JWT的详细入门(都能看懂)

最新推荐文章于 2024-10-08 20:45:46 发布
最新推荐文章于 2024-10-08 20:45:46 发布
阅读量3.2k 收藏 2
点赞数 2
分类专栏: springboot2 文章标签: JWT token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29235677/article/details/87857877
版权

电商常见等用户信息校验等方法:

方案2:用户量大时,带宽等占用严重

1、单机tomcat应用登录检验
            sesssion保存在浏览器和应用服务器会话之间
            用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,
            客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId
​
2、分布式应用中session共享
            真实的应用不可能单节点部署,所以就有个多节点登录session共享的问题需要解决
            1)tomcat支持session共享,但是有广播风暴;用户量大的时候,占用资源就严重,不推荐
            2)使用redis存储token:
                    服务端使用UUID生成随机64位或者128位token,放入redis中,然后返回给客户端并存储在cookie中
                    用户每次访问都携带此token,服务端去redis中校验是否有此用户即可
​

Jwt技术解决上面等问题:

1、JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。
            JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名
​
            简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息
            {
                id:888,
                name:'小D',
                expire:10000
            }
            
            funtion 加密(object, appsecret){
                xxxx
                return base64( token);
            }
​
            function 解密(token ,appsecret){
​
                xxxx
                //成功返回true,失败返回false
            }
​
            优点:
                1)生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
​
                2)存储在客户端,不占用服务端的内存资源
​
            缺点:
                token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息
                如用户权限,密码等
​
2、JWT格式组成 头部、负载、签名
           header+payload+signature
​
           头部:主要是描述签名算法
           负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者,exp 过期时间,sub 面向的用户
           签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
​
3、关于jwt客户端存储
            可以存储在cookie,localstorage和sessionStorage里面
  1. 加入相关依赖
  2. 编写生成token
  3. 编写检验token

相关依赖

<!--jwt的依赖 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.8.0</version>
</dependency>


public class JwtUtils {
    private static final String JWTSECRET = "myScrect";

    /*
    生成token的方法
     */
    public static String create(User user) {
        if (user == null || user.getId() == null || user.getUserName() == null) {
            return null;
        }
        String token = Jwts.builder()
                .setSubject(JWTSECRET)    //设置签名
                .claim("id", user.getId())        //设置传入的参数
                .claim("name", user.getUserName())
                .setIssuedAt(new Date())    //发行时间
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 7)) //过期时间
                .signWith(SignatureAlgorithm.HS256, JWTSECRET)   //签名算法  ,密钥   ES256报错见下面
                .compact(); //压缩
        return token;


    }

    /**
     * 校验token
     *
     * @param token 传入的令牌
     * @return
     */
    public static Claims checkJWT(String token) {
        //通常如果伪造或token过期都会抛出异常所有包裹一下

        try {
            final Claims claims = Jwts.parser()
                    .setSigningKey(JWTSECRET)   //
                    .parseClaimsJws(token)
                    .getBody();           //可以得到签名getSignature getHeader头部
//        if (claims.get("id")==null)
            return claims;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)。
另一方面, HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密。

在开发应用的时候启用JWT,使用RS256更加安全,你可以控制谁能使用什么类型的密钥。另外,如果你无法控制客户端,无法做到密钥的完全保密,RS256会是个更佳的选择,JWT的使用方只需要知道公钥。

测试

@Test
public void TestJWT(){
    User user = new User();
    user.setId(1);
    user.setUserName("xijie");
    String token = JwtUtils.create(user);
    System.out.println(token);

}

开始报错 

java.lang.IllegalArgumentException: Base64-encoded key bytes may only be specified for HMAC signatures.  If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead.

将ES256改为HS256 加密算法

 拿到token生成token成功

@Test
public void TestCheck(){
    String token="eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJteVNjcmVjdCIsImlkIjoxLCJuYW1lIjoieGlqaWUiLCJpYXQiOjE1NTA3MjAxMTcsImV4cCI6MTU1MTMyNDkxN30.ovDf7015iSwMHlBVk0D8FQXhVTNVuZOSrs4dKXZMKSw";

    Claims claims = JwtUtils.checkJWT(token);
    System.out.println(""+claims);
    if (claims!=null){
        Integer id = (Integer) claims.get("id");
        String name = (String) claims.get("name");
        System.out.println(id+name);
    }

}

测试Ok

智达教育‍
关注
专栏目录
SpringBoot集成JWT快速入门Demo
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
JWT(JSON Web Token)、Token、Session和Cookie
最新发布
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
10-08 2007
JWT是一个紧凑的、自包含的用于双方之间安全传输信息的JSON对象。它通过将Token划分为头部(Header)、载荷(Payload)、签名(Signature)三个部分,进行信息的传输和验证。
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 1万+
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
Tangzx_的博客
01-28 1万+
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
前后端接口安全技术JWT极速入门教程.pdf
11-20
下面将详细介绍 JWT 的主要概念和组成部分。 1. **JWT 介绍** JWT 是一种轻量级的身份验证标准,它允许在客户端和服务器之间传递认证和授权信息,而无需在服务器端存储会话状态。JWT 本身包含了所有必要的认证信息...
JWT快速入门
09-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
jwt开发源码--入门级参考
09-22
本资源"jwt开发源码--入门级参考"是为Java开发者提供的一份关于JWT协议的初级学习材料,特别关注于如何使用jjwt库进行JWT的创建、解析和验证。 jjwt库是Java社区中常用的JWT实现,它完全符合JWT标准,并提供了丰富...
JWT入门指南2023-6-20
06-20
本指南将详细介绍如何在Spring Boot应用中集成JWT,以实现用户身份验证。 一、JWT基础 JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌类型(typ)和算法(alg)。载荷...
JWT(详解)
weixin_44736637的博客
04-07 3万+
JWT
JWT详细讲解
m0_71012114的博客
10-19 6364
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT详细解析
m0_65224643的博客
07-30 6680
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 1万+
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
什么是JWT??
as15282235592的博客
09-04 5558
JWT
JWT基本介绍
qq_51133939的博客
08-14 4950
JWT基本介绍
JWT的简单理解
qq_45464560的博客
03-31 2830
JWT入门学习什么是JWT(what)简单介绍JWT能做什么为什么使用JWT(why)传统Session认证的弊端JWT的认证流程JWT认证的优势JWT的结构1、Header2、Payload3、Signature如何在Java中使用JWT(how)入门使用 什么是JWT(what) 简单介绍 官网地址: https://jwt.io/introduction/ 翻译: json web tokenJWT)是一个开放标准,它定义了一种紧凑的、自包含的方式,用于各方之间以JSON对象安全地传输信息。此信息
SpringBoot与JWT整合入门教程2023
本指南将详细介绍JWT的组成部分,包括头部(Header)、载荷(Payload)和签名(Signature),以及它们的作用和创建方法。此外,还将深入探讨如何在Spring Boot项目中利用JWT来实现用户认证,包括创建JWT、验证JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智达教育‍

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值