springboot整合jwt实现单点登录

最新推荐文章于 2024-06-21 16:32:44 发布
最新推荐文章于 2024-06-21 16:32:44 发布
阅读量7.8k 收藏 7
点赞数 1
分类专栏: Java基础 java java后端 文章标签: jwt jwt整合springboot jwt实现单点登录 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35872777/article/details/118530871
版权

jwt的结构:

一、令牌组成

1、标头(Header)

      -- 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如

HMAC,SHA256或RSA,它会使用Base64编码组成JWT结构的第一部分。

{

       “alg”:“HS256”,

        "typ":"JWT"

}

2、有效载荷(Payload)

       -- 令牌的第二部分是有效负责,其中包含声明,声明是有关实体(通常是用户)

和其他数据的声明,同样的,它会使用Base64编码组成jwt结构的第二部分。

3、签名(Signature)

因此,jwt通常如下所示:xxxxxx.yyyyyyy.zzzzzz 即:Header.Payload.Signature

4、Signature

前端两部分使用Base64进行编码的,即前端可以解开知道连的信息,Signatrue需要

使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的

签名算法(HS256)进行签名,签名的作用是保证JWT没有被篡改过

如: 

HMACSHA256(base64UrlEncode(header)*"."+base64UrlEncode(payload).secret)

签名目的:

最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改,如果有人对头部

以及负载内容解码之后进行修改在进行编码,最后加上之前的签名组合形成新的jwt的话,那么服务器端会判断出新的头部和负载形成的签名和jwt附带的签名是不一样的,如果要对新的头部和负载进行签名,在不知道服务端加密时用的密钥的话,得出来的签名也是不一样的。

信息安全问题:

因为Base64是一种编码,是可逆的,所以在jwt中,不应该在负载里面加入任何敏感的数据,在上面的例子中,我们传输的是用户的username,id,这些值实际上不是敏感信息,一般情况下被知道也是安全的,但是像密码这样的内容就不能放到jwt中,如果将用户的密码放在jwt中,那么怀有恶意的第三方通过Base64解码就能很快地知道密码,因此jwt适合用于向web应用传输一些非密码信息,jwt还用来设计认证和授权系统,甚至实现单点登录。

放在一起:

输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,于基于xml的标准(SMAL)相比,更加紧凑。

---简洁(compact)

---可以通过URL,POST参数或者在HTTP header发送,因为数量小,传输速度快,

----自包含(self-contained)

负载中包含了所有用户所需要的信息,避免了多次查询数据库。示例如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjU1Nzk3NTEsInVzZXJuYW1lIjoiYWRtaW4ifQ.talbN1BwHvSZS-k2urNTfkxF-nAq3guLtaQK5Oy2wEM

使用jwt生成一个token的测试类:

1、在springboot项目中添加jwt的依赖

<!-- https://mvnrepository.com/
最低0.47元/天 解锁文章
学java的小学生@f
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成Jwt(详细步骤+图解)
撸码社区的博客
04-16 3万+
SpringBoot集成Jwt(详细步骤+图解) Jwt简介 JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证 Jwt构成(.隔开) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTkxNjQ4NjEsInVzZXJuYW1lIjoiYWRtaW4ifQ.fo5a-H_C7XG3fSnNdCEMzM2QmrF5c7yypzoSxGzgJOo Header(头部):放有签名
SpringBoot单点登录实现
qq_45506892的博客
11-26 938
一篇用拦截器和session做的单点登录
Spring Boot | Spring Boot使用JWT实现单点登录
jonssonyan
09-15 4536
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们.
SpringBoot+JWT实现单点登录解决方案
qinxun2008081的博客
07-04 1万+
SpringBoot+JWT实现单点登录解决方案
Spring Boot中集成JWT实现用户认证以及单点登录
最新发布
fengjing81的专栏
06-21 431
在Spring Boot中集成JWT(JSON Web Tokens)以实现单点登录(SSO, Single Sign-On)和前后端分离的验证是一个常见的做法。JWT允许你在前后端之间安全地传输用户信息,无需在服务器端存储会话信息。
JWT的使用
陆沉的博客
01-28 9738
概述 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然 JWT 可以加密以在各方之间提供保密性,但我们将专注于签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌会向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是签
PHP接口数据安全解决方案(二)
热门推荐
withoutfear的博客
10-08 1万+
前言 实例演示token签名并创建token 解析token并校验token合法性 类库封装管理jwt实例 前言 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者
SpringBoot+SpringSecurity+JWT整合实现单点登录SSO史上最全详解
程序员闪充宝
01-05 4275
作者:波波烤鸭blog.csdn.net/qq_38526573/article/details/103409430一、什么是单点登陆单点登录(Single Sign On),简称为 S...
springboot整合jwt做单点登陆生成token
豆豆的博客
12-28 724
但是其实只要用一些工具就可以把base64编码解成明文,所以不要在JWT中放入涉及私密的信息。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT是这种解决方案的代表。主要是该JWT的相关配置参数,比如签名的加密算法、格式类型、过期时间等等。userInfo{用户的Id,用户的昵称nickName}用户自定义的内容,根据实际需要真正要封装的信息。
SpringBoot整合SSO(single sign on)单点登录
08-19
SpringBoot整合SSO(single sign on)单点登录 单点登录(Single Sign-On,...SpringBoot整合SSO(single sign on)单点登录是一个非常重要的知识点,了解单点登录的原理和实现方式可以帮助开发者更好地实现单点登录功能。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
在实际操作中,我们可能还需要考虑一些高级特性,例如刷新令牌、令牌过期策略、单点登录(SSO)以及JWT(JSON Web Tokens)的使用。JWT可以减少与授权服务器的交互次数,提高系统性能。在Spring Boot中,可以使用...
springboot整合Shiro与Jwt并封装统一返回值
11-15
该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
它通常用于实现单点登录(SSO)功能。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),这三部分通过`.`分隔,形成一个类似`xxxx.xxxx.xxxx`的字符串。服务器可以通过验证这个字符串来确认JWT...
springBoot使用JWT实现单点登录
m0_47045858的博客
12-15 1217
springBoot使用JWT实现单点登录 1.首先在项目的pom.xml中引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1455
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题
u013119911的博客
07-02 8350
JWT
jwt生成token
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
Spring Boot单点登录实践
不愧是暮言的博客
05-30 2303
在现代的Web应用程序中,单点登录(Single Sign-On)已经变得越来越流行。单点登录使得用户只需要一次认证即可访问多个应用程序,同时也提高了应用程序的安全性。Spring Boot作为一种广泛使用的Web开发框架,在单点登录方面也提供了很好的支持。在本文中,我们将使用Spring Boot构建一个基本的单点登录系统。我们将介绍如何使用Spring Security和JSON Web Tokens(JWTs)来实现单点登录功能。
springboot+jwt如何实现单点登录
06-08
使用JWT(JSON Web Token)实现单点登录可以让我们在分布式系统中更加方便地管理认证和授权。下面是使用Spring Boot和JWT实现单点登录的步骤: 1. 添加Spring Security和JWT依赖项:在Spring Boot应用程序中添加Spring Security和JWT依赖项。 2. 配置Spring Security:使用Spring Security配置安全性,包括用户认证和授权。 3. 生成JWT令牌:在用户登录成功后,生成JWT令牌并返回给客户端。 4. 验证JWT令牌:在客户端发送请求时,将JWT令牌添加到请求头中,服务器端通过验证JWT令牌来确定用户的身份。 5. 实现单点登录:在多个应用程序中使用相同的JWT密钥来生成和验证JWT令牌,从而实现单点登录。 需要注意的是,JWT令牌是基于密钥的,因此需要确保密钥的安全性。如果密钥泄漏,攻击者可以使用JWT令牌来访问受保护的资源。因此,必须采取措施来保护JWT密钥的安全性,例如加密存储、定期更换密钥等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值