JWT入门详解

已于 2023-03-02 10:06:25 修改
阅读量413 收藏 1
点赞数 1
分类专栏: springboot 文章标签: java 前端 json vue springboot
于 2023-03-01 20:19:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maoheguxiang/article/details/129288818
版权

JWT

文章目录


如果可以的话,请点个小小的赞可以吗?
以下的代码都基于springboot开发

一、什么是JWT

  • WT(JSON WEBTOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串

JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案

二、为什么要使用JWT

  • 为了保护项目之中的数据资源,那么一定就需要采用认证检测机制,于是SpringCloud进行认证处理,就可以使用SpringSecurity 来实现了,但是如果你真的去使用了SpringSecurity进行开发,因为维护的成本实在是太高了。

  • 在后来的时候有很多的开发者开始尝试通过OAuth2统一认证来进行SpringCloud认证与授权服务,这种操作也属于较早期的实现了,这种实现最大的问题在于随着版本的更新会出现代码不稳定的情况,很多的开发者就开始尝试自己去独立的实现认证与授权的操作机制,于是就有了JWT开发技术。

  • 使用JWT最大的特点在于不需要维护所有的数据的状态,同时可以自己包含有过期的时间,以及通过附加数据的形式传送所需要的额外的数据内容((可以保存认证以及授权信息)。
    在WEB开发中需要维护Session的状态,所以如果用户访问量过大,那么必然会出现Session内容过多而导致服务器处理性能下降的惨剧,所以后面就需要引入WEB服务器的集群,但是为了便于服务器集群之中的Session管理,那么又需要进行分布式的Session存储,总之就一点:有状态的用户需要维护Session,Session维护成本很高。

三、JWT的工作原理

  1. 客户端通过Web表单将正确的用户名和密码发送到服务端的接口。这一过程一般是POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。

  2. 服务端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形lll.zzz.xxx的字符串,并设置有效时间。

  3. 服务端将JWT字符串作为登录成功的返回结果返回给客户端。

  4. 客户端将返回的JWT以cookie的形式保存在浏览器上,并设置cookie的有效时间(建议客户端cookie和服务端JWT的有效时间设置为一致),用户登出时客户端需删除cookie。

  5. 客户端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)

  6. 服务端对收到的JWT进行解密和校验,如检查签名是否正确、Token是否过期、Token的接收方是否是自己等。

  7. 验证通过后服务端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果,否则返回401。

四、JWT的组成

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

header.payload.signature

五、JWT的验证过程

  • 它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。接收方生成签名的时候必须使用跟JWT发送方相同的密钥。

  • 验证一个JWT的时候,签名认证是每个实现库都会自动做的,但是payload的认证是由使用者来决定的。因为JWT里面可能会包含一个自定义claim,所以它不会自动去验证这些claim

  • 如果签名认证失败会抛出如下的异常:

    ​ io.jsonwebtoken.SignatureException

    即签名错误,JWT的签名与本地计算机的签名不匹配

  • JWT过期异常

    ​ io.jsonwebtoken.ExpiredJwtException

    就是令牌超过了过期时间

六、使用JWT

创建一个工具类 - JwtUtil

  • import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;

public class JwtUtil {
    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

创建一个JwtProperties类

  • import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties(prefix = "com.jwt")
@Data
public class JwtProperties {
    private String adminSecretKey;//秘钥
    private long adminTtl;//过期时间
    private String adminTokenName;//有效负载

}

在配置文件中加入

  • com:
  jwt:
    # 设置jwt签名加密时使用的秘钥
    admin-secret-key: itcast
    # 设置jwt过期时间
    admin-ttl: 7200000
    # 设置前端传递过来的令牌名称
    admin-token-name: token

使用

  • @Autowired
private JwtProperties jwtProperties;

public Class TestJWt{
    //生成jwt令牌
    HashMap<String, Object> claims = new HashMap<>();
            claims.put("1","1");
    String jwt = JwtUtil.createJWT(
            jwtProperties.getAdminSecretKey(),
            jwtProperties.getAdminTtl(),
            claims
    );
    //解析jwt令牌
    Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), jwt);
    claims.get("1");
}
猫和古巷
关注
专栏目录
Node.js | 详解 JWT 登录验证 的工作原理
前端之行,任重道远!
11-28 3万+
之前我们对Cookie&Session的工作原理存储问题和CSRF问题。为了解决/避免这些问题,开发者们开始使用更加成熟的JWT来代替作为登录验证的首选技术方案,这一节我们就将详细讲解JWT登录验证的工作原理,快来围观吧!
JWTJava中的使用详解
weixin_46031408的博客
06-05 1738
jwt框架的学习
jwt学习、手写jwtjwt加密解密
好幸运
12-06 1004
jwt官网:https://jwt.io/ JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是: Header Payload Signature 一个典型的JWT看起来是这个样子的: xxxxx.yyyyy.zzzzz 第一部分 Header header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。 'alg' "HS256" 'typ' "JWT" 然后,用Ba..
从直观到深入理解傅里叶变换
yl019283的博客
03-21 4923
直观的理解傅里叶变换 作者初学傅里叶变换时,就一直没有弄明白傅里叶到底是什么东西,只是死记硬背通过了考试,但后来发现在实际的应用时需要理解傅里叶变换。所以查阅了很多资料,最终理解了傅里叶变换及其公式推导。现在总结一下。 首先,需要知道傅里叶变换是做什么的?有什么用? 这里我推荐几个视频,可以说是通俗易通,大家可以看完视频后,再学习公式。 傅里叶公式推导 我相信通过以上两个视频,大家应该对傅...
vue路由JWT认证
weixin_30267785的博客
08-26 150
https://segmentfault.com/a/1190000020181742?utm_medium=hao.caibaojian.com&utm_source=hao.caibaojian.com&share_user=1030000000178452 转载于:https://www.cnblogs.com/yishenweilv/p/11414167.htm...
后端页面登录功能(拦截器+JWT令牌技术)
NewTonyStark的博客
05-28 644
*** 配置类,注册web层相关组件*/@Slf4j//管理端拦截器@Autowired//用户端拦截器@Autowired/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");
JWT校验
笛卡尔的梦博客
08-28 520
JWT校验
ASP.NET Core学习之使用JWT认证授权详解
12-16
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, ...
详解JSON Web Token 入门教程
12-04
JSON Web Token(JWT)是一种广泛使用的安全认证机制,尤其在跨域认证场景中。它解决了传统基于Session的认证方式在扩展性和分布式环境中的问题。JWT的出现使得服务器无需存储session数据,而是通过生成一个包含认证...
SpringBootJWT登录
qq_62592925的博客
01-25 1061
是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。3.前端接收到返回结果进行响应并将JWT保存,前端可以将返回的结果保存在localStorage(浏览器本地缓存)或sessionStorage(session缓存)上,退出登录时前端删除保存的JWT即可。4.后续前端每次请求携带JWT进行,后端检查JWT 的合法性存在验证JWT的有效性。5.验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。2.登录成功后,生成jwt令牌。
JWT令牌技术快速入门
2301_79024228的博客
07-12 1720
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
自定义一个JWT工具类
qq_49210759的博客
02-14 120
jwt工具类
项目实战(依旧还是登录认证,JWT解析异常处理,授权信息处理)
表达 交流 自省 完善
10-30 872
登录认证信息,JWT解析异常信息处理,授权信息处理
SpringBoot 快速集成 JWT 实现用户登录认证
热门推荐
何哥的博客
04-11 2万+
前言:当今前后端分离时代,基于Token的会话保持机制比传统的Session/Cookie机制更加方便,下面我会介绍SpringBoot快速集成JWTjava-jwt以完成用户登录认证。 一、JWT 简介 1.1、 JWT的概念 JWTJSON Web Token 的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT...
Spring项目中使用Jwt完成Token验证
服务员的博客
10-24 4642
一、什么是JWT?为什么使用JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 随着技术的发展,分布式web应用的普及,通过se.
Java-网络
最新发布
2301_81543552的博客
09-14 698
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门
Android Studio 2024与2022 解决Read timed out和connect timed out的问题
2301_80035882的博客
09-14 607
如果在新建Android项目时报错:Read timed out或者connect timed out。
自动生成不重复的订单id
ClaireCheney的博客
09-13 284
【代码】自动生成不重复的订单id。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值