通过 JWT(JSON Web Token)实现令牌

已于 2024-04-24 09:46:15 修改
阅读量1.2k 收藏 21
点赞数 25
分类专栏: 面试 快速开发 类以及方法 文章标签: json
于 2024-02-01 15:41:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q322359/article/details/135950746
版权

        关于令牌的概念推荐看令牌技术实现登录的思路

前言

        令牌本质就是⼀个字符串,它的实现⽅式有很多,我们采⽤⼀个 JWT 令牌来实现.

介绍

JWT全称:JSON Web Token

官⽹: https://jwt.io/

        JSON Web Token(JWT)是⼀个开放的⾏业标准(RFC 7519),⽤于客户端和服务器之间传递安全可靠的信息.

        其本质是⼀个 token(令牌),是⼀种紧凑的 URL 安全⽅法.

JWT 组成

        JWT由三部分组成,每部分中间使⽤点 (.) 分隔,⽐如:aaaaa.bbbbb.cccc

        • Header(头部)头部包括令牌的类型(即JWT)及使⽤的哈希算法(如 HMAC SHA256 或RSA )

        • Payload(负载)负载部分是存放有效信息的地⽅,⾥⾯是⼀些⾃定义内容.⽐如: {"userId":"123","userName":"zhangsan"} ,也可以存 jwt 提供的现场字段,⽐如 exp(过期时间戳)等. 此部分不建议存放敏感信息,因为此部分可以解码还原原始内容.

        • Signature(签名) 此部分⽤于防⽌ jwt 内容被篡改,确保安全性

        防⽌被篡改,⽽不是防⽌被解析. JWT 之所以安全,就是因为最后的签名. jwt 当中任何⼀个字符被篡改,整个令牌都会校验失败.就好⽐我们的⾝份证,之所以能标识⼀个⼈的⾝份,是因为他不能被篡改,⽽不是因为内容加密.(任何⼈都可以看到⾝份证的信息, jwt 也是)

        如下图:

        当我们将正确的令牌进行解码时,就能得到令牌中的信息

        对左边部分的信息, 使⽤Base64Url 进⾏编码,合并在⼀起就是 jwt 令牌 Base64 是编码⽅式,⽽不是加密⽅式

JWT令牌生成和校验

1. 引⼊ JWT 令牌的依赖

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt-api</artifactId>
 <version>0.11.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt-impl</artifactId>
 <version>0.11.5</version>
 <scope>runtime</scope>
</dependency>
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is 
preferred -->
 <version>0.11.5</version>
 <scope>runtime</scope>
</dependency>

2. 使⽤ Jar 包中提供的 API 来完成 JWT 令牌的⽣成和校验

⽣成令牌:

@SpringBootTest
public class JwtUtilTest {
    //使用 Jwt 令牌最关键的是生成令牌和校验令牌

    //令牌的过期时间 单位(毫秒)1小时
    private static final long expiration=60*60*1000;
    //密钥
    private static final String secretString="sfo9tYSzXYjGIzAbhFBs6wHhxiWZZsA5QFCHV2yLsg0=";
    /**
     * 安全密钥
     * Keys 调用 hmacShaKeyFor() 方法来创建,参数是根据 BASE64 解码后的密钥
     * */
    private static final SecretKey SECRET_KEY=Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretString));

    /**
     * 1.生成令牌
     * */
    @Test
    public void genJwt(){
        Map<String,Object> claim=new HashMap<>();
        claim.put("id",1);
        claim.put("userName","张三");
        String jwt= Jwts.builder()
                .setClaims(claim)   //设置自定义内容(负载)
                .setIssuedAt(new Date())    //设置签发时间
                .setExpiration(new Date(System.currentTimeMillis()+expiration))     //设置过期时间
                .signWith(SECRET_KEY)   //设置签名算法
                .compact();

        System.out.println(jwt);
    }
}

        输出创建的令牌为:eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlck5hbWUiOiLlvKDkuIkiLCJpYXQiOjE3MDY3NjkyMTYsImV4cCI6MTcwNjc3MjgxNn0.7vkw8ee6qcYaQzBwAbWb-Yon8bOt8PH8Xad83gJv2LY

        创建令牌的大致流程;

        1.先自己写或者生成一个密钥(密钥的长度必须大于256个字节)

        2.调用多个方法根据密钥生成一个安全密钥(详情看 SECRET_KEY 的创建过程)

        3.调用接口设置令牌的相关属性,安全密钥需要用来设置签名算法(详情看 jwt 的创建)

生成密钥

        对密钥有⻓度和内容的要求,建议使⽤io.jsonwebtoken.security.Keys#secretKeyFor(signaturealgalgorithm)⽅法来创建⼀个密钥

详细创建过程如下:

/**
     * 生成密钥
     * 对于密钥有⻓度和内容的要求,建议使⽤
     * io.jsonwebtoken.security.Keys#secretKeyFor(signatureAlgorithm)⽅法来创建⼀个密钥
     * */
    @Test
    public void genSecret(){
        //创建了一个密钥生成器
        //参数是一个枚举类型,表示加密算法
        Key key=Keys.secretKeyFor(SignatureAlgorithm.HS256);
        String secretString=Encoders.BASE64.encode(key.getEncoded());
        System.out.println(secretString);
    }

校验令牌

完成了令牌的⽣成,我们需要根据令牌,来校验令牌的合法性(以防客户端伪造)

        我们把⽣成的令牌通过官⽹进⾏解析,就可以看到我们存储的信息了

        1. HEADER 部分可以看到,使⽤的算法为 HS256

        2. PAYLOAD 部分是我们⾃定义的内容, iat 表示创建时间,exp 表⽰过期时间

        3. VERIFY SIGNATURE 部分是签名,通过签名算法计算出来,所以不会解析

我们当然也可以通过代码来校验令牌的合法性,代码如下:

 /**
     * 解析令牌
     * 需要根据令牌,来校验令牌的合法性(以防客户端伪造)
     * */
    @Test
    public void parseJwt(){
        String token="eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlck5hbWUiOiLlvKDkuIkiLCJpYXQiOjE3MDY3NjkyMTYsImV4cCI6MTcwNjc3MjgxNn0.7vkw8ee6qcYaQzBwAbWb-Yon8bOt8PH8Xad83gJv2LY";
        //创建解析器,设置签名所用的安全密钥
        JwtParserBuilder jwtParserBuilder=Jwts.parserBuilder().setSigningKey(SECRET_KEY);

        //解析 token
        Claims claims = jwtParserBuilder.build().parseClaimsJws(token).getBody();
        System.out.println(claims);
    }

运⾏结果:

        令牌解析后,我们可以看到⾥⾯存储的信息,如果在解析的过程当中没有报错,就说明解析成功了.

        令牌解析时,也会进⾏时间有效性的校验,如果令牌过期了,解析也会失败.修改令牌中的任何⼀个字符,都会校验失败,所以令牌⽆法篡改

小林想被监督学习
关注
  • 25
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Jwt:.Net和.Net Core的JSON Web令牌实现
04-08
.Net的JSON Web令牌 提供对JWT的支持。 该库旨在提出高性能的JWT原语。 配套 包裹 版本 描述 JsonWebToken 带有JWT原语的Nuget包。 将此包用于常见的JWT用法。 JsonWebToken.OAuth2 具有和原语的Nuget软件包。 使用此程序包可用于更具体的用途,例如,,,,或。 JsonWebToken.SecurityEventTokens Nuget包,其中包含特定的原语。 JsonWebToken.KeyVault 支持Key Vault的Nuget软件包。 如果您的密钥存储在Azure KeyVault中,请使用此软件包。 安装 安装JsonWebToken NuGet软件包。 程序包管理器控制台 Install-Package JsonWebToken -Version 1.9.3 对于最新的Beta版本: Insta
fast-jwt:快速 JSON Web Token 实现
07-23
快速jwt 快速 JSON Web 令牌实现。 安装 赶紧跑: npm install fast-jwt 用法 创建签名者 通过调用createSigner并提供以下一个或多个选项来创建签名者函数: key :字符串或缓冲区,包含HS*算法的秘密或RS* 、 PS* 、 ES*和EdDSA算法的 PEM 编码公钥。 键也可以是接受 Node 风格回调的函数或返回承诺的函数。 这是唯一的强制性选项。 这是唯一的强制性选项,如果令牌算法为none则不得提供。 algorithm :用于对令牌进行签名的算法。 默认值是从钥匙自动检测,采用RS256的RSA私钥, HS256对于普通的秘密,记者ES或EdDSA算法EC或埃德·私钥。 mutatePayload :如果原始有效负载必须就地修改(通过Object.assign ),因此将导致更改为调用方函数。 expiresIn :令牌
网络安全防护-JSON WEB TOKEN讲解与实战_jsonwebtoken 规范
最新发布
m0_v648374的博客
04-12 684
然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
php-jwt:JWTJSON Web Token)生成器、解析器、验证器和验证器的 PHP 实现
05-29
PHP-JWT PHP-JWT 是一个用 PHP 编程语言编写的包,用于编码(生成)、解码(解析)、验证和验证 JWTJSON Web 令牌)。 它提供了一个流畅、易于使用和面向对象的界面。 由确认。 文档 版本号 2.xx (LTS) 1.xx(不支持) JWT是什么? 如果您不熟悉JWT,则可以阅读或 安装 使用以下命令将包添加到 Composer 依赖项: composer require miladrahimi/php-jwt " 2.* " 简单的例子 以下示例展示了如何生成 JWT 并使用HS256算法对其进行解析。 use MiladRahimi \ Jwt \ Generator ; use MiladRahimi \ Jwt \ Parser ; use MiladRahimi \ Jwt \ Cryptography \ Algorithms \ Hma
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌token
php-jwt:在PHP中使用JSON Web令牌JWT)的便捷库
02-23
php-jwt 一个方便的库,用于在PHP中使用JSON Web令牌JWT)。 该库符合的规定,但不允许未签名的JWT(“无”算法)除外,并且对以下声明具有内置支持: aud (受众群体)主张- exp (到期时间)索赔- iat (在iat发出)索赔- iss (发行方)索赔- nbf (不在此之前)索赔- 要求 PHP 7.2或更高版本 OpenSSL PHP扩展(用于某些算法) 目录 安装 如果您使用的是Composer,则可以通过从项目的根文件夹运行以下命令来安装此库的最新版本: composer require lindelius/php-jwt 您也可以通过导航到“发布”页面,然后展开最新版本的“资产”部分来手动下载该库。 用法 步骤1.扩展抽象JWT模型并选择一种算法。 use Lindelius \ JWT \ Algorithm \ HMAC \ HS256
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 4713
JSON Web Token (JWT)详解
Java中Json web token (JWT)的使用
热门推荐
UserGuan的博客
08-29 1万+
JWT是什么? 使用JWT的好处 使用io.jsonwebtoken包的方式 pom.xml导入的jar包 User实体 JjwtUtil类 TestJjwt测试类 打印的结果 使用com.auth0包的方式 pom.xml文件 User实体使用上面的 JWTInterceptor拦截器 spring-context.xml配置文件 web.xml配置文件 JWTUti......
JSON Web Token (JWT)
lizsy的博客
04-10 836
JSON Web Token (JWT) 是一种开放标准 (),我们常说的jwt token令牌),其实就是按照jwt制定的标准生成的字符串令牌
JWTJson Web Token)简介
crg18438610577的博客
04-01 1268
JWTJson Web Token)简介~
JSON WEB TOKEN从原理到实战(基于java)
Java搜索工程技术栈
06-18 725
JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。简称JWT,在HTTP通信过程中,进行身份认证。我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。因此需要对访问的客户端进行识别,常用的做法是通过session机制:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessio
了解JWT(跨域)
weixin_50999696的博客
11-22 1029
什么是JWT呢? 1、JWT(JSON Web Token) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 简单的讲就是,JWT是一个带签名及用户相关的信息加密成串,页面请求校验登录接口时,请求头中携带JWT串到后端服务,后端通过签名加密串匹配校验,保证信息未被篡改。校验通过则认为是可靠的
关于JWTJson Web Token
04-11 466
/</</</
JWT的原理及实际应用
liaozhixiangjava的博客
10-13 706
定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案JWT官网由于HTTP协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此时又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
Java实现JSON Web TokenJWT)的生成、解码和验证
codexiaoke的博客
05-15 2526
JSON Web TokenJWT)是一种用于安全传输信息的开放标准。它可以用于认证和授权用户,以及在不同系统之间传输数据。在本文中,我们将介绍如何在 Java 中使用 jjwt 库来生成、解码和验证 JWT
解锁互联网安全的新钥匙:JWTJSON Web Token
weixin_74268571的博客
10-13 1552
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理和JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
基于io.jsonwebtokenjwt工具类——tokenUtils
CY2333333的博客
07-09 6427
   实习期间利用无聊的空余时间写的一个JWT的工具类,可以用于token生成,token解码,token刷新。工具类基于io.jsonwebtoken——一个jwt的生成库。 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.lang.reflect.Fie
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. 问题解决
fengzheng1232的博客
08-11 913
报错:io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. Current time: 2023-08-11T21:44:58Z, a difference of 83334559 milliseconds. Allowed clock skew: 0 milliseconds.(JWT于2023-08-10T22:36:04Z到期。当前时间:2023-08-11T21:44:58Z,相差83334559毫秒。
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小林想被监督学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值