JWT的理解与使用

于 2024-08-12 10:00:00 发布
阅读量802 收藏 6
点赞数 33
文章标签: java 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plfcccc/article/details/141104729
版权

JWT的理解与使用

JSON Web Token(JSON Web令牌)

1 传统的session

1.1 认证的方式

​ 由于http协议本身是一种无状态的服务,当客户端连接一次后,下次连接必须要再次获得身份信息才能确定是否是同一用户,因此传统的验证方式是在用户登录后在服务端存贮一份用户的登录信息,并且传递给浏览器保存为cookie,这样下次请求时浏览器发送请求时只需要带着cookie就能被服务端识别出.

在这里插入图片描述

1.2 缺点

  • 随着用户数量的增多必然会导致服务端存储的session数量增多,而其大多是保存在内存当中的,因此随着认证用户的增多,服务端的开销也会增大
  • 由于是保存在内存当中所以当用户访问时必须访问特定的服务器才能获取到对应的session.在微服务的或者分布式的应用上,限制负载均衡,限制了应用的扩展能力

2 JWT认证

在这里插入图片描述

认证的流程如上图

2.1 优点

  • 简介,可以在url中进行传输
  • 自包含,包含了用户的信息,避免查询数据库
  • 跨语言
  • 不需要在服务端保存信息,适用于分布式微服务

3 JWT结构

本质上就是一个string字符串,由3个部分组成,中间用点隔开

组成

  1. 标头 (header)
  2. 有效载荷(payload)
  3. 签名(signature)

eg(header.payload.signature)

  • Header: 包含了令牌的类型以及签名的算法,使用base64编码

    {
	"alg" : "HS256",
	"type" : "JWT"
}

  • payload: 有效负载,包含声明,通常是用户id信息和一些特定数据的存放,不包含密码同样是使用base64编码(base64是一种编码并不是加密方式,可以被还原)

    {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

  • 签名: 前面两部分都使用Base64进行编码,前端可以解开知道里面的信息。Signature需要使用编码后的header和payload加上我们提供的一个密钥,使用header中指定的签名算法(HS256)进行签名。签名的作用是保证JWT没有被篡改过

    HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

    签名的目的:签名的过程实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

4. 使用

本次是在springBoot项目中使用并不是单纯介绍技术,因此会有相关设计的不同

4.1 引入依赖

<!--引入JWT-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.0</version>
</dependency>

4.2 声明一个jwt的配置类

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties(prefix = "sky.jwt")
@Data
public class JwtProperties {

    /**
     * 管理端员工生成jwt令牌相关配置
     */
    private String adminSecretKey;
    private long adminTtl;
    private String adminTokenName;

    /**
     * 用户端微信用户生成jwt令牌相关配置
     */
    private String userSecretKey;
    private long userTtl;
    private String userTokenName;

}

这里分为微信端和网页端

4.3 相关的配置文件 .yml

ky:
  jwt:
    # 设置jwt签名加密时使用的秘钥
    admin-secret-key: itcast
    # 设置jwt过期时间
    admin-ttl: 7200000
    # 设置前端传递过来的令牌名称
    admin-token-name: token
    # 微信端
    user-secret-key: itplf
    user-ttl: 7200000
    user-token-name: authentication

4.4 使用

在之前可以封装一个工具类方便使用

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;

public class JwtUtil {
    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // JWT的过期时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

在用户登录成功后可以生成jwt令牌

//使用前先注入配置类
    @Autowired
    private JwtProperties jwtProperties;
	public void login(){
        //判断是否登录成功
        .................
        //登录成功后,生成jwt令牌
        Map<String, Object> claims = new HashMap<>();
        claims.put(userID, employee.getId()); //放入用户信息
        //生成令牌
        String token = JwtUtil.createJWT(
        jwtProperties.getAdminSecretKey(),
        jwtProperties.getAdminTtl(),
        claims);
        //将令牌返回给前端
		..............
  
    }

解密: 使用拦截器在非登录界面请求的其他请求进行拦截

 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getAdminTokenName());

        //2、校验令牌
        try {
            log.info("jwt校验:{}", token);
            Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
            Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
            //使用到Threadlocal保存当前线程的变量
            BaseContext.setCurrentId(empId);
            log.info("当前员工id:{}", empId);
            //3、通过,放行
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }
}

5 总结

可以看出来,这种方式对服务端的内存消耗几乎可以忽略不记,只需要在配置文件中配置好相对应的密钥并且不泄漏出去外界是无法获得密钥信息,且对分布式服务比较友好不需要在特定服务器获取数据.

plfcccc
关注
  • 33
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django rest framework jwt使用方法详解
09-18
Django Rest Framework JWT 是一种基于 JSON Web Token (JWT) 的认证和授权机制,适用于构建 RESTful API。...通过理解和正确配置 JWT,可以创建高效且安全的身份验证机制,满足现代 web 应用的需求。
springboot整合security与jwt
08-05
总的来说,这个整合过程涉及到SpringBoot的起步驱动、Spring Security的认证授权、JWT的生成和验证、Redis的使用以及Swagger-UI的集成。理解并掌握这些知识点,能够帮助我们构建一个安全且具有良好API文档的Web服务...
JWT的介绍与使用
weixin_45526725的博客
06-01 460
一、什么是jwt ​ 来自官方的回答: ​ JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 ​ 虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。当使用公钥/
谈谈对 JWT 理解
Coder Xu
11-28 2358
文章目录1、什么是 JWT2、JWT 能做什么3、Session认证 和 JWT认证 对比4、JWT 结构 1、什么是 JWT JWT简称JSON Web Token,也就是通过JSON格式作为Web中的令牌,用于在各方之间安全的将信息以JSON格式传输,在传输过程中可以进行数据加密、签名等操作 JWT最重要的作用:生成加密 Token 2、JWT 能做什么 授权登录 这是最常用的方法。一旦用户登录,每个请求都会包括JWT,允许用户访问该Token允许的路由、服务、资源。单点登录是当今广泛使用JWT
认识并使用JWT
最新发布
南七行者的博客
01-16 884
注意:不要把秘密信息放在这个JSON对象中,因为通常这个JSON对象被转换为字符串后,默认是不加密的,这就会被别人解析回JSON对象,里面的信息就暴露了。(1)alg属性表示签名的算法,默认是 HMAC SHA256(写成 HS256);(2)typ属性表示这个令牌(token)的类型,JWT统一写为"JWT"。(2)exp (expiration time):过期时间。(6)iat (Issued At):签发时间。(1) iss (issuer):签发人。(3)sub (subject):主题。
我对JWT理解
q4717529的博客
06-03 132
我对JWT理解 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间 以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的 ,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 一句话就是,jwt就是一个有格式定义的字符串,久而久之形成的一个规范。 浏览器接收到服务器发过来的jwt后,可以存储在Cookie或localStorage中。 之后,浏览
理解 JWT
besmarterbestronger的博客
09-10 216
文章目录1. 前言2. xx参考文献 1. 前言 2. xx 参考文献
go语言使用jwt认证
sywdebug的博客
04-03 6497
这几天在学习nodejs,进一步了解npm,学习过程中解开了以前的一个疑惑,以前不知道token可以携带信息,只以为是用来做对比的,学到了jwt身份认证,知道了如何使用的,感觉很好用,但是我不用nodejs开发,所以有自己去看了下go的,做下记录 刚学,博客内容写的可能不大对,因为基本都是自己的理解,术语用的可能也不到位,但是用起来倒是没问题,见谅 golang-jwt 项目仓库 使用以下命令获取 go get github.com/golang-jwt/jwt 加密 首先声明一串用于加密解密的秘钥 .
JWT使用详解
snow_love_xia的博客
03-04 2793
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
理解JWT使用JWT
zark721的博客
07-23 2346
原文:http://blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/ 感谢作者 上次在《JSON Web Token - 在Web应用间安全地传递信息》中我提到了JSON Web Token可以用来设计单点登录系统。我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统。 如果还没有阅读《J...
使用jwt实现登录功能
weixin_44712778的博客
05-26 6019
一、什么是jwt 1.什么是session 要想知道什么是jwt,就要先知道什么是session,可以这样理解session,处于安全问题,有一些数据需要保存在服务端,服务端根据客户端的sessionId可以识别到它的session,然后进行数据的处理。 session一般存储一些简单,并且比较重要的信息,例如用户id,用户登录状态,权限等。 注意,如果用户禁用了cookie,那么session也就无法使用,因为session使用cookie中携带的唯一id才能在服务器中找到 2.什么是jwtjwt
.net core使用Jwt授权验证
10-30
.NET Core 使用 JWT(JSON Web Tokens)进行授权验证是一种常见的安全实践,它允许应用程序在客户端和服务器之间安全地传输信息。JWT 提供了一种轻量级的身份...理解并正确使用 JWT,是构建现代 Web 应用的关键一环。
在node中使用jwt签发与验证token的方法
10-17
总结来说,在Node.js中使用JWT签发与验证token,需要理解JWT的结构,正确安装和使用`jsonwebtoken`库,同时确保在签发和验证时使用相同的秘钥。这样可以实现安全的身份验证和授权流程,提高应用的安全性。在实际应用...
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑...综上所述,JWT Token在C#中的实现涉及对标准的理解使用特定库以及理解安全最佳实践。正确使用JWT能为应用程序提供高效且安全的身份验证机制。
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。...理解JWT的工作原理和使用方式对于构建安全的分布式系统至关重要。
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。...理解JWT的工作原理和Spring Security的机制是成功集成的关键。通过这种方式,你可以创建一个安全且易于扩展的身份验证系统。
SpringBoot整合Shiro+JWT
05-15
4. **JWT生成与验证**:在用户成功登录后,使用JWT库生成包含用户信息的令牌,并返回给客户端。客户端在后续请求中携带此令牌,服务器端通过解码验证其有效性,以实现无状态认证。 5. **自定义Shiro Realm**:根据...
springboot集成jwt
01-25
6. **测试与使用** 使用`mvnw`或`mvnw.cmd`运行应用,通过`curl`或Postman测试API,确保JWT能够正确生成并用于后续的API调用。 ### 身份验证与授权 JWT提供了基于角色的访问控制。在`TokenProvider`中,你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值