JWT认证原理

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量771 收藏
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qixiang_chen/article/details/106993710
版权

基于HTTP协议的软件认证方式有很多,鉴于HTTP协议无状态性,所有的认证方式必须解决HTTP请求有状态性问题,也就是如何创建一个HTTP上下文,将区分哪些HTTP请求来自同一用户操作。传统解决方式是生成HTTP会话,并将会话ID存放在客户端浏览器中的Cookie或者URL重写这两种方式,伴随系统实现方式变化,越来越多的系统使用前后端分离的架构,系统遭受XSS,XSRF攻击的可能性也越大。现在JWT认证被广泛应用。下面介绍JWT认证原理:

Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),
JWT加密签名后形成类似aaa.bbb.ccc形式的字符串,是由三部分组成,客户端需要记录在浏览器的本到localStorage,每次请求时将JWT字符串放到HTTP Header中的Authorization里面,服务器单将解析JWT字符串,判断是否被篡改过、是否Token过期等,如果验证通过放行,如果不通过返回错误信息。

JWT由三部分组成

第一部分:头部(Header)

{
  "alg": "HS256",//JWT加密算法(alg)
  "typ": "JWT" // JWT Token类型(typ)
}

将头部进行base64加密,生成aaa.bbb.ccc的第一部分(aaa部分)

eyJhbGciOiJIUzI1NiJ9

第二部分:载荷(payload)

这部分就是存放信息的地方了,可以把用户 ID 等信息放在这里,JWT 规范里面对这部分有进行了比较详细的介绍,常用的由 iss(签发者),exp(过期时间),sub(面向的用户),aud(接收方),iat(签发时间)。

{
    "iss": "HK",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "",
    "sub": "userid"
}

iss: 该JWT的签发者,一般是服务器或系统名称,是否使用是可选的;
iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;
exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;
aud: 接收该JWT的一方,是否使用是可选的;
sub: 该JWT所面向的用户,userid,是否使用是可选的;
上述属性是JWT规范中定义的,用户还可以自定义属性,其数据结构是JSON

{
    "iss": "HK",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "",
    "sub": "userid",
    "role":["admin","user"],
    "username":"java"
}

载荷(payload)通过Base64加密后生成aaa.bbb.ccc的第二部分(bbb)

eyJqdGkiOiIxIiwic3ViIjoidXNlciIsImlzcyI6InVzZXIiLCJpYXQiOjE1OTMzMDczOTMsImV4cCI6MTU5MzMwNzQ5M30

第三部分:签名(signature)

HMACSHA256(  
    base64UrlEncode(header) + "." + //第一部分 aaa
    base64UrlEncode(payload), //第二部分 bbb
    SECREATE_KEY  //服务器端存储的密钥
)

加密算法是在JWT第一部分中定义的加密算法

//加密内容
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
//签名,密钥是存储在服务器端的,不可泄漏给其他人
var signature = HMACSHA256(encodedString, '密钥');

加密后的JWT字符串

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwic3ViIjoidXNlciIsImlzcyI6InVzZXIiLCJpYXQiOjE1OTMzMDczOTMsImV4cCI6MTU5MzMwNzQ5M30.RwsRLF1b3LbUvV_qJ7YGeht5JvpNXomijeKto1NI8Uw

在这里插入图片描述

例程

本例程只演示生成JWT Token字符串和验证JWT Token字符串,没有集成到登录模块中。
POM.xml添加依赖

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.2.0</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>

package com.bnzj.cloud.auth;

import java.sql.Date;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

import org.bouncycastle.util.encoders.Base64;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.SignatureException;

public class JwtUtils {
    /**
     * 生成JWT
     * @param id 唯一ID
     * @param subject 主题
     * @param ttlMillis 有效微秒数
     * @return  String 返回JWT JSON 字符串
     *
     */
    public static String createJWT(String id, String subject, long ttlMillis) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder()
                .setId(id)
                .setSubject(subject)   // 主题
                .setIssuer("user")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey); // 签名算法以及密匙
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date expDate = new Date(expMillis);
            builder.setExpiration(expDate); // 过期时间
        }
        return builder.compact();
    }
    /**
     * 验证JWT Token是否正确
     */
    public static CheckResult validateJWT(String jwtStr) {
        CheckResult checkResult = new CheckResult();
        Claims claims = null;
        try {
            claims = parseJWT(jwtStr);
            checkResult.setSuccess(true);
            checkResult.setClaims(claims);
        } catch (ExpiredJwtException e) {
            checkResult.setErrCode(Constant.JWT_ERRCODE_EXPIRE);
            checkResult.setSuccess(false);
        } catch (SignatureException e) {
            checkResult.setErrCode(Constant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        } catch (Exception e) {
            checkResult.setErrCode(Constant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
            
        }
        return checkResult;
    }
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.decode(Constant.JWT_SECERT);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
    
    /**
     * 
     * 解析JWT字符串
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
            .setSigningKey(secretKey)
            .parseClaimsJws(jwt)
            .getBody();
    }
    
    public static void main(String[] args)
    {
    	String id = "1";
    	String subject = "user";
    	long ttlMillis = 100000L;
    	//生成JWT字符串
    	String jwt = JwtUtils.createJWT(id, subject, ttlMillis);
    	System.out.println(jwt);
    	//验证JWT JSON是否合法 
    	System.out.println(JwtUtils.validateJWT(jwt));
    }
}
class CheckResult{
	boolean isOk;
	Claims claims;
	String code;
	
	public void setSuccess(boolean b)
	{
		this.isOk = b;
	}
	public void setClaims(Claims claims)
	{
		this.claims = claims;
	}
	public void setErrCode(String code)
	{
		this.code = code;
	}
	public String toString()
	{
		return "CheckResult[isOk="+isOk+",code="+code+",chaims="+claims+"]";
	}
}
class Constant{
	//错误代码定义
	public static String JWT_ERRCODE_EXPIRE = "expire";
	public static String JWT_ERRCODE_FAIL = "fail";
	//密钥 Base64编码
	public static String JWT_SECERT = 
            "MIICXAIBAAKBgQCsPS1u1r7pl3VsEK4Tvc2NjNvXhaO2ACh+R889bMo3rz9PQQur\n" +
            "bj83pKfFDqcAbj/bhXbcQMG+Gs8WlUFmFNBVr651IL5h1gCrxfyivsQbWYbX5p4J\n" +
            "fk52rCMr2QJjnCvyFh1layHZ2gg5/cLQsMR8SqGTHaQmSLCHkoaVq7u8IQIDAQAB\n" +
            "AoGARSoH7YNkhI7igzOrg5frTBUtTr2GgRZNLHCPot3l0jiYVq4LDpsl3aVMDZCV\n" +
            "tVGQaQmOMmH6quk/EZV7/o8LHUTGcj6i1p2vKBqmAz9M9eUFE/eFctf+k6PAiqKc\n" +
            "kFa9HRSBukWne8SZw81qcxVxxw728dvzzahjP/n/mf9c/wUCQQDYjbZyrdK6QH86\n" +
            "9P+VhZHeqEBa+rerSMxY3KiCYfRDh8v+C5CNZXdvWVXafu3B/o/U4e7eSyReBomw\n" +
            "ybTlwdBrAkEAy5z+o0apRTsuUztAtJvhd0LGsuTyp8TzlI4nFywEHdLzJ47LNnQa\n" +
            "yD9P7VBQO4ZeYb+sKC4Qayf6vMR5q94YowJBALSIkA3S89bqZidUkK6qiA1D30L5\n" +
            "uZ1GN3Xtn13zI5wY3euQ4JXAfW2K4JQjNTuBaY9kO6t+oXbxpGCKCBFzHrkCQGFI\n" +
            "3L2EmIH0mdi4udzRkfOamzeEfpA8YSl8lh7TMBBT50viRSP6a4V8AqNfuUYHmHbZ\n" +
            "ztbP05ZvXrTspzm//0MCQHUcBARpGbzBnMI7j8xAjZJcrpmAhiMKjsix96sJPDjK\n" +
            "ocy7JgQCH1252bIPiaqO3wjCy+F31IClFNNaw3JQRCA=\n";
}
华科易迅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt 原理
weixin_48334703的博客
10-05 1896
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT认证原理、流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
jwt认证原理
weixin_52596593的博客
10-12 922
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
一文读懂JWT认证含使用教程
最新发布
八戒的博客
05-29 1185
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
JWT认证标准原理 及在微服务系统中的设计及实现
Buynow_Zhao的博客
05-31 6413
引言 最近一直在思考微服务架构下的最佳授权方式,于是JWT便出现在了我的视野中,通过对其原理的学习及在项目中的实践我想这便是我想要的答案,本文将阐述JWT 背景原理,以及提及我在开发系统过程中通过API网关来进行JWT鉴权实现过程,下图展示了系统的架构及JWT认证所处位置;介绍 JWT (JSON Web Token) 是一套特别流行于分布式系统采用的授权标准 ,在采用加...
COOKIE使用以及sessions使用和优缺点
weixin_51118163的博客
10-05 309
COOKIE使用以及sessions使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信
7、DRF实战总结:JWT认证原理和使用,以及第三方库simplejwt 的详解源码
04-05
JSON Web Token(JWT)是一种用于认证和授权的开放标准,允许在客户端和服务器之间传递信息,以验证用户身份和授权访问特定资源。它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此...
浅谈ASP.NET Core 中jwt授权认证的流程原理
10-15
1. **配置JWT服务**:在`Startup.cs`的`ConfigureServices`方法中,使用`services.AddAuthentication()`添加JWT认证,并指定认证方案(通常为"Bearer")。接着,使用`.AddJwtBearer()`扩展方法配置JWT验证参数,包括...
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份...无论是初学者还是经验丰富的开发者,都能从中受益,快速地将JWT认证集成到自己的应用中。
jwt认证
02-25
总结来说,JWT认证是现代Web应用中常用的身份验证机制,它通过在客户端和服务器间传递数字签名的令牌,实现了安全、无状态的认证过程。在PHP环境中,理解和掌握JWT原理及其实现方法对于提升Web应用的安全性具有...
JWT验证原理
qq_42499188的博客
07-16 619
1.概述 什么是JWT?JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息。 2.JWT的结构 JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。 如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信息的完整性,可靠性。 2.1 头部(Header) JWT的头部用于描述关于该JWT的最基本的信息,例如.
jwt
qq_43588771的博客
08-18 216
jwtJWT是什么实例后端前端 JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-...
jwt认证基本原理
m0_45794437的博客
05-27 300
JWT原理与解析 简介 Json web token (JWT)一串用Base64编码的json字符串,放在请求头(Header)中一串数据。一般用于单点登录。 组成 三部分:第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 放一些我们要访问的信息),第三部分是签证(signature). 格式:header.payload.signature header jwt的头部承载两部分信息:一般默认即可 声明加密的算法(singnature处用到) 通常直接使用 HMAC
jwt原理
m0_51946387的博客
11-02 180
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1518
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
JWT鉴权-JWT原理
weixin_47906106的博客
07-24 1102
先抛开JWT,回顾一下我们传统的网页,是通过Cookie的方式实现鉴权的,在用户登陆完成后,返回能识别该用户的信息到浏览器的Cookie中,下一次浏览器请求相同域名的时候,会自动把上次从服务器获取的Cookie提交上去,从而实现用户鉴权。关于flask-jwt-extended的讲解就在这里,学会这些,您在前后端分离项目中的鉴权,将没有任何问题。当然,也可以把jwt设置到cookie中,Body中,甚至是请求URL的参数中,但设置在请求头中实际上是最方便的,只要在请求方法中封装好,调用起来非常方便。
JWT原理
子冉冰清的博客
09-26 6918
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
我想了解下jwt认证原理
03-27
JWT 的基本原理是使用一个 JSON 对象作为载荷,将一些有关用户身份的信息加密,并生成一个签名,然后将其作为字符串发送给服务器或其他应用程序。 JWT认证过程通常分为三个步骤: 1. 用户登录:用户提供用户名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值