07-27 3437
同时,了解JWT的特点和优点,可以更好地应用JWT来确保应用程序的安全性和功能性。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑的,自包含的方法,用于以JSON对象的形式在各方之间安全地传输信息。- 轻量级和跨平台:由于JWT是基于JSON的,它具有轻量级和可移植性的特点,可以在不同的平台和编程语言之间进行交互。
JWT 加密解密
xyx_0300的博客
05-12 4827
1.1 什么是JWT JSON Web Token(JWT)是一个非常轻巧的规范。 这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 简称JWT,在HTTP通信过程进行身份认证。 我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。 因此需要对访问的客户端进行识别,常用的做法是通过session机制: 客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie,再次发起请求的时候,
4、聊聊常见的加密JWT
划水的小白白
09-28 2701
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文存在“
springboot + mybatisplus + redis + driver +knife4j + swagger + jwt + springSecurity demo
02-08
Spring Boot是一个用于创建独立的、基于生产级别的Spring应用程序的框架。它简化了Spring应用程序的配置和部署过程,并提供了一套强大的开发工具和约定,使开发人员能够更专注于业务逻辑的实现。 MyBatis Plus是MyBatis的增强工具,它提供了一系列的便利功能和增强特性,使得使用MyBatis更加简单和高效。它包括了代码生成器、分页插件、逻辑删除、乐观锁等功能,可以大大提高开发效率。 Redis是一个开源的内存数据库,它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等。Redis具有高性能、高可用性和可扩展性的特点,常用于缓存、消息队列、分布式锁等场景。 Driver是指数据库驱动程序,它是用于连接数据库和执行SQL语句的软件组件。在Spring Boot,我们可以通过配置数据源和引入相应的数据库驱动程序来实现与数据库的交互。 Knife4j是一款基于Swagger的API文档生成工具,它提供了更加美观和易用的界面,可以方便地查看和测试API接口。 Swagger是一套用于设计、构建、文档化和使用RESTful风格的Web服务的工具。它可以自动生成API文档,并提供了交互式的界面,方便开发人员进行接口测试和调试。 JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它通过在用户和服务器之间传递加密的JSON对象来实现身份验证和授权功能,避免了传统的基于Session的身份验证方式带来的一些问题。 Spring Security是Spring提供的一个安全框架,它可以集成到Spring Boot应用程序,提供身份验证、授权、攻击防护等安全功能。通过配置Spring Security,我们可以实现对API接口的访问控制和权限管理。 关于Spring Boot + MyBatis Plus + Redis + Driver + Knife4j + Swagger + JWT + Spring Security的Demo,你可以参考以下步骤: 1. 创建一个Spring Boot项目,并引入相应的依赖,包括Spring Boot、MyBatis Plus、Redis、数据库驱动程序等。 2. 配置数据源和数据库驱动程序,以及MyBatis Plus的相关配置,如Mapper扫描路径、分页插件等。 3. 集成Redis,配置Redis连接信息,并使用RedisTemplate或者Jedis等工具类进行操作。 4. 集成Knife4j和Swagger,配置Swagger相关信息,并编写API接口文档。 5. 集成JWTSpring Security,配置安全相关的信息,如登录认证、权限管理等。 6. 编写Controller层的代码,实现具体的业务逻辑。 7. 运行项目,通过Swagger界面进行接口测试。 希望以上内容对你有帮助!如果还有其他问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值