web安全通信之JWT简介

最新推荐文章于 2024-08-12 21:23:17 发布
最新推荐文章于 2024-08-12 21:23:17 发布
阅读量671 收藏 2
点赞数 1
文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qincidong/article/details/82803347
版权

jwt简介

JWT是JSON Web Token的简称,它是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
和Cookie-Session的模式不同,JWT使用Token替换了SessionID的资源访问和状态保持。

jwt的组成

1.Header: 标题包含了令牌的元数据,并且在最小包含签名和/或加密算法的类型
2.Claims: Claims包含您想要签署的任何信息
3.JSON Web Signature (JWS): 在header中指定的使用该算法的数字签名和声明

jwt的认证过程

1.用户登录系统;
2.服务端验证,将认证信息通过指定的算法(例如HS256)进行加密,例如对用户名和用户所属角色进行加密,加密私钥是保存在服务器端的,将加密后的结果发送给客户端,加密的字符串格式为三个”.” 分隔的字符串 Token,分别对应头部、载荷与签名,头部和载荷都可以通过 base64 解码出来,签名部分不可以;
3.客户端拿到返回的 Token,存储到 local storage 或本地数据库;
4.下次客户端再次发起请求,将 Token 附加到 header 中;
5.服务端获取header中的Token,通过相同的算法对Token中的用户名和所属角色进行相同的加密验证,如果验证结果相同,则说明这个请求是正常的,没有被篡改。这个过程可以完全不涉及到查询 Redis 或其他存储;

jjwt

JJWT是一个提供端到端的JWT创建和验证的Java库。
JJWT的目标是最容易使用和理解用于在JVM上创建和验证JSON Web令牌(JWTs)的库。
JJWT是基于JWT、JWS、JWE、JWK和JWA RFC规范的Java实现。

jjwt安装

在pom.xml中配置jjwt的依赖即可:

<dependency>     
  <groupId>io.jsonwebtoken</groupId>     
  <artifactId>jjwt</artifactId>     
  <version>0.9.0</version>
</dependency>

创建签名秘钥

Key key = MacProvider.generateKey(); 
String compactJws = Jwts.builder().setSubject("Joe").signWith(SignatureAlgorithm.HS512, key).compact();

验证JWT

assert Jwts.parser().setSigningKey(key).parseClaimsJws(compactJws).getBody().getSubject().equals("Joe");

示例

下面通过一个示例代码来说明如何使用。示例程序基于springboot。
本例代码在:https://gitee.com/qincd/my-test-projects下的jwt-demo模块。

jwt的操作工具类:

public class TokenMgr {
    public static SecretKey generalKey() throws Base64DecodingException {
        byte[] encodedKey = Base64.decode(Constant.JWT_SECERT);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 签发JWT
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     * @throws Exception
     */
    public static String createJWT(String id, String subject, long ttlMillis) throws Base64DecodingException {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder()
                .setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(signatureAlgorithm, secretKey);
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date expDate = new Date(expMillis);
            builder.setExpiration(expDate);
        }
        return builder.compact();
    }

    /**
     * 验证JWT
     * @param jwtStr
     * @return
     */
    public static CheckResult validateJWT(String jwtStr) {
        CheckResult checkResult = new CheckResult();
        Claims claims = null;
        try {
            claims = parseJWT(jwtStr);
            checkResult.setSuccess(true);
            checkResult.setClaims(claims);
        } catch (ExpiredJwtException e) {
            checkResult.setErrCode(Constant.JWT_ERRCODE_EXPIRE);
            checkResult.setSuccess(false);
        } catch (SignatureException e) {
            checkResult.setErrCode(Constant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        } catch (Exception e) {
            checkResult.setErrCode(Constant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        }
        return checkResult;
    }

    /**
     *
     * 解析JWT字符串
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }

}

jwt校验实体类:

public class CheckResult {
    private boolean success;
    private Claims claims;
    private String errCode;

    public boolean isSuccess() {
        return success;
    }

    public void setSuccess(boolean success) {
        this.success = success;
    }

    public Claims getClaims() {
        return claims;
    }

    public void setClaims(Claims claims) {
        this.claims = claims;
    }

    public String getErrCode() {
        return errCode;
    }

    public void setErrCode(String errCode) {
        this.errCode = errCode;
    }
}

常量类:

public class Constant {
    public static final String JWT_SECERT = "security";
    public static final String JWT_ERRCODE_EXPIRE = "expire";
    public static final String JWT_ERRCODE_FAIL = "fail";
}

JwtFilter:用于拦截/api/*请求

public class JwtFilter extends GenericFilter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        // jwt验证
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        // 1.从Cookie获取jwt
        String token = getTokenFromCookie(request);

        if (StringUtils.isEmpty(token)) {
            // 2.从headers中获取
            token = request.getHeader("Authorization");
        }
        if (StringUtils.isEmpty(token)) {
            // 3.从请求参数获取
            token = request.getParameter("token");
        }

        if (StringUtils.isEmpty(token)) {
            throw new ServletException("Missing or invalid token.");
        }

        CheckResult checkResult = TokenMgr.validateJWT(token);
        if (checkResult.isSuccess()) {
            request.setAttribute("claims",checkResult.getClaims());
            filterChain.doFilter(servletRequest,servletResponse);
        }
        else {
            if (checkResult.getErrCode().equals(Constant.JWT_ERRCODE_EXPIRE)) {
                servletResponse.setCharacterEncoding("utf-8");
                PrintWriter printWriter = servletResponse.getWriter();
                printWriter.write("token过期,请重新登录");
                printWriter.flush();
                printWriter.close();
            }
            else if (checkResult.getErrCode().equals(Constant.JWT_ERRCODE_FAIL)) {
                PrintWriter printWriter = servletResponse.getWriter();
                servletResponse.setCharacterEncoding("utf-8");
                printWriter.write("token验证失败!");
                printWriter.flush();
                printWriter.close();
            }
        }
    }

    private String getTokenFromCookie(HttpServletRequest request) {
        String token = null;
        Cookie[] cookies = request.getCookies();
        int len = null == cookies ? 0:cookies.length;
        if (len > 0) {
            for (int i=0;i<cookies.length;i++) {
                Cookie cookie = cookies[i];
                if (cookie.getName().equals("token")) {
                    token = cookie.getValue();
                    break;
                }
            }
        }

        return token;
    }

    @Override
    public void destroy() {

    }
}

LoginController:

@Controller
public class LoginController {

    @RequestMapping(value = "/login",method = RequestMethod.GET)
    public String toLogin() {
        return "/login";
    }

    @RequestMapping(value = "/login",method = RequestMethod.POST)
    @ResponseBody
    public Map<String,String> login(String username,String password,HttpServletResponse response) {
        Map<String,String> result = new HashMap<String, String>(2);
        if (username.equals("admin") && password.equals("123456")) {
            String id= UUID.randomUUID().toString();
            String subject = "{role:1,permission:[1,2,3]}";
            try {
                String token = TokenMgr.createJWT(id,subject,5*60*1000L);
                result.put("token",token);
                result.put("code","0");
            } catch (Base64DecodingException e) {
                result.put("code","1");
                result.put("msg", "内部错误!");
            }
        }
        else {
            result.put("code","1");
            result.put("msg","用户名或密码错误!");
        }
        return result;
    }

}

ApiController:

@Controller
@RequestMapping("/api")
public class ApiController {

    @RequestMapping(value = "/test",method = RequestMethod.GET)
    @ResponseBody
    public Map<String,Object> test() {
        Map<String,Object> map = new HashMap<String, Object>(4);
        map.put("id",10000L);
        map.put("name","张三");
        map.put("age",99);
        return map;
    }
}

SpringBoot应用启动类:

@SpringBootApplication
public class WebApplication extends SpringBootServletInitializer {

    @Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder builder) {
        return builder.sources(WebApplication.class);
    }

    //过滤器
    @Bean
    public FilterRegistrationBean jwtFilter() {
        final FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new JwtFilter());
        registrationBean.addUrlPatterns("/api/*");
        return registrationBean;
    }

    public static void main( String[] args )
    {
        SpringApplication.run(WebApplication.class, args);
    }

}

增加对jwtFilter的配置。

login.jsp:

<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<c:set var="ctx" value="${pageContext.request.contextPath}"/>
<html>
<head>
    <title>用户登录</title>
</head>
<body>
  <div id="loginDiv">
    用户名:<input type="text" name="username"><br>
    密码:<input type="password" name="password"><br>
    <input type="button" value="登录" onclick="login();">
  </div>

<script type="text/javascript" src="${ctx}/js/jquery.js"></script>
<script>
  function login() {
    var t = {
      username:$('input[name=username]').val(),
      password:$('input[name=password]').val()
    };

    if (t.username == '' || t.password== '') {
      alert('参数不全');
      return;
    }

    $.post('${ctx}/login',t, function(r) {
      if (r.code == 0) {
        location.replace('${ctx}/api/test?token='+ r.token);
      }
      else {
        alert(r.msg);
      }
    });
  }
</script>
</body>
</html>

测试:
进入登录页面登录

这里用户名和秘密为admin和123456

输入后,点登录按钮,会进入到/api/test页面。

上面示例代码中token的有效期为5分钟,在5分钟内,可以在任何其他机器或浏览器输入登录后的地址,可以拿到返回结果。

如果超过5分钟再访问则会提示token过期。

示例工程参考:Web安全通讯之JWT的Java实现JWT 进阶 – JJWTJWT的Java使用 (JJWT)你的JWTs存储在哪里JWT(JSON WEB TOKEN)框架 JJWT 教程jjwt的github地址

luckystar2008
关注
专栏目录
JJWT应用到前后端分离项目或JSP页面项目中的登录、加签、验签、登出、自动化续签
qq_40144558的博客
08-14 1003
项目背景: 该项目是一个给用户使用的客户端,由于时间比较紧,而且需要考虑到组内开发学习成本所以直接使用的轻量级JWT,并没有使用spring security和OAuth2等;该项目使用技术点:springBoot、spring mvc、mybatis、Spring admin、actuactor、swagger、swaggerdocs等常用技术 因为jwt无法对token进行内部...
JWT 简介
海里鱼的技术博客
09-14 869
JWT 特点 体积小,因而传输速度快 传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输 严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。 支持跨域验证,可以应用于单点登录。 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5.
Web安全通讯之Token与JWT
wangcantian的博客
07-03 7442
本文用于个人学习笔记 * 简书地址Token 什么是token 为什么要用token 与传统的SESSION有什么区别 token身份验证流程 服务端中跟Token有关的问题 JWTJson Web Token 官网地址httpsjwtio jwt githubhttpsgithubcomjwtkjjwt 什么是JWTJson Web Token JWT长什么样子 JWT的结构 JWT签发与验证流
记一次JWT伪造的实战漏洞挖掘( 审核大大,本篇文章全程打码,并无敏感信息)
最新发布
记录开发和安全学习过程中的点点滴滴
08-12 3446
审核大大,本篇文章全程打码,并无敏感信息又是摸鱼的一天,闲的没事,找之前挖到漏洞的一个站玩玩,因为本次漏洞发现的过多写起博文来过长,因此本次单独将JWT这部分找出来进行记录,开局一个框,漏洞全靠扫,哦不对,全靠找.当然全文主要是对利用姿势做个总结,只有思路,没有详细利用,问就是报告写起来太费时间了,下面所有的利用流程图,通过打开新页面放大可以清晰查看,可自行下载食用.免责声明博文中涉及的方法可能带有危害性,仅供安全研究与教学之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任
使用JWT进行安全通信
weixin_53840353的博客
06-24 371
JWT是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
JWT安全
m0_48907714的博客
04-27 2884
检测方法 只有服务器没有检测的情况才能攻击成功(CTF会有,现实几乎没有,什么人写代码会不进行服务器验证呢) 查看数据包有没有Authorization类型(它用来发送jwt) 查看数据包格式是不是JWT格式 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,.
JWT安全
baidu_35758682的博客
10-10 644
缩短过期时间,强制JWT在一定时间后失效 放在头部进行授权认证 https加密 scrf令牌或者随机数的方法
JWT简介
qq_65345936的博客
09-18 2197
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
asp.net基于JWTweb api身份验证及跨域调用实践
10-18
JWT 是一种开放标准(RFC 7519),它定义了一种简洁的、自包含的方式用于通信双方之间以 JSON 对象的形式安全地传输信息。由于 JWT 可以直接在客户端和服务器之间传递,因此适用于分布式系统中的身份验证和授权。与...
.NET6WebAPI使用Sqlserver+JWT增删改查
06-26
在本项目中,".NET6WebAPI使用Sqlserver+JWT增删改查"是一个基于最新.NET框架.NET6...通过这个项目,开发者不仅可以掌握ASP.NET Core Web API的基本用法,还能了解到如何结合SQL Server和JWT构建安全、高效的Web服务。
Core5 WebApi JWT验证登录+注入依赖Demo
12-12
JSON Web Tokens(JWT)是一种安全的身份验证机制,用于在客户端和服务器之间传输信息。JWT包含三个部分:Header、Payload和Signature,分别用Base64编码,中间由点分隔。它能自包含用户信息,无需在每次请求时查询...
SPRING-JWT-WEB-安全
02-18
JWT(JSON Web Tokens)则是一种安全的、轻量级的身份验证机制,广泛用于现代Web应用的安全需求。本文将深入探讨如何使用Spring框架结合JWT来实现Web应用的安全性。 首先,Spring Security是Spring提供的一套强大的...
ASP.NET Core5.0 WebApi和BlazorWebAssembly 博客后台管理系统(jwt登录校验)MySQL
01-15
总结一下,这个项目利用ASP.NET Core 5.0的WebAPI构建后端服务,通过BlazorWebAssembly创建现代化的前端界面,同时用JWT进行用户身份验证,确保安全性。MySQL作为数据存储,提供高效可靠的数据管理。整个系统体现了...
JWT安全漏洞以及常见攻击方式
02-18 7179
随着web应用的日渐复杂化,某些场景下,仅使用Cookie、Session等常见的身份鉴别方式无法满足业务的需要,JWT也就应运而生,JWT可以有效的解决分布式场景下的身份鉴别问题,并且会规避掉一些安全问题,如CORS跨域漏洞,CSRF漏洞等。JWT即Json Web Token的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。
JWT 安全及案例实战
weixin_58954236的博客
09-14 1282
为了做这种区分,服务器就要给每个客户端分配不同的身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用此密码进行加密,生成的字符串就是 JWT 的签名。舍弃签名将修改过的JWT复制到bp的数据包中。
JWT安全校验详解
weixin_44605543的博客
08-13 479
总结: 拦截器: 拦截所有请求 对请求判断处理 符合条件方形,否则拦截 注意: 登录时向浏览器SessionStorage存令牌 每一次请求都把令牌放到请求头给后端 公钥:public 路径:private static final String pubKeyPath = “D:\ras\ras.pub”; JwtUtils.getObjectFromToken (authorization, RasUtils.getPublicKey(pubKeyPath) , Customer.class); 私.
深入解析JWT,从根源上保障你的网络安全
wuli1024的博客
12-07 1763
JWT结构 JWT由三部分组成,分别是头部、载荷和签名。头部用于描述签名算法和类型,载荷用于存储用户信息和过期时间等,签名用于验证Token的合法性和完整性。JWT优点 相比于传统的Session认证方式,JWT具有以下优点:无状态、可扩展、安全性高、跨平台、可自定义负载等。JWT使用场景 JWT适用于前后端分离的Web应用,如SPA单页面应用,APP等场景下。同时,JWT也可以用于微服务架构中的服务认证和授权。
安全认证--JWT介绍及使用
weixin_43811057的博客
03-01 1599
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值