Spring Boot 集成 JWT

已于 2022-12-02 18:52:21 修改
阅读量552 收藏
点赞数
分类专栏: 后端笔记 文章标签: spring boot 后端 java
于 2022-09-24 17:10:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq991658923/article/details/127027528
版权
本文介绍了如何在SpringBoot项目中集成JWT,用于安全地传输信息。JWT包含头部、载荷和签名三部分,并通过HMAC或RSA算法签名确保安全性。文中展示了配置依赖、设置JWT参数、生成及验证JWT令牌的代码示例,为实际开发提供了参考。
摘要由CSDN通过智能技术生成

Spring Boot 集成 JWT

本章节将介绍 Spring Boot 集成 JWT。

🤖 Spring Boot 2.x 实践案例(代码仓库)

介绍

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。

因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私钥对进行签名。

Json Web Token

组成部分

JWT 实际上就是一个字符串,它由三部分组成:头部、载荷与签名。

前两部分需要经过 Base64 编码,后一部分需通过前两部分 Base64 编码后再加密而成。

头部(Header)

用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等,也可以被表示成一个 JSON 对象。

{
    "typ": "JWT",
    "alg": "HS256"
}

载荷(playload)

载荷用于存放有效信息,有效信息包含三个部分:

  1. 标准中注册声明(建议但不强制使用)

    • iss:jwt签发者
    • sub:jwt所面向的用户
    • aud:接收jwt的一方
    • exp:jwt过期时间(过期时间必须要大于签发时间)
    • nbf:定义在什么时间之前,该jwt都是不可用的
    • iat:jwt签发时间
    • jti:jwt唯一身份标识,主要用来作为一次性token,从而回避重放攻击

  2. 公共声明:可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。

  3. 私有声明:提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 base64 是对称解密的,意味着该部分信息可以归类为明文信息。

注意:载荷中的这3个声明并不是都要同时设置。

签名(signature)

这个部分需要 Base64 加密后的 header 和 Base64 加密后的 payload 使用 “.” 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。

快速开始

引入依赖

 <dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.0.0</version>
</dependency>

配置文件

jwt:
  # 秘钥
  secret: spring-boot-learning-examples-jwt
  # 过期时间(秒)
  expires: 604800

生成令牌

@PostMapping("/generate")
public void getToken(@RequestParam String uid) {
    Algorithm algorithm = Algorithm.HMAC256("spring-boot-learning-examples-jwt");
    LocalDateTime issued = LocalDateTime.now();
    LocalDateTime expires = issued.plusSeconds(604800);
    String token = JWT.create()
            .withClaim("uid", uid)
            .withExpiresAt(Date.from(expires.atZone(ZoneId.systemDefault()).toInstant()))
            .withIssuedAt(Date.from(issued.atZone(ZoneId.systemDefault()).toInstant()))
            .sign(algorithm);
}
  • withClaim:存放有效信息
  • withExpiresAt:设置过期时间
  • withIssuedAt:设置签发时间

校验令牌

@GetMapping("/verify")
public void verifyToken(@RequestHeader(value = "Authorization") String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256("spring-boot-learning-examples-jwt");
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
    } catch (JWTVerificationException e) {
        e.printStackTrace();
    }
}

Claims

@GetMapping("/claims")
public ResponseVO getClaims(@RequestHeader(value = "Authorization") String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256("spring-boot-learning-examples-jwt");
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        Map<String, Claim> claims = jwt.getClaims();
        String uid = claims.get("uid").asString();
    } catch (JWTVerificationException e) {
        e.printStackTrace();
    }
}
人人都在发奋
关注
专栏目录
spring boot + jwt登录
08-02
开发者可以通过研究这些代码来学习如何在自己的项目中实现Spring BootJWT集成。 总结一下,Spring Boot结合JWT提供了一种高效且安全的登录验证方法,它允许前后端分离的应用在不泄露敏感信息的情况下进行用户...
SpringBoot集成JWT(极简版)
程序员青戈
09-30 1万+
话不多说,直接上代码。
springboot集成JWT
weixin_67958017的博客
02-02 4246
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。JWT本身没有定义任何技术实现,它只是定义了一种基于Token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别适用于分布式站点的单点登录(SSO) 场景。JSON Web Token是目前最流行的跨域认证解决方案,,适合。
Spring Boot项目中集成JWT进行身份验证
最新发布
m0_56131422的博客
09-05 1499
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境中安全地传递信息。它主要用于在客户端和服务器之间传递经过签名的 JSON 数据,以确保数据的完整性和真实性。
SpringBoot整合JWT
m0_71467744的博客
04-17 2173
JWT 就是上述痛点的解决方案之一,客户端在请求服务端进行登录操作时,服务端验证用户的账号和密码,验证成功后生成 token 返回给客户端,之后浏览器的每一次操作都会在请求头中带上这个 token,服务器会验证该 token 信息,验证成功后才会返回资源给浏览器。JWT 的开销非常小,可以轻松在不同的域名中传递,所以在单点登录(SSO)中用到比较广泛,信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。
SpringBoot集成Jwt(详细步骤+图解)
wenjiangwang的专栏
12-21 3218
https://blog.csdn.net/weixin_67958017/article/details/128856282
Springboot项目整合JWT
qq_51770163的博客
03-19 2010
Springboot框架整合JWT拦截验证
SpringBoot集成JWT(概念篇)
Wdoing的博客
11-01 2923
JWT的基本概念
spring boot整合JWT 2
10-17
Spring Boot集成Spring Security,首先需要在`pom.xml`文件中添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ``` 然后,创建一个配置类`SecurityConfig`...
53-Spring Boot实现JWT1
08-08
在本文中,我们将探讨如何使用Spring Boot来实现基于JWT(JSON Web Token)的OAuth2.0授权机制。...通过理解并实践上述步骤,你可以轻松地在Spring Boot应用中集成JWT,为你的无状态API提供强大的安全保障。
SpringBoot集成JWT快速入门Demo
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringBoot集成JWT实现Token登录验证
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
SpringBoot集成JWT
no1xiaoqianqian的博客
09-29 641
SpringBoot集成JWT
SpringBoot整合JWT
蛋饼吧的博客
05-18 9138
1.认证方式我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
史上最全面的基于JWT token登陆验证
SuperBins的博客
07-18 3552
介绍JWT 1、什么是JWTJWT(Json web token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。 2、JWT的组成: jwt由header(头部),playload(载荷)、signature(签名三部分组成) 头部部分header { “alg”: “HS256”, “typ”: “JWT” } alg描述的是签名算法。默认值是HS...
SpringBoot之整合JWT
热门推荐
百锦再的博客
12-02 1万+
令牌组成。
Spring Boot整合JWT框架以高效处理Token验证
Spring BootJWT集成 - **整合步骤**:在Spring Boot项目中整合JWT通常需要引入JWT依赖库,创建Token的生成器和验证器,以及配置相关的安全策略来保护资源。 - **安全性考量**:在设计Token验证流程时,需要考虑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人人都在发奋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值