手把手教你实现JWT Token

最新推荐文章于 2023-10-11 20:31:52 发布
最新推荐文章于 2023-10-11 20:31:52 发布
阅读量700 收藏
点赞数
文章标签: java spring 程序人生 学习 struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68064743/article/details/124178010
版权
  1. 前言

Json Web Token (JWT) 近几年是前后端分离常用的 Token 技术,是目前最流行的跨域身份验证解决方案。你可以通过文章 JWT。今天我们来手写一个通用的 JWT 服务。DEMO 获取方式在文末,实现在 jwt 相关包下
2. spring-security-jwt

spring-security-jwt 是 Spring Security Crypto 提供的 JWT 工具包 。

 <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-jwt</artifactId>
        <version>${spring-security-jwt.version}</version>
  </dependency>

核心类只有一个: org.springframework.security.jwt.JwtHelper 。它提供了两个非常有用的静态方法。
3. JWT 编码

JwtHelper 提供的第一个静态方法就是 encode(CharSequence content, Signer signer) 这个是用来生成jwt的方法 需要指定 payload 跟 signer 签名算法。payload 存放了一些可用的不敏感信息:

iss jwt签发者

sub jwt所面向的用户

aud 接收jwt的一方

iat jwt的签发时间

exp jwt的过期时间,这个过期时间必须要大于签发时间 iat

jti jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

除了以上提供的基本信息外,我们可以定义一些我们需要传递的信息,比如目标用户的权限集 等等。切记不要传递密码等敏感信息 ,因为 JWT 的前两段都是用了 BASE64 编码,几乎算是明文了。
3.1 构建 JWT 中的 payload

我们先来构建 payload :

 /**
  * 构建 jwt payload
  **/
 public class JwtPayloadBuilder {
   

     private Map<String, String> payload = new HashMap<>();
     /**
      * 附加的属性
      */
     private Map<String, String> additional;
     /**
      * jwt签发者
      **/
     private String iss;
     /**
      * jwt所面向的用户
      **/
     private String sub;
     /**
      * 接收jwt的一方
      **/
     private String aud;
     /**
      * jwt的过期时间,这个过期时间必须要大于签发时间
      **/
     private LocalDateTime exp;
     /**
      * jwt的签发时间
      **/
     private LocalDateTime iat = LocalDateTime.now();
     /**
      * 权限集
      */
     private Set<String> roles = new HashSet<>();
     /**
      * jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
      **/
     private String jti = IdUtil.simpleUUID();

     public JwtPayloadBuilder iss(String iss) {
   
         this.iss = iss;
         return this;
     }


     public JwtPayloadBuilder sub(String sub) {
   
         this.sub = sub;
         return this;
     }

     public
最低0.47元/天 解锁文章
Gerald Newton
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
详解JWT token心得与使用实例
01-21
本文你能学到什么? token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { ...
session与token
Uzizi的博客
07-30 436
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
JWT token
无痕的博客
07-24 274
用户登录成功后,服务端生成一个随机的token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需要携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地。
Token认证模式以及JWT介绍
最新发布
m0_69631269的博客
10-11 212
⼀旦签发,就会在有效期内⼀直可⽤,⽆法在服务端废⽌,当⽤户进⾏登出操作,只能依赖客户端删除掉本地存储的 JWT Token。的⽆状态会话管理⽅式诞⽣了,所谓⽆状态,就是服务端可以不再存储信息,甚⾄是不再存储 Session。,使得服务端认证鉴权业务可以⽅便扩展,避免存储 Session 所需要引⼊的。默认是不加密的,任何⼈都可以读到,所以不要把秘密信息放在这个部分。除了官⽅字段,开发者也可以⾃⼰指定字段和内容,例如下⾯的内容。的缩写,是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于。
分布式session解决方案 — — JWT(生成token
weixin_45565886的博客
08-27 1182
分布式session解决方案 — — JWT(生成token
JWT实现token
不定期更新Java相关的各种内容
08-17 490
JTW实现token,含代码,可直接使用
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
AccessTokenJwtToken使用经验
xzlAwin的博客
04-01 1453
AccessTokenJwtToken使用经验 AccessToken 优点:刷新令牌后,上一个令牌失效 缺点:不支持加密传输数据 JwtToken 优点:支持加密传输数据 缺点:刷新令牌后,之前的令牌不会失效 建议: 1.如果你想废弃之前的令牌,建议使用AccessToken 2.如果你想传输普通数据,不建议传输敏感数据,推荐使用JwtToken 3.如果你即想传输数据,又想手动控制令牌失效,建议使用redis存储令牌白名单,手动控制失效,这样做可能违背token无状态设计原理来换取token绝对
Spring Oauth2+JWT后端自动刷新Access_token
程序员小乐
08-26 2816
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Sometimes it's not the person yo...
JWT生成token的四种处理方式
qq_43611893的博客
08-12 3531
JWT生成token的三种处理方式基本思路1.0实现2.0实现3.0实现4.0实现最终实现后端前端(VUE) 基本思路 access_token 过期设置为15分钟 前端发起请求,后端验证access_token是否过期;如果过期,前端发起refresh_token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果已经再次授权,则拒绝refresh_token的请求,请求成功 如果前端每隔72小时,必须重新登录,后端检查用户最后一次登录日期,如超过72小时,则拒绝刷
jwt获取token_谈谈JWT
weixin_39856709的博客
11-21 592
是什么?JWT(JSON Web Token)什么用?为了识别无状态的http协议对应的客户端身份。简单来说:就是服务端用来确定接收到的请求是来自哪个客户端的。为什么?怎么用?jwt关注的是底层的加密实现,所以对于他而言,关键方法就两个,分别是计算加密字符串token和校验解密字符串token。底层实现很复杂,感激前辈们的努力,我们直接使用auth0提供的方法即可。生成token代码如下: //过...
使用JWT的OAuth2的SSO分析
xiejx618的专栏
04-01 2万+
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2/README.adoc http://jwt.io/introduction/ 本文在<使用OAuth2的SSO分析>文章的基础上扩展 1.浏览器向UI服务器点击触发要求安全认证 2.跳转到授权服务器获取授权许
access_token与refresh_token之为什么要用refresh_token刷新不重新获取access_token?
热门推荐
Soul_Nick_Kingdom
01-23 3万+
作为一个小白,在做微信第三方登录的时候遇到的一些问题总结了一下: 问题:access_token与refresh_token之为什么要用refresh_token刷新不重新获取access_token?   网上挺多回答的,但是我都觉得不是很满意,所以我就自己总结了一下;   原因是access_token只保存2个小时,而refresh_token保存30天; 当access_tok
生成用户token的工具类
weixin_42733631的博客
12-07 1303
import cn.hutool.core.date.DateUtil; import cn.hutool.core.util.StrUtil; import com.tongfun.module.yanwu.stream.entity.UserDetails; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.slf4j.Logg
JavaEE:使用JWT生成/解析token实现登录/验证token功能
a526001650a的专栏
07-15 5566
说明: JWT能创建/解析token,一般由客户端上传手机号与验证码,服务器生成token,返回token给客户端,客户端使用此token访问其他需要登录的接口。 SpringBoot配置:https://blog.csdn.net/a526001650a/article/details/106687559 一、利用JWT生成/解析token实现登录功能: 1.导入JWT依赖: <!-- 导入JWT依赖 --> <dependency> <groupId...
Redis使用场景
狂奔之林的博客
10-12 156
1、字符串使用场景 a) 缓存功能 典型使用场景:Redis作为缓存层,MySQL作为存储层,绝大部分请求的数据都是从Redis中获取,由于Redis具有支撑高并发的特性,所以缓存通常能起到加速读写和降低后端压力的作用。 开发提示:与MySQL等关系型数据库不同的是,Redis没有命令空间,而且也没有对键名有强制要求,但设计合理的键名,有利于防止键冲突...
jwt token怎么实现
05-01
JWT(JSON Web Token)是一种用于身份验证的开放标准(RFC 7519),它可以在网络应用间安全地传输信息。JWT 通常由三部分组成:头部、载荷和签名。 1. 头部(Header):头部通常由两部分组成:令牌类型和所使用的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值