Jwt令牌总结

最新推荐文章于 2024-04-07 15:42:31 发布
最新推荐文章于 2024-04-07 15:42:31 发布
阅读量549 收藏
点赞数
分类专栏: 授权认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18361601/article/details/107643445
版权

1.Jwt令牌介绍
2.基于私钥生成jwt令牌
3.基于公钥解析jwt令牌
4.应用场景

1.Jwt令牌介绍

Jwt令牌主要由三部分组成头部,负载,签名,每个部分用点隔开

  • 头部主要包含令牌类型和使用的加密算法

  • 载荷主要存放信息,可以解码还原

  • 签名:

    签名=头部+载荷+签名
    头部和载荷都采用Base64Url编码和签名进行(用**.**进行)拼接生成签名

2.基于私钥生成Jwt令牌

准备私钥,公钥放入resource文件下,基于私钥携带数据生成jwt令牌

public class CreateJwtTest {
    /**
     * 创建令牌测试
     */
    @Test
    public void createJWT() {
        //基于私钥生成jwt
        //1. 创建一个秘钥工厂
        //1: 指定私钥的位置
        ClassPathResource classPathResource = new ClassPathResource("changgou.jks");
        //2: 指定秘钥库的密码
        String keyPass = "changgou";
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(classPathResource, keyPass.toCharArray());

        //2. 基于工厂获取私钥
        String alias = "changgou";
        String password = "changgou";
        KeyPair keyPair = keyStoreKeyFactory.getKeyPair(alias, password.toCharArray());
        //将当前的私钥转换为rsa私钥
        RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) keyPair.getPrivate();

        //3.生成jwt

        //存储一些数据
        Map<String, String> map = new HashMap();
        map.put("company", "baidu");
        map.put("address", "beijing");

        Jwt jwt = JwtHelper.encode(JSON.toJSONString(map), new RsaSigner(rsaPrivateKey));
        String jwtEncoded = jwt.getEncoded();
        System.out.println(jwtEncoded);
    }
}

3.基于公钥解析jwt令牌

public class ParseJwtTest {

    /**
     * 校验令牌
     */
    @Test
    public void testParseToken() {
        //令牌
        String token = "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJhZGRyZXNzIjoiYmVpamluZyIsImNvbXBhbnkiOiJiYWlkdSJ9.JdtrwOQMvg6ZzP9zKvUZAXrd7zF_ufgi0ye_DQHeSukVwHXR9pN3MxQUCMp0uAawbFkCeNNglghbOflusDBK20qel5fZQLOZCAiL3kdx1z2Edvsu4QheTdRmNDtlA0vppmwWueRZgUrRiGK7GVhJeEOnNhp4DzKOSThy0XBdL6ECela7PHyGV1wyq51TxiDHK7onvTk2L-0CRoLwmqk27AsDd9X49Z-HnGxxSCpRBoEoVJEpVLo6qJxBYzpVN13zQqmefjb-tmgjeJaM-CtYHDvez-hkUj4Tu--sYtnBxbntiOCTFTztxOjs5AtLOK2B46qJbMZnxqYt15Nh6Rt-9A";

        //公钥
        String publicKey ="-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvFsEiaLvij9C1Mz+oyAmt47whAaRkRu/8kePM+X8760UGU0RMwGti6Z9y3LQ0RvK6I0brXmbGB/RsN38PVnhcP8ZfxGUH26kX0RK+tlrxcrG+HkPYOH4XPAL8Q1lu1n9x3tLcIPxq8ZZtuIyKYEmoLKyMsvTviG5flTpDprT25unWgE4md1kthRWXOnfWHATVY7Y/r4obiOL1mS5bEa/iNKotQNnvIAKtjBM4RlIDWMa6dmz+lHtLtqDD2LF1qwoiSIHI75LQZ/CNYaHCfZSxtOydpNKq8eb1/PGiLNolD4La2zf0/1dlcr5mkesV570NxRmU1tFm8Zd3MZlZmyv9QIDAQAB-----END PUBLIC KEY-----";

        //校验Jwt
        Jwt jwt = JwtHelper.decodeAndVerify(token,new RsaVerifier(publicKey));
		
		//获取jwt中存储的数据
        String claims = jwt.getClaims();
        System.out.println(claims);
        //jwt令牌
        String encoded = jwt.getEncoded();
        System.out.println(encoded);
    }
}

4.应用场景

1.用于微服务鉴权

1. 用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务进 行登录 
2. 用户登录成功,后台管理微服务签发JWT TOKEN信息返回给用户 
3. 用户再次进入网关开始访问,网关过滤器接收用户携带的TOKEN 
4. 网关过滤器解析TOKEN ,判断是否有权限,如果有,则放行,如果没有则返回未认证错误

提供两个生产解析的jwt令牌的工具类
生成工具类

public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "baidu";

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        SecretKey secretKey = generalKey();

        JwtBuilder builder = Jwts.builder()
                .setId(id)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("admin")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }
}

颁发令牌,使用场景

 if (login) {
                //登录成功,生成令牌,返回jwt令牌 和用户名
                HashMap<String, String> map = new HashMap<>();
                map.put("LoginName",admin.getLoginName());
                String token = JwtUtil.createJWT(UUID.randomUUID().toString(), admin.getLoginName(), null);
                map.put("token",token);
                return new Result(true, StatusCode.OK, "登录成功",map);
            }
        }

解析令牌,使用场景,在网关服务中定义拦截器,进行鉴权操作

public class AuthorizeFilter implements GlobalFilter, Ordered {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        //1.获取请求对象
        ServerHttpRequest request = exchange.getRequest();
        //2.获得响应对象
        ServerHttpResponse response = exchange.getResponse();
        //3.判断是否为登录请求,是就放行
        String path = request.getURI().getPath();
        if (path.contains("/admin/login")){
            return chain.filter(exchange);
        }
        //4. 获取请求头信息
        HttpHeaders headers = request.getHeaders();
        //5.获取jwt令牌信息
        String jwtToken = headers.getFirst("token");
        //6.判断当前令牌是否存在,不存在,返回错误信息
        if (jwtToken == null) {
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        //6.1存在,判断是否合法,不合法返回错误信息
        //6.2存在,合法,放行
        try {
            JwtUtil.parseJWT(jwtToken);
        }catch (Exception e){
            e.printStackTrace();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        return  chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}
咕噜咕噜da
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
网关与Jwt令牌.doc
10-16
这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: ...• 服务器进行验证用户的信息 • 服务器通过验证发送给用户一个token ...
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 7757
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这结构的字符串.http 协议是一无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
三、JWT(JSON Web Tokens)令牌(token)
HiDaJing
03-18 3738
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一基于JSON的、用于在网络上声明某主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
有了阿里技术官的加持,我终于做到一问说清微服务JWT鉴权了
2401_83411843的博客
04-07 288
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims。创建测试类,并设置测试方法:创建token:@Test//当前时间.setId(“888”) //设置唯一编号.setSubject(“雄哥666”)//设置主题 可以是JSON数据.setIssuedAt(new Date())//设置签发日期.setExpiration(date)//设置过期时间。
JWT令牌技术
不能再留遗憾了的博客
03-10 1327
JWT令牌技术实现用户登录信息的验证
10分钟了解JWT令牌 (JSON Web)
Climbman的博客
10-29 549
Base64中用的三个字符是”+“,”/“和”=“,由于在URL中有特殊含义,因此Base64URL中对他们做了替换:”=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法,很简单把。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
JWT令牌详细解读
。。。。
07-05 3022
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一自包含令牌JWT的使用场景: 一情况是webapi,类似之前的阿里云播放凭证的功能 另一情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
.NET Core 生成JWT令牌源码
最新发布
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 ...
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌。 重要信息:该库不会验证令牌,任何格式正确的JWT都可以解码。 您应该使用 , , 等在服务器端逻辑中验证令牌。 警告:从版本2升级到版本3 ,...
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3771
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
JWT令牌 创建JWT、和解析JWT
hyj7_7的博客
08-05 442
【代码】JWT令牌 创建JWT、和解析JWT
JWT的学习和JJWT的使用
qq_47948345的博客
09-15 1211
jwt令牌的学习和在java中的整合应用
Springboot集成JWT,用户名,密码生成token
administratop的博客
11-11 1752
基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby,更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的。更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服。支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通。务端只要提供API即可.
Java基础之《JWT使用》
csj50的专栏
11-07 3226
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token。
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1405
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
热门推荐
weixin_42030357的博客
07-12 3万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一...
存储JWT令牌的几方式
qq_62357662的博客
12-12 293
请注意,使用客户端存储的方式来存储JWT令牌存在一定的安全风险。为了增加安全性,请确保采取适当的措施来保护JWT令牌,例如使用HTTPS来传输令牌并设置适当的过期时间。2.Session Storage:类似于Local Storage,Session Storage也可以用于存储JWT令牌,但是仅在当前会话期间有效。4.在内存中:您还可以将JWT令牌存储在JavaScript的变量中,在运行时使用。1.Local Storage:您可以使用浏览器提供的Local Storage来存储JWT令牌
jwt更新token
08-15
在使用JWT (JSON Web Token) 进行身份验证...总结而言,JWT更新令牌的过程是在令牌过期或需要更新时,重新进行身份验证并生成新的JWT令牌,以便维持用户的登录状态。具体的实现方式可以根据实际需求和安全策略来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值