Jwt令牌总结

最新推荐文章于 2024-04-07 15:42:31 发布
最新推荐文章于 2024-04-07 15:42:31 发布
阅读量553 收藏
点赞数
分类专栏: 授权认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18361601/article/details/107643445
版权

1.Jwt令牌介绍
2.基于私钥生成jwt令牌
3.基于公钥解析jwt令牌
4.应用场景

1.Jwt令牌介绍

Jwt令牌主要由三部分组成头部,负载,签名,每个部分用点隔开

  • 头部主要包含令牌类型和使用的加密算法

  • 载荷主要存放信息,可以解码还原

  • 签名:

    签名=头部+载荷+签名
    头部和载荷都采用Base64Url编码和签名进行(用**.**进行)拼接生成签名

2.基于私钥生成Jwt令牌

准备私钥,公钥放入resource文件下,基于私钥携带数据生成jwt令牌

public class CreateJwtTest {
    /**
     * 创建令牌测试
     */
    @Test
    public void createJWT() {
        //基于私钥生成jwt
        //1. 创建一个秘钥工厂
        //1: 指定私钥的位置
        ClassPathResource classPathResource = new ClassPathResource("changgou.jks");
        //2: 指定秘钥库的密码
        String keyPass = "changgou";
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(classPathResource, keyPass.toCharArray());

        //2. 基于工厂获取私钥
        String alias = "changgou";
        String password = "changgou";
        KeyPair keyPair = keyStoreKeyFactory.getKeyPair(alias, password.toCharArray());
        //将当前的私钥转换为rsa私钥
        RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) keyPair.getPrivate();

        //3.生成jwt

        //存储一些数据
        Map<String, String> map = new HashMap();
        map.put("company", "baidu");
        map.put("address", "beijing");

        Jwt jwt = JwtHelper.encode(JSON.toJSONString(map), new RsaSigner(rsaPrivateKey));
        String jwtEncoded = jwt.getEncoded();
        System.out.println(jwtEncoded);
    }
}

3.基于公钥解析jwt令牌

public class ParseJwtTest {

    /**
     * 校验令牌
     */
    @Test
    public void testParseToken() {
        //令牌
        String token = "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJhZGRyZXNzIjoiYmVpamluZyIsImNvbXBhbnkiOiJiYWlkdSJ9.JdtrwOQMvg6ZzP9zKvUZAXrd7zF_ufgi0ye_DQHeSukVwHXR9pN3MxQUCMp0uAawbFkCeNNglghbOflusDBK20qel5fZQLOZCAiL3kdx1z2Edvsu4QheTdRmNDtlA0vppmwWueRZgUrRiGK7GVhJeEOnNhp4DzKOSThy0XBdL6ECela7PHyGV1wyq51TxiDHK7onvTk2L-0CRoLwmqk27AsDd9X49Z-HnGxxSCpRBoEoVJEpVLo6qJxBYzpVN13zQqmefjb-tmgjeJaM-CtYHDvez-hkUj4Tu--sYtnBxbntiOCTFTztxOjs5AtLOK2B46qJbMZnxqYt15Nh6Rt-9A";

        //公钥
        String publicKey ="-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvFsEiaLvij9C1Mz+oyAmt47whAaRkRu/8kePM+X8760UGU0RMwGti6Z9y3LQ0RvK6I0brXmbGB/RsN38PVnhcP8ZfxGUH26kX0RK+tlrxcrG+HkPYOH4XPAL8Q1lu1n9x3tLcIPxq8ZZtuIyKYEmoLKyMsvTviG5flTpDprT25unWgE4md1kthRWXOnfWHATVY7Y/r4obiOL1mS5bEa/iNKotQNnvIAKtjBM4RlIDWMa6dmz+lHtLtqDD2LF1qwoiSIHI75LQZ/CNYaHCfZSxtOydpNKq8eb1/PGiLNolD4La2zf0/1dlcr5mkesV570NxRmU1tFm8Zd3MZlZmyv9QIDAQAB-----END PUBLIC KEY-----";

        //校验Jwt
        Jwt jwt = JwtHelper.decodeAndVerify(token,new RsaVerifier(publicKey));
		
		//获取jwt中存储的数据
        String claims = jwt.getClaims();
        System.out.println(claims);
        //jwt令牌
        String encoded = jwt.getEncoded();
        System.out.println(encoded);
    }
}

4.应用场景

1.用于微服务鉴权

1. 用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务进 行登录 
2. 用户登录成功,后台管理微服务签发JWT TOKEN信息返回给用户 
3. 用户再次进入网关开始访问,网关过滤器接收用户携带的TOKEN 
4. 网关过滤器解析TOKEN ,判断是否有权限,如果有,则放行,如果没有则返回未认证错误

提供两个生产解析的jwt令牌的工具类
生成工具类

public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "baidu";

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        SecretKey secretKey = generalKey();

        JwtBuilder builder = Jwts.builder()
                .setId(id)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("admin")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }
}

颁发令牌,使用场景

 if (login) {
                //登录成功,生成令牌,返回jwt令牌 和用户名
                HashMap<String, String> map = new HashMap<>();
                map.put("LoginName",admin.getLoginName());
                String token = JwtUtil.createJWT(UUID.randomUUID().toString(), admin.getLoginName(), null);
                map.put("token",token);
                return new Result(true, StatusCode.OK, "登录成功",map);
            }
        }

解析令牌,使用场景,在网关服务中定义拦截器,进行鉴权操作

public class AuthorizeFilter implements GlobalFilter, Ordered {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        //1.获取请求对象
        ServerHttpRequest request = exchange.getRequest();
        //2.获得响应对象
        ServerHttpResponse response = exchange.getResponse();
        //3.判断是否为登录请求,是就放行
        String path = request.getURI().getPath();
        if (path.contains("/admin/login")){
            return chain.filter(exchange);
        }
        //4. 获取请求头信息
        HttpHeaders headers = request.getHeaders();
        //5.获取jwt令牌信息
        String jwtToken = headers.getFirst("token");
        //6.判断当前令牌是否存在,不存在,返回错误信息
        if (jwtToken == null) {
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        //6.1存在,判断是否合法,不合法返回错误信息
        //6.2存在,合法,放行
        try {
            JwtUtil.parseJWT(jwtToken);
        }catch (Exception e){
            e.printStackTrace();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        return  chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}
咕噜咕噜da
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中文乱码问题整理总结
10-09
中文乱码问题整理总结 通过平时开发实践,总结的乱码问题.
Django rest framework jwt的使用方法详解
09-18
总结来说,Django Rest Framework JWT 提供了一套完整的解决方案,使开发者能够轻松地在 Django 项目中集成 JWT 认证,确保 REST API 的安全性和可扩展性。通过理解和正确配置 JWT,可以创建高效且安全的身份验证...
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 9887
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
三、JWT(JSON Web Tokens)令牌(token)
HiDaJing
03-18 3745
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
有了阿里技术官的加持,我终于做到一问说清微服务JWT鉴权了
最新发布
2401_83411843的博客
04-07 300
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims。创建测试类,并设置测试方法:创建token:@Test//当前时间.setId(“888”) //设置唯一编号.setSubject(“雄哥666”)//设置主题 可以是JSON数据.setIssuedAt(new Date())//设置签发日期.setExpiration(date)//设置过期时间。
JWT令牌技术
不能再留遗憾了的博客
03-10 1382
JWT令牌技术实现用户登录信息的验证
10分钟了解JWT令牌 (JSON Web)
Climbman的博客
10-29 555
Base64中用的三个字符是”+“,”/“和”=“,由于在URL中有特殊含义,因此Base64URL中对他们做了替换:”=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法,很简单把。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
JWT令牌详细解读
。。。。
07-05 3052
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
Django如何使用jwt获取用户信息
09-17
在Django中,JWT(Json Web Token)是一种用于身份验证的流行方法,它允许服务器向客户端颁发一个令牌,客户端在后续请求中携带该令牌以验证其身份。与传统的Cookie和Session相比,JWT提供了更好的可扩展性和安全性...
JWT学习1
08-08
总结一下,JWT通过其独特的结构和签名机制,为Web应用提供了安全的身份验证和信息传输方式。开发者可以根据需要自定义JWT的声明,设置过期时间,并利用像JJWT这样的库来简化JWT的处理。了解和掌握JWT的基本原理和...
在node中使用jwt签发与验证token的方法
10-17
1. **Header**:包含了令牌的类型(JWT)和签名算法(如HS256)。 2. **Payload**:负载,存储实际的数据,包括标准声明(如签发者、过期时间等)和自定义声明。这些信息可以被验证,但需要注意的是,除非使用加密,...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 安装 您可以克隆此存储库并手动构建它。 cd jwthelper docker build -t fonoster/jwthelper:%%VERSION%% . 否则,您可以从泊坞窗索引中拉出该映像。 docker pull fonoster/jwthelper:latest:%%VERSION%% 使用范例 以下是使用此图像的最小示例。 sudo docker run -it \ -v $( pwd ) :/home/fonos/access \ -e PRINT_ACCESS_INFO=
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3787
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
JWT令牌 创建JWT、和解析JWT
hyj7_7的博客
08-05 456
【代码】JWT令牌 创建JWT、和解析JWT
JWT的学习和JJWT的使用
qq_47948345的博客
09-15 1215
jwt令牌的学习和在java中的整合应用
Springboot集成JWT,用户名,密码生成token
administratop的博客
11-11 1842
基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby,更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的。更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服。支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通。务端只要提供API即可.
Java基础之《JWT使用》
csj50的专栏
11-07 3274
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token。
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1436
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
热门推荐
weixin_42030357的博客
07-12 3万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一...
jwt更新token
08-15
在使用JWT (JSON Web Token) 进行身份验证...总结而言,JWT更新令牌的过程是在令牌过期或需要更新时,重新进行身份验证并生成新的JWT令牌,以便维持用户的登录状态。具体的实现方式可以根据实际需求和安全策略来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值