JWT,这一篇就够了

已于 2022-09-05 15:29:45 修改
阅读量709 收藏 1
点赞数
分类专栏: JWT 文章标签: spring boot 后端
于 2022-09-05 15:20:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18841277/article/details/126705269
版权
本文详细介绍了Cookie、Session和JWT的区别与联系,重点讲解了JWT的结构和基于JWT的认证方式。通过实例展示了JWT的创建和验证过程,并提供了一个JWTUtils工具类的代码示例,帮助理解JWT在实际应用中的操作。
摘要由CSDN通过智能技术生成

目录

1.Cookie、session、token的区别与联系

2.传统的Session认证

3.基于JWT认证

 4.JWT的结构

标头

有效载荷

签名

 第一个JWT程序

常见的异常信息

 JWTUtils工具类(直接使用)

1.Cookie、session、token的区别与联系

  • 由于HTTP是无状态协议,客户端每次访问服务端,服务端不会保留客户端的信息,即上一次请求对这一次请求没有任何影响。
  • Cookie:浏览器向服务器发送请求,服务器会set-cookie设置Cookie的值(key,value),服务器发送给浏览器,浏览器保存Cookie的值,之后客户端每次访问浏览器,都会带上这个Cookie值,打开浏览器可以查看保存了哪些Cookie的值。(不安全)
  • Session:浏览器向服务器发送请求,服务器验证用户名和密码是对的,会创建一个SessionId和会话结束时间,然后将SessionId放入Cookie中,会话结束时间就是Cookie的有效期。之后每次访问都会携带带有SessionId的Cookie值,直到有效期结束,就需要再次输入用户名和密码
  • 随着用户体积的增大,服务器端需要保存大量的Session,对内存的消耗大。如果搭建的是分布式集群项目,又存在Session共享的问题。因此推出了JWT
  • JWT:生成于服务端,保存于客户端。

2.传统的Session认证

3.基于JWT认证

 4.JWT的结构

  • 标头(header)
  • 有效载荷(payload)
  • 签名(signature)

标头

包含两个部分:令牌的类型和所使用的签名算法.标头使用的是Base64编码,注意Base64编码不是一种加密的过程,可以被解码为初始值。

{
"typ":"JWT",
"alg":"HS256"
}

有效载荷

有效载荷存放的是用户的数据信息,通过Base64进行加密,不要在Payload中存放重要的值。

签名

签名是将编码后的(标头、有效载荷和我们提供的一个密钥)和我们Header中指定的签名算法进行编码。

比如客户端传入  Header(A)、Payload(B)、Signature(C),我们需要通过A、B和密钥通过Base64编码后的值和C进行对比,如果值相同则正确。

 第一个JWT程序

    @Test
    void contextLoads() {
        Map<String, Object> map = new HashMap<String,Object>();
        map.put("typ","JWT");
        map.put("alg","HS256");
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,50);
        String token= JWT.create()
                .withHeader(map)
                .withClaim("username", "lele")
                .withClaim("age", 17)
                .withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256("uadisjdlkas**&&^&"));
        System.out.println(token);
    }
    @Test
    void jiemi(){
        //获取到签名
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("uadisjdlkas**&&^&")).build();
        //进行验证
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NTkxNTQyNjMsImFnZSI6MTcsInVzZXJuYW1lIjoibGVsZSJ9.SVjXtp35e3AioWzk7TADKDeGGWTSHOmtJ2pGLCBoiuc");
        //允许放多个
        //得到
        System.out.println(verify.getClaim("username").asString());
        System.out.println(verify.getClaim("age").asInt());
        System.out.println(verify.getExpiresAt());

    }

常见的异常信息

 JWTUtils工具类(直接使用)

package com.lele.utils;


import java.text.SimpleDateFormat;
import java.util.Base64;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import io.jsonwebtoken.*;
import org.apache.commons.lang3.StringUtils;

import javax.crypto.SecretKey;

/**
 * @author:Tlimited
 *
 */
public class JWTUtils {

    private static final long EXPIRE = 60 * 1000; //过期时间

    public   static final String key = "ajsdaklsdjalskdasj";//密钥,动态生成的密钥

    /**
     * 生成token
     *
     * @param claims 要传送消息map
     * @return
     */
    public static String generate(Map<String,Object> claims) {
        Date nowDate = new Date();
        //过期时间,设定为一分钟
        Date expireDate = new Date(System.currentTimeMillis() + EXPIRE);
        //头部信息,可有可无
        Map<String, Object> header = new HashMap<>(2);
        header.put("typ", "jwt");

        //更强的密钥,JDK11起才能用
        //  KeyPair keyPair = Keys.keyPairFor(SignatureAlgorithm.RS256);
        //  PrivateKey key1 =  keyPair.getPrivate();  // 私钥
        //PublicKey key2 =  keyPair.getPublic();  //公钥

        return Jwts.builder().setHeader(header)
                // .setSubject("weimi")//主题
                // .setIssuer("weimi") //发送方
                .setClaims(claims)  //自定义claims
                .setIssuedAt(nowDate)//当前时间
                .setExpiration(expireDate) //过期时间
                .signWith(SignatureAlgorithm.HS256,key)//签名算法和key
                .compact();
    }

    /**
     * 生成token
     * @param header  传入头部信息map
     * @param claims  要传送消息map
     * @return
     */
    public static String generate( Map<String, Object> header,Map<String,Object> claims) {
        Date nowDate = new Date();
        //过期时间,设定为一分钟
        Date expireDate = new Date(System.currentTimeMillis() + EXPIRE);
        return Jwts.builder().setHeader(header)
                // .setSubject("weimi")//主题
                //    .setIssuer("weimi") //发送方
                .setClaims(claims)  //自定义claims
                .setIssuedAt(nowDate)//当前时间
                .setExpiration(expireDate) //过期时间
                .signWith(SignatureAlgorithm.HS256,key)//签名算法和key
                .compact();
    }

    /**
     * 校验是不是jwt签名
     * @param token
     * @return
     */
    public static boolean isSigned(String token){
        return  Jwts.parser()
                .setSigningKey(key)
                .isSigned(token);
    }

    /**
     * 校验签名是否正确
     * @param token
     * @return
     */
    public static boolean verify(String token){
        try {
            Jwts.parser()
                    .setSigningKey(key)
                    .parseClaimsJws(token);
            return true;
        }catch (JwtException  e){
            System.out.println(e.getMessage());
            return false;
        }
    }

    /**
     * 获取payload 部分内容(即要传的信息)
     * 使用方法:如获取userId:getClaim(token).get("userId");
     * @param token
     * @return
     */
    public static Claims getClaim(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(key)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return claims;
    }

    /**
     * 获取头部信息map
     * 使用方法 : getHeader(token).get("alg");
     * @param token
     * @return
     */
    public static JwsHeader getHeader(String token) {
        JwsHeader header = null;
        try {
            header = Jwts.parser()
                    .setSigningKey(key)
                    .parseClaimsJws(token)
                    .getHeader();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return header;
    }

    /**
     * 获取jwt发布时间
     */
    public static Date getIssuedAt(String token) {
        return getClaim(token).getIssuedAt();
    }

    /**
     * 获取jwt失效时间
     */
    public static Date getExpiration(String token) {
        return getClaim(token).getExpiration();
    }

    /**
     * 验证token是否失效
     *
     * @param token
     * @return true:过期   false:没过期
     */
    public static boolean isExpired(String token) {
        try {
            final Date expiration = getExpiration(token);
            return expiration.before(new Date());
        } catch (ExpiredJwtException expiredJwtException) {
            return true;
        }
    }

    /**
     * 直接Base64解密获取header内容
     * @param token
     * @return
     */
    public static String getHeaderByBase64(String token){
        String header = null;
        if (isSigned(token)){
            try {
                byte[] header_byte = Base64.getDecoder().decode(token.split("\\.")[0]);
                header = new String(header_byte);
            }catch (Exception e){
                e.printStackTrace();
                return null;
            }
        }
        return header;
    }

    /**
     * 直接Base64解密获取payload内容
     * @param token
     * @return
     */
    public static String getPayloadByBase64(String token){
        String payload = null;
        if (isSigned(token)) {
            try {
                byte[] payload_byte = Base64.getDecoder().decode(token.split("\\.")[1]);
                payload = new String(payload_byte);
            }catch (Exception e){
                e.printStackTrace();
                return null;
            }
        }
        return payload;
    }

    public static void main(String[] args) {
        //用户自定义信息claims
        Map<String,Object> map = new HashMap<>();
        map.put("userId","test122");
        String token =  generate(map);
        System.out.println(token);

        System.out.println("claim:" + getClaim(token).get("userId"));
        System.out.println("header:" + getHeader(token));
        //    System.out.println(getIssuedAt(token));
        Claims claims=getClaim(token);

        //  System.out.println(getHeaderByBase64(token));
        System.out.println(getPayloadByBase64(token));
        SimpleDateFormat sdf=new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");
        System.out.println("签发时间:"+sdf.format(claims.getIssuedAt()));
        System.out.println("过期时间:"+sdf.format(claims.getExpiration()));
        System.out.println("当前时间:"+sdf.format(new Date()) );

    }
}

你乐.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT验证
weixin_48530729的博客
12-13 3825
什么是JWT JWT用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源接口安全性的技术 身份鉴别 资源接口安全性检验,保护服务器资源不被泄露 1.认证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载)、将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成
jwt-verifier
05-04
用法 使用此中间件,您可以使用自省端点针对oidc提供程序验证访问令牌,并从oidc提供程序注销会话。 此外,该中间件还设置了x-userinfo -header,其中包含来自自省端点的一些信息,并使用base64对其进行了编码。 有关设置了哪些字段的更多信息,请参见src/server.js:70 要求 特拉菲克 外部验证服务器: : 安装 traefik中间件 http : middlewares : jwt-verifier : forwardAuth : address : " http://jwt-verifier:8080/ " authResponseHeadersRegex : " ^X- " trustForwardHeader : true 在您的traefik路由器中的external-au
后端代码解析工具类(until)JwtUtils
最新发布
2201_75464794的博客
05-29 1009
个人理解这个JwtUtils类实现了一系列与JWT(JSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
【Java web】JWTtoken登录校验
zhangshuo的博客
05-05 2153
JWT (Json Web Token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT可以校验用户的身份,传递用户的身份信息,一般用在用户登录上。 JWT token的组成 头部(header) { "alg": "HS256", "typ": "JWT" } alg : 加密类型 typ : JWT token的类型 alg 算法 ...
JWTJWTVerifier
mingzq123的博客
03-27 813
verify(Algorithm algorithm):使用指定的算法验证JWT的签名是否有效。withAudience(String... audience):指定JWT的受众(audience),以确保该JWT只能被特定的受众使用。withSubject(String subject):指定JWT的主题(subject),以确保该JWT只能用于特定的目的或场景。withIssuer(String issuer):指定JWT的发行者(issuer),以确保该JWT只能由特定的发行者签发。
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT 实战教程_jwt_
10-01
这个类通常会实现一个方法,用于签发新的JWT,并另一个方法用于验证接收到的JWT。签发JWT时,将用户信息作为Claims写入Payload,并使用秘钥通过指定的算法生成Signature。 在认证和授权方面,你可以创建一个自定义...
JWT爆破篡改工具-离线
04-03
从爆破到篡改,完美闭环
一个token的源码php-jwt
01-13
其实这个主要是在前端进行判断,如果token过期,后端肯定会给前端返回一个过期提示,同时我们定义一个错误码来标识,如:1002,那前端拿到这个标识进行判断,如果过期,则去调用刷新接口,具体看下面的代码:
JWT学习笔记
01-21
作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关处理。在数据...
SpringBootJWT令牌校验
qq_73918355的博客
04-17 3677
您首先定义了一个JWT字符串,模拟了用户传递过来的token。
一文学会JWT登录验证操作。
weixin_59519801的博客
11-10 180
傻瓜操作学会简单的JWT操作
JWT(java web token)
LC的博客
12-08 704
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
JWT凭证生成及验证
qq_44606649的博客
12-05 612
引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> JWT工具类 public class JWTUtil { //签名 private static final Strin.
JWT(JSON Web Token)
Sweet77
12-29 268
什么是JSON Web令牌? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 1.JWT能做什么? 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开销
JWT认证实现
qq_36636312的博客
12-07 4146
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
使用JWT实现接口token验证机制
ai15134626825的博客
04-01 7189
项目软件要对外提供部分定制接口,为了保证软件数据的安全性,决定要设置token令牌来校验请求方是否合法。考虑诸多种方案后,决定使用比较流行的JWT来实现。 实现思路:客户端每次访问接口的时候,要在header中携带token令牌,然后在项目的拦截器中使用相应的策略配置拦截这些对外接口的请求(例如这一类接口的url统一配置为/api/开头),拦截到请求后从header中得到token进行校验,校验...
JWT 学习记录
baidu_21073889的博客
08-13 690
参考博客: JWT全面解读、使用步骤 初步理解JWT并实践使用 JWT的应用场景 身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常...
用就jwt 写一个鉴权
01-16
好的,为了使用 JWT 进行鉴权,您需要遵循以下步骤: 1. 将用户的登录信息(如用户名和密码)发送到您的认证服务器,该服务器将验证这些信息并返回 JWT。 2. 客户端收到 JWT 后,将其存储在浏览器的本地存储中,以便下次请求时使用。 3. 当客户端发送请求时,将 JWT 作为 HTTP 头的一部分发送。 4. 服务器接收请求并验证 JWT。如果 JWT 有效,则允许请求通过;如果无效,则拒绝请求。 希望这对您有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值