JSON Web Tokens(JWT)简单使用

已于 2023-01-01 15:16:11 修改
阅读量1.8k 收藏 1
点赞数
分类专栏: java 文章标签: json 前端 java
于 2023-01-01 14:48:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27566167/article/details/128512280
版权

文章目录

什么是JWT?

JWT(json web token),它并不是一个具体的技术实现,而更像是一种标准。
JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接,他们分别是:Header、Payload、Signature,所以,常规的JWT内容格式是这样的:AAA.BBB.CCC
并且,这一串内容会base64加密;也就是说base64解码就可以看到实际传输的内容。接下来解释一下这些内容都有什么作用。
简单理解:jwt本质就是, 把用户信息通过加密后生成的一个字符串

JWD对字符串进行Base64加密

  1. pom文件引用jwt的jar包
	<!--jwt-->
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.7.0</version>
		</dependency>
  1. 对字符串进行加密
	static String secrest = "fdgfdfgds";
	public static void main(String[] args) {
		String str = "小明";
		String compact = Jwts.builder().setSubject(str).signWith(SignatureAlgorithm.HS256, secrest).compact();
		System.out.println(compact);
	}

结果:
在这里插入图片描述
3. 对加密过的字符串进行解密,得到解密前的原文

	static String secrest = "fdgfdfgds";
	public static void main(String[] args) {
		String token = "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLlsI_mmI4ifQ.FUasyP5RAr94XPzPp21cMgvM-z2ka1nRCmjPydNLBy8";
		Claims body = Jwts.parser().setSigningKey(secrest).parseClaimsJws(token).getBody();
		String subject = body.getSubject();
		System.out.println(subject);
	}

结果:
在这里插入图片描述
4. 对加密字符串进行时间限制

	static String secrest = "fdgfdfgds";
	public static void main(String[] args) throws InterruptedException {
		String str = "小明";
		String compact = Jwts.builder().setSubject(str).setExpiration(new Date(System.currentTimeMillis()+1000*5)).signWith(SignatureAlgorithm.HS256, secrest).compact();
		System.out.println(compact);
		Thread.sleep(3000);
		Claims body = Jwts.parser().setSigningKey(secrest).parseClaimsJws(compact).getBody();
		String subject = body.getSubject();
		System.out.println(subject);
	}

在token生成后五秒内进行解密,则能成功解密
在这里插入图片描述
如果超出时间限制,修改为六秒后解析,那么就会解析失败,提示超出时间限制
在这里插入图片描述

JWT加密字符串解释

eyJhbGciOiJIUzI1NiJ9.
eyJzdWIiOiLlsI_mmI4ifQ.
FUasyP5RAr94XPzPp21cMgvM-z2ka1nRCmjPydNLBy8

jwt加密过后的字符串,根据小数点可以分为3串,Header,Payload,Signature

  1. Header
    JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。
    在这里插入图片描述
  2. Payload
    有效载荷部分,JWT主体内容部分,是一个包含需要传递数据的JSON对象。 其中有七个默认字段供选择。
{
	"iss":发行人
	"exp":到期时间
	"sub":主题
	"aud":用户
	"nbf":在此之前不可用
	"iat":发布时间
	"jti"JWT ID用于标识该JWT
}

以上默认字段并不要求强制使用。我们还可以自定义私有字段,一般会把包含用户信息的非保密数据放到payload中。

{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}

注意:默认情况下JWT是未加密的,只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中,以防止信息泄露。JWT只是适合在网络中传输一些非敏感的信息
在这里插入图片描述

  1. Signature
    签名哈希部分是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

JWT使用场景

简单理解:生成一个与用户名对应的加密字符串作为token。
使用场景:

  1. 在用户第一次登录成功的时候返回一个token,客户端收到token,带着token进行第二次请求,服务端验证该token是否存在,存在则进行业务逻辑的处理。问题就是如果生成token,那以后知道token后,随时都能请求,增加了不安全性。
  2. 在使用token的时候加入时间机制,比如在token生成后30分后失效,那在三十分钟之内请求,需要给token重新赋予时间30分后失效。如果遇到分布式怎么办呢。
  3. 可以加入redis缓存,为每个token赋予时间限制,在请求另外服务的时候,可以去redis中查询是否存在这个token,存在放行,不存在重新登录。

jwt 特点

1、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权

限,一旦JWT签发,在有效期内将会一直有效。

2、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。

3、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。期间不可能取消令牌或更改令牌的权限,一旦JWT签发,在有效期内将会一直有效。

JWT token在线解密

token在线解密

无奈的码农
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT-基于token的认证方式
学习
06-20 798
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 认证是用来判断用户身份。 为了避免每次都要重新认证,可以在认证成功后创建会话,
解锁互联网安全的新钥匙:JWTJSON Web Token
weixin_74268571的博客
10-13 1700
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理和JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token
使用 jsonwebtoken模块,生成token
最新发布
weixin_70777902的博客
05-11 876
let token =let token="Bearer "+jwt.sign({用户对象},口令,{expireIn:设置过期时间})我们可以使用expressjwt在app.js文件里进行token的验证。在使用jsonwebtoken模块的文件里进行引入require。}).unless({//开通白条,不需要验证的接口。下载指令:npm i jsonwebtoken。msg:"无效token",使用axios拦截器进行,携带token。secret:"口令",在app.js文件里进行导入。
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. 问题解决
fengzheng1232的博客
08-11 1032
报错:io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. Current time: 2023-08-11T21:44:58Z, a difference of 83334559 milliseconds. Allowed clock skew: 0 milliseconds.(JWT于2023-08-10T22:36:04Z到期。当前时间:2023-08-11T21:44:58Z,相差83334559毫秒。
解密JWT的本质 通过java代码带你一步步还原Json Web Token的组成及验证原理
go24k的博客
09-05 1587
Json Web Token 是一个信息的载体,更是一个通信的安全凭证。通过代码实战让你彻底玩转jwt
深入浅出之Json Web Token
月哥说了算的博客
07-06 335
JSON Web Token是什么? JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证
JSON Web Tokens的实现原理
09-21
本文主要介绍了JSON Web Tokens的实现原理。具有很好的参考价值,下面跟着小编一起来看下吧
jwt-java:JSON Web Tokens的简单java实现
06-18
JSON Web Tokens(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
JWTs json web tokens资料
04-23
JSON Web Tokens(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 被广泛用于认证和授权场景...
JSON Web Token 入门教程
weixin_34067102的博客
07-24 923
2019独角兽企业重金招聘Python工程师标准>>> ...
JSON Web Token (JWT)生成Token及解密实战。
热门推荐
Java技术栈,分享最主流的Java技术
01-25 1万+
昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。 从JWT官网支持的类库来看,jjwtJava支持的算法中最全的,推荐使用,网址如下。 https://github.com/jwtk/jjwt 下面来看看如何使用jjwt来实现JWT token的生成与解密,主要用到sha512算法来演示。 1、导入jjwt的maven包。 depende
jsonwebtoken 简单使用方法
qq_44698161的博客
10-11 1923
安装 jsonwebtoken $ npm install jsonwebtoken --save 使用 引入模块 let jwt = require(“jsonwebtoken”) //let token = jwt.sign({加密数据},‘加密秘钥’,{expiresIn:token存储的时间 s}) let token = jwt.sign({email:email},‘ema...
JsonWebToken(JWT)设计方案
Mistra的博客
04-24 2326
Json web tokens :官网 What? - JsonWebToken是什么 请求访问后台,后台需要知道你是谁吧?Token就是一个令牌,每次请求后台都带上它,说明你是谁,并且可以携带一些你的信息。Token是后台根据你配置的算法,还有密钥,编码生成的,最后在通过base64加密返给请求。 它长这个样子: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ...
jsonwebtoken的基本使用
weixin_45578480的博客
03-07 3304
详情参考官方文档 jsonwebtoken 相关方法的封装 const jwt = require("jsonwebtoken") const secret = "kjafhkjsal"; let createToken = (data,expiresIn)=>{//创建token的方法 let obj = {}; obj.data = data || {};//存入tok...
JWTJSON Web Token简单使用
qq_42581267的博客
08-02 519
jdk1.8+springboot+maven
三、JWTJSON Web Tokens)令牌(token
HiDaJing
03-18 3747
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
json web token简单实现 JAVA
qq_19404533的博客
04-15 6826
1.简介 json web token(JWT)是一种新的用户认证方式,不同与以前的Session. JWT不需要服务器端存储用户信息,当用户登录后,服务器将用户信息放入加密放入token,需要时再通过对token解密获取. 关于更多JWT的介绍请自行搜索,这里提供一篇便于理解的文章: http://www.tuicool.com/articles/uuAzAbU 八幅漫画理解使用JSON
JSON WEB TOKENJWT)详解以及JAVA项目实战
Youdmeng的博客
05-26 651
1.我们为什么要是用token Token, 令牌,代表执行某些操作的权利,也就是我们进行某些操作的通行证。 1.1 在很久很久以前,我们使用什么做身份认证? 我们都知道 HTTP 是无状态(stateless)的协议:HTTP 对于事务处理没有记忆能力,不对请求和响应之间的通信状态进行保存。 使用 HTTP 协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应报文的信息。这是为了更快地处理大量事务,确保协议的可伸缩性,而特意把 HTTP 协议设计成如此简单的。 可是,随
JSON Web Tokens在前端的应用
07-12
JSON Web Tokens (JWTs)在前端的应用非常广泛。JWT是一种轻量级的安全传输机制,用于在不同系统之间安全地传输信息。它是一种基于JSON的开放标准(RFC 7519),用于在各个实体之间以可靠和安全的方式传输信息。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无奈的码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值