JWT 在应用中一些理解

最新推荐文章于 2024-05-31 09:30:00 发布
最新推荐文章于 2024-05-31 09:30:00 发布
阅读量237 收藏
点赞数
文章标签: springboot spring mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69573649/article/details/130950695
版权

JWT

 public static String geneJsonWebToken(User user){

        String token =Jwts.builder().setSubject(SUBJECT)
                .claim("head_img",user.getHeadImg())
                .claim("id" ,user.getId())
                .claim("name" ,user.getName())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis()+EXPIRE))
                .signWith(SignatureAlgorithm.HS256,SECRET).compact();

        token =TOKEN_PREFIX +token;

        return token;
 }

这段代码使用了 JWT(JSON Web Token)技术来生成一个令牌(token),用于认证和授权。

JWT 是一种基于 JSON 格式的轻量级认证和授权协议,它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

头部(Header):描述 JWT 的元数据,包含算法和类型等信息。通常使用 Base64 编码来表示。

载荷(Payload):存放实际要传输的用户信息,如用户 ID、用户名、过期时间等。也通常使用
Base64 编码来表示。

签名(Signature):对头部和载荷进行签名,以保证 JWT 的完整性和真实性。签名通常使用密钥对数据进行加密,生成一段不可逆转的字符串。

下面是这段代码的详细解释:

Jwts.builder():使用 JWT 工厂类 Jwts 创建一个 JWT 构建器。

setSubject(SUBJECT):设置 JWT 的主题(Subject),即令牌的持有者。

claim(“head_img”,user.getHeadImg()):设置一个自定义的声明(Claim),其中键为 “head_img”,值为用户的头像。

claim(“id”,user.getId()):设置一个自定义的声明,其中键为 “id”,值为用户的 ID。

claim(“name”,user.getName()):设置一个自定义的声明,其中键为 “name”,值为用户的姓名。

setIssuedAt(new Date()):设置 JWT 的签发时间,即当前时间。

setExpiration(new Date(System.currentTimeMillis()+EXPIRE)):设置 JWT 的过期时间,即当前时间加上一个固定的时间间隔(单位为毫秒)。

signWith(SignatureAlgorithm.HS256,SECRET):对 JWT 的头部和载荷进行签名,使用 HS256 算法和一个密钥(SECRET)进行签名。

compact():生成最终的 JWT 字符串,即包含头部、载荷和签名的完整字符串。

在这段代码中,JWT 的载荷包含了一些用户信息,如用户 ID、用户名、头像等。这些信息会被加密签名后生成 JWT 字符串,然后返回给客户端。客户端在后续的请求中可以携带这个 JWT 字符串作为身份认证凭证,服务器接收到请求后可以解密 JWT 字符串并验证其完整性和真实性,从而确定请求的真实发起者和权限等级,进而执行相应的业务逻辑

密钥(SECRET)

密钥(SECRET)在 JWT 技术中非常重要,它用于对 JWT 的头部和载荷进行签名,以确保 JWT 的完整性和真实性。

具体来说,当服务器生成 JWT 时,它会使用一个密钥对 JWT 的头部和载荷进行签名,生成一段不可逆转的字符串。在后续的请求中,客户端会将这个 JWT 字符串携带在请求头或请求参数中,发送给服务器。服务器在接收到请求后,会解密 JWT 字符串,验证其完整性和真实性,以确定请求的真实发起者和权限等级。

因此,密钥的作用是确保 JWT 的完整性和真实性,防止 JWT 被篡改或伪造。只有拥有正确的密钥,才能对 JWT 进行有效的签名和解密。因此,密钥必须保密,不能暴露给其他人,否则会导致 JWT 的安全性受到威胁。

通常情况下,密钥是由服务器自动生成并保存在安全的地方,只有服务器自己知道密钥的值。在生成 JWT 时,服务器会使用这个密钥对 JWT 进行签名;在验证 JWT 时,服务器会使用同样的密钥对 JWT 进行解密和验证。因此,密钥的安全性非常重要,服务器需要采取一些措施来防止密钥被泄露或攻击。

签名

签名(signature)是一种用于验证数据完整性和真实性的技术。它通常使用一种加密算法对数据进行计算,生成一段固定长度的字符串,这个字符串称为签名。

签名的生成过程包括两个步骤:签名生成和签名验证。

在签名生成过程中,使用一种加密算法对原始数据进行计算,生成一段固定长度的字符串,这个字符串就是签名。

在签名验证过程中,接收方使用同样的算法对原始数据和签名进行计算,生成一个新的签名,并将这个新的签名与原始签名进行比较。如果两个签名相同,则说明原始数据是完整且真实的;如果两个签名不同,则说明原始数据可能被篡改过,或者不是来自真实的发送方。

嗨害嗨嗨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT初步了解
早上真起不来的博客
06-20 175
JWT 文章目录JWTJwt 底层组成部分:1、头部2、Payload 装载的数据3、验证签名JWT优缺点 1、Session 存放服务器端— Session ID 2、Token + Redis Session 缺点集群无法共享 — redis Token 类似于 Session ID Token 依赖于 Redis 真实 token 存放 value 值 使用 Token 缺点:每次都需要根据 token查询真实的内容,对服务器端压力就非常大。 jwt 先学习 json、token (加密算法
JWT应用
qq_63492318的博客
09-16 556
JWT的全称:JSON Web Token,它是目前最流行的跨域身份验证的解决方案。
JWT 设置token过期时间无效
热门推荐
zona
03-18 4万+
原因: 设置超时时间的顺序有误, 应调用setClaims()方法设置claims属性。 在调用setExpiration()方法设置超时时间。 Date expiresDate = new Date(System.currentTimeMillis() + expire_time);// expire_time为token有效时长, 单位毫秒 错误顺序示例: JwtBuilder r...
JWT详解
个人博客
05-24 920
JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
qq_44005305的博客
05-31 783
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章也提起过。
java加密算法之JWT
剑行歌之
06-04 1万+
加密 字符串 public static String token(String subject, String secretKey, Date date) { Key key = decodeKey(secretKey); String token = Jwts.builder().setExpiration(date).setSubject(subject).signWith(SignatureAlgorithm.HS256, key).compact(); String bas
jwt使用实战
xuxiake的博客世界
05-15 1355
what is jwt? json web token,主要是用来做认证的,因为他是基于数字签名的 ,所以安全性贼高,是一种协议,本身是json格式,支持跨语言,同时它由三部分组成header(用于说明加密算法和说明是jwt),playload(传输用户需要携带的脱敏业务信息),signature(用来对前两部分进行签名认证的,防止篡改),由于jwt使用使用base64进行对称加密,所以不要传...
关于JWT设置过期时间无效的问题
cn_ljr的博客
01-14 2814
关于JWT设置过期时间无效的问题
JWTDemo:JWT演示应用程序
02-21
总的来说,`JWTDemo`项目是一个实践JWT技术的实例,涵盖了JWT的生成、验证、使用以及相关的安全策略,对于理解JWT在实际应用的工作原理和最佳实践非常有帮助。通过分析和运行这个项目,开发者可以更深入地了解JWT...
jwt_auth:使用JWT在NodeJs应用程序进行身份验证
04-29
在Node.js应用,JSON Web Token(JWT)是一种常见的用于身份验证和授权的机制。JWT是一种轻量级的标准(RFC 7519),它允许数据在各方之间安全地、无需服务器存储会话的情况下进行传输。这个教程将深入探讨如何在...
jwt:CrystalJWT实现
02-05
在Crystal这种静态类型的系统编程语言,实现JWT可以帮助开发者创建安全的API或认证系统。 在Crystal实现JWT,首先需要了解JWT的基本构成:Header、Payload和Signature。Header通常包含了令牌的类型(JWT)和...
jwt-practice:JWT在Golang的实践
03-19
总之,JWT在Golang的实践涉及到了令牌的生成、验证以及在Web应用的集成,通过合理的配置和使用,可以有效地实现安全的身份认证和授权机制。理解JWT的原理和Golang相关的库和方法,对于构建安全的Web服务至关...
JWT 实战教程_jwt_
10-01
JWTSpring Boot的整合是常见的应用场景,尤其是在构建RESTful API时,它能提供无状态的身份验证。 JWT由三部分组成:Header、Payload(载荷)和Signature(签名)。Header通常包含令牌类型("typ"为JWT)和算法...
JWT简介
Java后端技术栈
05-20 329
JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返..
【项目实训】jwt
par_ser的博客
06-06 161
JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.上述是jwt的官网的介绍,简单来说,使用jwt,可以安全地传输信息,jwt可以被验证。在我们的系统里,jwt主要用于授权。JWT由三部分组成,分别是标头、有效负载、签名算法,间使用点进行分隔。谈起jwt,我们经常会跟传统的session方案做比较,jwt的一个显而易见的优势是无
JJWT 实现 JWT
weixin_46528266的博客
05-10 1089
JJWT 实现 JWT,JWT从初级到
javaJWT设置过期时间,解析时,JWT令牌始终被接收为过期
weixin_29378975的博客
03-02 4213
I am using JWT Authentictaion in one of my application along with Spring Boot/Security and its my first take on JWT.Following are my set and get authentication methods:static void addAuthentication(Ht...
Java详细使用JWT(JJWT
zhangshaopeng的博客
12-12 1万+
目录 1.什么是JWT 2.JWT什么时候去使用,有什么好处 3 JWT问题和趋势 4JWT的组成 头部 有效载荷 签名 4.java使用 1.什么是JWT JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。...
jwt的基础使用
dengdai123654的博客
05-01 437
jwt==Json Web Token 在前后端分离的项目使用jwt来做请求的校验,权限处理等一系列相关操作,jwt是一个轻量级的插件使用起来非常便捷,且支持多种开发语言,Java、PHP、Python等语言都可以使用。 1、maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> ...
JWT完全手册:理解应用
JWT解决了在分布式系统无状态会话管理的问题,同时支持身份验证和授权,减少了对服务器存储状态的需求。 2. 实际应用 - 客户端/无状态会话:JWT可以存储在客户端,如浏览器的localStorage或Cookie,实现无状态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值