去中心化的JWT( Json Web Token)

最新推荐文章于 2024-04-11 13:44:14 发布
最新推荐文章于 2024-04-11 13:44:14 发布
阅读量3.1k 收藏 3
点赞数 1
文章标签: api web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingyuansunny/article/details/77472954
版权

通常情况下, 将api直接暴露出来是非常危险的. 每一个api呼叫, 用户都应该附上额外的信息, 以供我们认证和授权. 而JWT是一种既能满足这样需求, 而又简单安全便捷的方法. 前端login获取JWT之后, 只需在每一次HTTP呼叫的时候添加上JWT作为HTTP Header即可。
实际的业务流程是:

  • 需要调用者先使用用户名密码去签定身份
  • 鉴定成功,服务器返回一个 Token
  • 调用者之后再调用其他 API 时就在 HTTP Authorization Header 中带着这个 Token
  • 生成的token中包含调用者的身份权限认证信息

#1. 什么是JWT
了解JWT的同学可以跳过这一部分

废话少说, 我们先看看什么是JWT. JSON Web Token其实就是一个包含认证数据的JSON, 大概长这样子package basic;

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
static final long EXPIRATION_TIME = 3600_000; // 1 hour
static final String SECRET = "ThisIsASecret";
static final String TOKEN_PREFIX = "Bearer";
static final String HEADER_STRING = "Authorization";

public static String generateToken(String username) {
HashMap<String, Object> map = new HashMap<>();
//you can put any data in the map
map.put("username", username);
String jwt = Jwts.builder()
.setClaims(map)
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
.signWith(SignatureAlgorithm.HS512, SECRET)
.compact();
return jwt;
}

public static String validateToken(String token) {
if (token != null) {
// parse the token.
Map<String,Object> body = Jwts.parser()
.setSigningKey(SECRET)
.parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
.getBody();
String username = (String) (body.get("username"));
if(username == null || username.isEmpty())
throw new TokenValidationException("Wrong token without username");
else
return username;
}else{
throw new TokenValidationException("Missing token");
}
}

static class TokenValidationException extends RuntimeException {
public TokenValidationException(String msg) {
super(msg);
}
}
}
分三个部分,
第一部分`{"alg":"HS512"}`是签名算法
第二部分 `{"exp":1495176357,"username":"admin"}`是一些数据(你想放什么都可以), 这里有过期日期和用户
第三部分`    ')4'76-DM(H6fJ::$ca4~tI2%Xd-$nL(l`非常重要,是签名Signiture, 服务器会验证这个以防伪造. 因为JWT其实是明文传送, 任何人都能篡改里面的内容. 服务端通过验证签名, 而验证这个JWT是自己生成的.

原理也不是很复杂, 我用一行代码就能表示出来
首先我们将JWT第一第二部分的内容, 加上你的秘钥(key), 然后用某个算法(比如hash算法)求一下, 求得的内容就是你的签名. 验证的时候只需要验证你用JWT算出来的值是否等于JWT里面的签名.
因为别人没有你的key, 所以也就没法伪造签名.
######简单粗暴一行代码解释什么是签名:
```
 int signiture = ("{alg:HS512}{exp:1495176357,username:admin}" + key).hashCode();
```
######完整的JWT:
```
{"alg":"HS512"}{"exp":1495176357,"username":"admin"}    ')4'76-DM(H6fJ::$ca4~tI2%Xd-$nL(l
```
通常我们都是把JWT用base64编码之后放在http的header里面, 并且每一次呼叫api都附上这个JWT, 并且服务器每次也验证JWT是否过期
######通常我们用到的JWT:
```
Base64编码后
Bearer eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE0OTUxNzYzNTcsInVzZXJuYW1lIjoiYWRtaW4ifQ.mQtCfLKfI0J7c3HTYt7kRN4AcoixiUSDaZv2ZKOjq2JMZjBhf1DmE0Fn6PdEkyJZhYZJTMLaIPwyR-uu6BMKGw
```

***
#2. 三个class实现JWT
整个demo一共有三个class
Application.java JwtAuthenticationFilter.java 和 JwtUtil.java
####首先我们看一看Application.java

第一步创建一个hello world api
```
    @GetMapping("/protected")
    public @ResponseBody Object hellWorld() {
        return "Hello World! This is a protected api";
    }
```
第二步创建一个 login的api, 我们会验证用户的密码, 如果正确, 那么我们会生成jwt, 然后以Header的形式返回给用户. 这时前端拿到的这个jwt就类似于拿到了一个临时的密码, 之后所有的HTTP RESTful api请求都附上这个"临时密码"即可.
```
    @PostMapping("/login")
    public void login(HttpServletResponse response,
                      @RequestBody final AccountCredentials credentials) throws IOException {
        if(validCredentials(credentials)) {
            String jwt = JwtUtil.generateToken(credentials.username);
            response.addHeader(HEADER_STRING, TOKEN_PREFIX + " " + jwt);
        }else
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Wrong credentials");
    }
```
最后我们再注册一个Bean, 这个JwtAuthenticationFilter继承了OncePerRequestFilter, 任何请求都会经过我们的JwtAuthenticationFilter, 我们会在filter里面验证JWT的令牌(token).
而入参`"/*.html", "/", "/login"`是这里的排除条件, 当用户访问我们的index.html或者/login的时候并不需要令牌.
完整版[Application.java](https://github.com/ZhongjunTian/spring-boot-jwt-demo/blob/master/basic/src/main/java/basic/Application.java)
```
@Bean
    public FilterRegistrationBean jwtFilter() {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        JwtAuthenticationFilter filter = new JwtAuthenticationFilter("/*.html", "/", "/login");
        registrationBean.setFilter(filter);
        return registrationBean;
    }
```
####接着我们看一下JwtAuthenticationFilter.java
这里我们继承了OncePerRequestFilter, 保证了用户请求任何资源都会运行这个doFilterInternal. 这里我们会从HTTP Header里面截取JWT, 并且验证JWT的签名和过期时间, 如果有问题, 我们会返回HTTP 401错误.
PS: 源代码还有一个protectUrlPattern变量, 只有符合这个模板的URL才会被保护.
完整版[JwtAuthenticationFilter.java](https://github.com/ZhongjunTian/spring-boot-jwt-demo/blob/master/basic/src/main/java/basic/JwtAuthenticationFilter.java)
```
public class JwtAuthenticationFilter extends OncePerRequestFilter {
     //......一些不重要的代码......
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
       try {
           if(pathMatcher.match(protectUrlPattern, request.getServletPath())) {
               String token = request.getHeader(HEADER_STRING);
               JwtUtil.validateToken(token);
           }
       } catch (Exception e) {
           response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());
           return;
       }
       filterChain.doFilter(request, response);
    }
    //......一些不重要的代码......
}
```
####最后我们看一下JwtUtil.java
这里就两个函数, 第一个输入是用户名, 返回一个有效期3600秒的JWT
` public static String generateToken(String username) `
第二个函数是验证JWT是否有效, 如果JWT有效则返回用户名, 某种 throws Exception
` public static String validateToken(String token) `


完整版[JwtUtil.java]

package basic;

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    static final long EXPIRATION_TIME = 3600_000; // 1 hour
    static final String SECRET = "ThisIsASecret";
    static final String TOKEN_PREFIX = "Bearer";
    static final String HEADER_STRING = "Authorization";

    public static String generateToken(String username) {
        HashMap<String, Object> map = new HashMap<>();
        //you can put any data in the map
        map.put("username", username);
        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return jwt;
    }

    public static String validateToken(String token) {
        if (token != null) {
            // parse the token.
            Map<String,Object> body = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();
            String username = (String) (body.get("username"));
            if(username == null || username.isEmpty())
                throw new TokenValidationException("Wrong token without username");
            else
                return username;
        }else{
            throw new TokenValidationException("Missing token");
        }
    }

    static class TokenValidationException extends RuntimeException {
        public TokenValidationException(String msg) {
            super(msg);
        }
    }
}


秋明远枫
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT
weixin_44557427的博客
09-08 339
一、 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": ...
JWT(Json Web Token)
m0_61601521的博客
02-20 3515
JWT(Json Web Token) JWT令牌由Header(头部)、Payload(负载)、Signature(签名)三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header(头部) 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC、SHA256或RSA)。 Payload(负载) 第二部分是负载,内容也是一个Json对象,它是存放有效信息的地方,它可以存放JWT提供的现成字段,比 如:iss(签发者),exp(过......
登录授权方案:JSON Web Tokens (JWT)
Java牛马的博客
01-18 780
JWTjson web tokens,通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。可用于登录授权或者其他服务之前的信息交换;JWT本质就是一个字符串,它是一个开放标准(rfc7519),定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息,它是无状态的,去中心化的;(1)JWT去中心化的, 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
JWT的简介及入门使用方法
weixin_49673607的博客
04-11 383
jwt可以生成一个加密的头toke,作为用户登录的令牌,当用户登录成功之后发放给客户端 请求需要登录的资源或接口的时候,将token 携带给后端验证token是否合法。注意:在实际应用中,你应该将密钥存储在安全的地方,并且不应该在代码中硬编码。此外,你应该考虑使用HTTPS来保护在客户端和服务器之间传输的JWT。然后,你需要设置一个密钥和一个签名算法来签名JWT。B:playload ,存放信息,比如,用户id,过期时间等等,可以被解密,不能存放敏感信息。首先,你需要在你的项目中添加JWT库。
JWTjwt基础
小叮当的博客
02-15 118
jwt
JAVA安全-JWT安全及预编译CASE注入等
xhscxj的博客
02-08 1893
JAVA中防止sql注入 //利用session防御,session内容正常情况下是用户无法修改的: select * from users where user = "'" + session.getAttribute("UserID") + "'"; //参数绑定方式,利用了sql的预编译技术(PreparedStatement) 预编译讲解:https://www.cnblogs.com/klyjb/p/11473857.html 上面说的方式也不是能够绝对的进行SQL注入防御,只是减轻。 比如.
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1816
SpringBoot+Mybatis-plus+Mysql+JWT
JWT-Token验证,以及SpringSecurity
qq_42605393的博客
07-22 357
通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种: 用户名和密码鉴权,使用Session保存用户鉴权结果。 使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式) 自行采用Token进行鉴权 第一种就不介绍了,由于依赖Session来维护状态,也不太适合移动时代,新的项目就不要采用了。第二种
JWT(JSON Web Token)
王景清的博客
04-24 2587
学习顺序:基于Cookie的session > token > JWT 学习JWT之前,大家可以去网上查阅cookie session的区别及其原理 一. 为什么要使用JWT 我们传统用户认证,一般是登录之后把用户信息存到了服务器(如session中),然后发送sessionid给客户端及浏览器,用户登录之后想进行一些操作及发送请求调用API,必须携带sessionid,服务器接收...
talk-jwt:慕尼黑 NodeJS 用户组关于 JSON Web Token 的闪电演讲
07-01
JSON Web Token (JWT) 目前是 IETF 草案。 它定义了一个紧凑的 URL 安全令牌结构,允许在两方之间传输声明。 JWT 可以进行数字签名、MAC 化和/或加密以防止回火。 揭示.js 使用 HTML 轻松创建精美演示文稿的框架。...
空间存储公链的去中心化存储逻辑
01-07
我们设计的去中心化存储是把数据分布到个人未使用的电脑硬盘空间进行出租,当然,用户也可以购买专业的SSCC PC硬盘进行租售,从而获得一定的Token作为报酬,而拥有Token的人则可以租赁其他用户的硬盘存储空间来使用...
json-viewer:Web组件以树状视图可视化JSON数据
05-06
一个Web组件,以树状视图可视化JSON数据 安装 npm i @alenaksu/json-viewer 然后将包导入到您的项目中。 import '@alenaksu/json-viewer' ; 用法 < json> </ json> 属性 data - JSON对象的字符串表示来负载 特性 ...
离线json格式化查看工具下载
03-19
无需安装,直接运行,将json格式的数据,复制粘贴到里面,点击Format工具,就自动格式化,如果json格式有问题,也会报红线,给提示。
JWT_tutorial:Json Web令牌教程
05-11
Json Web令牌教程 参见 已将Node NPM和Express与Postman一起使用。 文件结构: 应用程序/ ....楷模/ ..... user.js confing.js package.json server.js 使用以下方法创建您的软件包: npm初始化 将...
Jwt身份安全验证
trasewell的博客
08-18 7903
目录: 1.Jwt简介 2.前端处理Jwt 3.后端处理Jwt 引子: 随着我们前后端的分离,那么我们后端服务器的压力不会太大,前端也基本能独立出去。 将前后端交互连接起来的时候,用的是axios,但是为了我们的隐私,安全等。当然在以前不跨域的情况下,我们可以通过session来保存,在通过后台服务器进行判断,也能保障我们的身份安全验证。 因此: 我们在跨域进行安全验证操作时,我们可以做域头的处...
你在用 JWT 代替 Session?
weixin_33851429的博客
09-01 4449
现在,JSON Web Tokens (JWT) 是非常流行的。尤其是 Web 开发领域。 流行 安全 稳定 易用 支持 JSON 所有这些因素,令 JWT 名声大振。 但是,今天我要来说说使用 JWT 的缺点。也就是为什么说将 JWT 用于会话控制是多么的糟糕。 为什么使用 JWT? 如果你不了解 JWT,不要紧张,它并不可怕。 J...
JWT(简介)
qq_65345936的博客
09-18 2061
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
jwt的原理&现象及使用
m0_60375943的博客
11-17 2740
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
web自动化测试json
最新发布
04-29
Web自动化测试JSON是一种用于描述和配置Web自动化测试的数据格式。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,常用于前后端数据传输和配置文件中。 在Web自动化测试中,可以使用JSON来定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值