什么是JWT?

最新推荐文章于 2024-09-26 17:23:32 发布
最新推荐文章于 2024-09-26 17:23:32 发布
阅读量289 收藏
点赞数
文章标签: json java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67094505/article/details/126931985
版权

目录

一、jwt出现的原因及工作原理

1. jwt是什么   JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案

2. 为什么使用jwt   jwt的精髓在于:“去中心化”,数据是保存在客户端的。

二、jwt与vuex配合在SPA项目中的应用

jwt实现

一、jwt出现的原因及工作原理

session的存储机制

1. jwt是什么
   JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案


2. 为什么使用jwt
   jwt的精髓在于:“去中心化”,数据是保存在客户端的。

 

3、jwt运行机制/原理    ******
1、第一次发送登录请求,必然会携带用户信息uname和pwd

2、通过用户信息uname和pwd登录成功,会将用户信息通过jwt工具类生成一个加密的字符串

3、加密字符串 会以response header 响应头的形式 相应到前端

4、前端服务器会有响应拦截器拦截,截取到响应头承载的jwt串,又会放到Vuex中

5、当第二次请求,前端服务器中有一个请求拦截器,会将Vuex中的jwt串放入 request header 请求当中

6、当请求通过跨域的方式到达后台服务器,后台服务器中又有一个过滤器,会截取到 request header 请求当中的jwt串

7、jwt工具类会对jwt串进行解析,解析成用户信息,最终进行校验

 

二、jwt与vuex配合在SPA项目中的应用

jwt实现

现在我们没使用到jwt的时候,我们的项目还能够正常访问到:

 【JwtFilter

package com.zking.vue.util;
 
import java.io.IOException;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
import io.jsonwebtoken.Claims;
 
/**
 * * JWT验证过滤器,配置顺序 :CorsFilte-->JwtFilter-->struts2中央控制器
 * 
 * @author Administrator
 *
 */
public class JwtFilter implements Filter {
 
	// 排除的URL,一般为登陆的URL(请改成自己登陆的URL)
	private static String EXCLUDE = "^/vue/userAction_login\\.action?.*$";
 
	private static Pattern PATTERN = Pattern.compile(EXCLUDE);
 
	private boolean OFF = true;// true关闭jwt令牌验证功能
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
	}
 
	@Override
	public void destroy() {
	}
 
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		String path = req.getServletPath();
		if (OFF || isExcludeUrl(path)) {// 登陆直接放行
			chain.doFilter(request, response);
			return;
		}
 
		// 从客户端请求头中获得令牌并验证
		String jwt = req.getHeader(JwtUtils.JWT_HEADER_KEY);
		Claims claims = this.validateJwtToken(jwt);
		if (null == claims) {
			// resp.setCharacterEncoding("UTF-8");
			resp.sendError(403, "JWT令牌已过期或已失效");
			return;
		} else {
			String newJwt = JwtUtils.copyJwt(jwt, JwtUtils.JWT_WEB_TTL);
			resp.setHeader(JwtUtils.JWT_HEADER_KEY, newJwt);
			chain.doFilter(request, response);
		}
	}
 
	/**
	 * 验证jwt令牌,验证通过返回声明(包括公有和私有),返回null则表示验证失败
	 */
	private Claims validateJwtToken(String jwt) {
		Claims claims = null;
		try {
			if (null != jwt) {
				claims = JwtUtils.parseJwt(jwt);
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		return claims;
	}
 
	/**
	 * 是否为排除的URL
	 * 
	 * @param path
	 * @return
	 */
	private boolean isExcludeUrl(String path) {
		Matcher matcher = PATTERN.matcher(path);
		return matcher.matches();
	}
 
	// public static void main(String[] args) {
	// String path = "/sys/userAction_doLogin.action?username=zs&password=123";
	// Matcher matcher = PATTERN.matcher(path);
	// boolean b = matcher.matches();
	// System.out.println(b);
	// }
 
}

运行:

接下把jwt的验证 开启,即在JwtFilter类中:

 再去重启,刷新项目:

数据访问不到了:

 

  F12检查:

原因是还没有开始编写jwt。(但是我们的登录和退出功能仍然可以正常运行)。 

一杯咖啡.
关注
什么是JWT
Steve Wang's blog
03-14 2万+
什么是JWT?它的结构,工作方式,优点。
什么是 JWT
qq_45055165的博客
04-24 1446
起源 需要了解一门技术,首先从为什么产生开始说起是最好的。JWT主要用于用户登录鉴权,所以我们从最传统的session认证开始说起。 session认证 众所周知,http协议本身是无状态的协议,那就意味着当有用户向系统使用账户名称和密码进行用户认证之后,下一次请求还要再一次用户认证才行。因为我们不能通过http协议知道是哪个用户发出的请求,所以如果要知道是哪个用户发出的请求,那就需要在服务器保存一份用户信息(保存至session),然后在认证成功后返回cookie值传递给浏览器,那么用户在下一次请求时就可
什么是JWT?为什么用JWTJWT的实战案例
蓝天it(让亿万孩子在蓝天下共享优质教育)
06-13 1179
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT 官方规定了7个字段,供选用:iss(Issuer):签发者。sub(Subject):主题。
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
什么是JWT??
as15282235592的博客
09-04 5254
JWT
什么是 JWT? 如何基于 JWT 进行身份验证?
double222222的博客
07-16 1344
JWTJSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
什么是JWTJWT详解
@日月空@的博客
06-01 1443
原文地址 文章目录什么是 JWT起源传统的session认证基于session认证所显露的问题基于token的鉴权机制JWT 的原理JWT长什么样?JWT的构成HeaderplayloadsignatureBase64URLJWT 的使用方式JWT 的几个特点使用 JWT 的例子 什么是 JWT JWTJson web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。J
什么是JWTJWT全称是(Json Web Token)
Romantic丶的博客
04-22 1552
Jwt是一种认证协议,常见的用户名、密码登录去请求接口不安全,所以就有了它,就首次或者过期了,才会要求输入用户名密码,之后会对信息加密,并产生一个token(令牌),便于下次访问,服务期内Api资源;私钥加密,应用端公钥解密token。
什么是JWT?详细讲解
qq_43380361的博客
05-14 1万+
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了
什么是JWT? Token? 如何基于Token进行身份验证?
HZ___ZH的博客
03-10 1220
JWTJSON Web Token) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT 本质上就一段签名的 JSON 格式的数据。由于
WEB安全(九)什么是JWT?
jinyangjie的博客
02-15 299
一、概述 JWTJson Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:通过token来代表用户身份。与使用session保持登录状态不同的是,JWT不需要保存认证记录,只需保存秘钥。 二、JWT的构成 JWT是由三段信息构成的,将这三段信息文本用点号.链接一起就构成了Jwt字符串。
前台项目启动/打包报错 Error: error:0308010C:digital envelope routines::unsupported
最新发布
BigBigHang的博客
09-26 308
前台项目启动/打包报错 Error: error:0308010C:digital envelope routines::unsupported
优化 Go 语言数据打包:性能基准测试与分析
dsgdauigfs的博客
09-24 1118
对于序列化和反序列化在复用内存后,速度的提升非常明显,在同步的操作下,能做到 0 字节分配。异步场景下,使用 sync.Pool 内存固定字节分配(两个返回值在堆上分配)- encode_to:性能最优,几乎没有内存分配,适用于高性能要求的场景。- encode_with_pool:使用内存池优化,显著减少了时间和内存开销,适用于大多数场景。- encode:标准方法,时间和内存开销较高。
JS的基础语法
weixin_61898502的博客
09-24 1079
空(null)
深入探索与实战:高效利用苏宁商品详情API实现精准数据抓取与解析技术
API19970108110的博客
09-23 436
在电商平台的开发中,获取商品详情是构建用户购物体验的重要一环。苏宁作为国内领先的电商平台,提供了丰富的商品信息和API接口供开发者使用。本文将介绍如何通过苏宁的商品详情接口获取特定商品的详细信息,并给出Python代码示例。
Latex和Vscode安装和配置
bulletstart的博客
09-25 930
介绍latex和vscode的安装和配置
什么是JWT?如何生成和验证JWT token?
03-10
JWTJSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519)。它是一种轻量级的安全传输方式,用于在网络应用间传递声明信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于令牌的元数据和加密算法的信息,通常由两部分组成:令牌类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。 载荷是JWT的主要内容,包含了一些声明信息,如用户ID、角色、权限等。载荷可以自定义,但建议只包含一些非敏感的信息,因为JWT是可解码的。 签名是对头部和载荷进行加密生成的,用于验证JWT的真实性和完整性。签名需要使用头部中指定的算法和密钥进行生成,接收方可以通过验证签名来确保JWT没有被篡改。 生成JWT token的过程如下: 1. 创建一个包含所需声明信息的JSON对象。 2. 使用Base64编码头部和载荷,形成两个字符串。 3. 将两个字符串用点号连接起来,形成一个未签名的JWT。 4. 使用指定的算法和密钥对未签名的JWT进行签名,生成签名字符串。 5. 将签名字符串添加到未签名的JWT末尾,形成最终的JWT token。 验证JWT token的过程如下: 1. 将接收到的JWT token按点号分割为头部、载荷和签名三部分。 2. 使用相同的算法和密钥对头部和载荷进行签名,生成一个新的签名字符串。 3. 将新生成的签名字符串与接收到的签名进行比较,如果相同,则说明JWT token是有效的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值