springboot整合jwt实现单点登录

最新推荐文章于 2024-08-30 21:57:50 发布
最新推荐文章于 2024-08-30 21:57:50 发布
阅读量7.9k 收藏 7
点赞数 1
分类专栏: Java基础 java java后端 文章标签: jwt jwt整合springboot jwt实现单点登录 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35872777/article/details/118530871
版权
本文详细介绍了如何使用JWT实现单点登录。首先,解析JWT的结构,包括Header、Payload和Signature三部分,并强调了Signature的重要性,用于防止内容被篡改。接着,讨论了JWT中的信息安全问题,指出不应包含敏感信息。最后,展示了在SpringBoot项目中整合JWT的步骤,包括添加依赖、编写测试类、创建JWTUtil工具类以及设置拦截器进行token验证,确保只有已登录用户才能访问受保护的接口。
摘要由CSDN通过智能技术生成

jwt的结构:

一、令牌组成

1、标头(Header)

      -- 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如

HMAC,SHA256或RSA,它会使用Base64编码组成JWT结构的第一部分。

{

       “alg”:“HS256”,

        "typ":"JWT"

}

2、有效载荷(Payload)

       -- 令牌的第二部分是有效负责,其中包含声明,声明是有关实体(通常是用户)

和其他数据的声明,同样的,它会使用Base64编码组成jwt结构的第二部分。

3、签名(Signature)

因此,jwt通常如下所示:xxxxxx.yyyyyyy.zzzzzz 即:Header.Payload.Signature

4、Signature

前端两部分使用Base64进行编码的,即前端可以解开知道连的信息,Signatrue需要

使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的

签名算法(HS256)进行签名,签名的作用是保证JWT没有被篡改过

如: 

HMACSHA256(base64UrlEncode(header)*"."+base64UrlEncode(payload).secret)

签名目的:

最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改,如果有人对头部

以及负载内容解码之后进行修改在进行编码,最后加上之前的签名组合形成新的jwt的话,那么服务器端会判断出新的头部和负载形成的签名和jwt附带的签名是不一样的,如果要对新的头部和负载进行签名,在不知道服务端加密时用的密钥的话,得出来的签名也是不一样的。

信息安全问题:

因为Base64是一种编码,是可逆的,所以在jwt中,不应该在负载里面加入任何敏感的数据,在上面的例子中,我们传输的是用户的username,id,这些值实际上不是敏感信息,一般情况下被知道也是安全的,但是像密码这样的内容就不能放到jwt中,如果将用户的密码放在jwt中,那么怀有恶意的第三方通过Base64解码就能很快地知道密码,因此jwt适合用于向web应用传输一些非密码信息,jwt还用来设计认证和授权系统,甚至实现单点登录。

放在一起:

输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,于基于xml的标准(SMAL)相比,更加紧凑。

---简洁(compact)

---可以通过URL,POST参数或者在HTTP header发送,因为数量小,传输速度快,

----自包含(self-contained)

负载中包含了所有用户所需要的信息,避免了多次查询数据库。示例如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjU1Nzk3NTEsInVzZXJuYW1lIjoiYWRtaW4ifQ.talbN1BwHvSZS-k2urNTfkxF-nAq3guLtaQK5Oy2wEM

使用jwt生成一个token的测试类:

1、在springboot项目中添加jwt的依赖

<!-- https://mvnrepository.com/
最低0.47元/天 解锁文章
SpringBoot整合SSO(single sign on)单点登录
08-19
SpringBoot整合SSO(single sign on)单点登录 单点登录(Single Sign-On,...SpringBoot整合SSO(single sign on)单点登录是一个非常重要的知识点,了解单点登录的原理和实现方式可以帮助开发者更好地实现单点登录功能。
OAuth2实现单点登录SSO完整教程,其实不难!
weixin_44421461的博客
03-16 1205
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网...
SpringBoot+JWT实现单点登录解决方案
qinxun2008081的博客
07-04 1万+
SpringBoot+JWT实现单点登录解决方案
基于Spring的单点登录SSO实现(redis+JWT+SpringSecurity)
最新发布
xingyuemengjin的博客
08-30 2271
本文介绍了基于Spring的单点登录SSO实现(redis+JWT+SpringSecurity)方法。
JWT的使用
陆沉的博客
01-28 9818
概述 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然 JWT 可以加密以在各方之间提供保密性,但我们将专注于签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌会向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是签
Spring Boot | Spring Boot使用JWT实现单点登录
jonssonyan
09-15 4798
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们.
SpringBoot集成Jwt(详细步骤+图解)
热门推荐
撸码社区的博客
04-16 3万+
SpringBoot集成Jwt(详细步骤+图解) Jwt简介 JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证 Jwt构成(.隔开) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTkxNjQ4NjEsInVzZXJuYW1lIjoiYWRtaW4ifQ.fo5a-H_C7XG3fSnNdCEMzM2QmrF5c7yypzoSxGzgJOo Header(头部):放有签名
PHP接口数据安全解决方案(二)
withoutfear的博客
10-08 1万+
前言 实例演示token签名并创建token 解析token并校验token合法性 类库封装管理jwt实例 前言 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
在实际操作中,我们可能还需要考虑一些高级特性,例如刷新令牌、令牌过期策略、单点登录(SSO)以及JWT(JSON Web Tokens)的使用。JWT可以减少与授权服务器的交互次数,提高系统性能。在Spring Boot中,可以使用...
springboot整合Shiro与Jwt并封装统一返回值
11-15
该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务...
SpringBoot+SpringSecurity+JWT整合实现单点登录SSO史上最全详解
程序员闪充宝
01-05 4736
作者:波波烤鸭blog.csdn.net/qq_38526573/article/details/103409430一、什么是单点登陆单点登录(Single Sign On),简称为 S...
基于SpringBoot+JWT实现单点登录解决方案
qq_53723451的博客
07-31 252
基于SpringBoot+JWT实现单点登录解决方案
springboot整合jwt做单点登陆生成token
豆豆的博客
12-28 763
但是其实只要用一些工具就可以把base64编码解成明文,所以不要在JWT中放入涉及私密的信息。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT是这种解决方案的代表。主要是该JWT的相关配置参数,比如签名的加密算法、格式类型、过期时间等等。userInfo{用户的Id,用户的昵称nickName}用户自定义的内容,根据实际需要真正要封装的信息。
springBoot使用JWT实现单点登录
m0_47045858的博客
12-15 1264
springBoot使用JWT实现单点登录 1.首先在项目的pom.xml中引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1636
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
Spring Boot中集成JWT实现用户认证以及单点登录
fengjing81的专栏
06-21 530
在Spring Boot中集成JWT(JSON Web Tokens)以实现单点登录(SSO, Single Sign-On)和前后端分离的验证是一个常见的做法。JWT允许你在前后端之间安全地传输用户信息,无需在服务器端存储会话信息。
BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题
u013119911的博客
07-02 8430
JWT
springboot jwt 禁止多点登入
08-14
要在Spring Boot中使用JWT实现禁止多点登录,可以结合JWT的过期时间和存储机制来实现。以下是一个简单示例: 1. 创建一个存储用户Token的类,如TokenStore: ```java import java.util.HashMap; import java.util.Map; public class TokenStore { private static Map<String, String> userTokenMap = new HashMap<>(); public static void addToken(String username, String token) { userTokenMap.put(username, token); } public static void removeToken(String username) { userTokenMap.remove(username); } public static boolean containsToken(String username) { return userTokenMap.containsKey(username); } } ``` 这个类用于存储每个用户的Token,可以根据实际情况将其替换为数据库或其他持久化存储。 2. 创建一个拦截器或过滤器来验证Token: ```java import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求头中的Token String token = request.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); String username = JwtUtils.getUsernameFromToken(token); // 验证Token是否有效 if (username != null && JwtUtils.validateToken(token, username)) { // 检查是否已经存在有效的Token,如果存在则拒绝登录 if (TokenStore.containsToken(username)) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } // 将Token存储到TokenStore中 TokenStore.addToken(username, token); return true; } } response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } } ``` 这个拦截器或过滤器用于验证Token的有效性,并检查是否已经存在有效的Token。如果存在,则拒绝登录;否则,将Token存储到TokenStore中。 3. 在Spring Boot的配置类中配置拦截器: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Autowired private JwtInterceptor jwtInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(jwtInterceptor) .addPathPatterns("/**") .excludePathPatterns("/login"); // 不拦截登录接口 } } ``` 在这个配置类中,将JwtInterceptor添加到拦截器列表中,并排除登录接口,以免拦截登录请求。 4. 创建一个登出接口: ```java @RestController public class LogoutController { @PostMapping("/logout") public void logout(HttpServletRequest request) { String token = request.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); String username = JwtUtils.getUsernameFromToken(token); // 将Token从TokenStore中移除 TokenStore.removeToken(username); } } } ``` 在这个接口中,从请求头中获取Token并解析出用户名,然后将Token从TokenStore中移除。 通过这种方式,当用户登录时,会检查是否已经存在有效的Token;如果存在,则拒绝登录;如果不存在,则生成新的Token并存储到TokenStore中。当用户登出时,会将Token从TokenStore中移除,这样就实现了禁止多点登录的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值