JWT(JSON WEB TOKEN)

已于 2023-11-08 11:48:03 修改
阅读量482 收藏
点赞数
分类专栏: spring框架 文章标签: 服务器 http servlet
于 2022-11-21 16:43:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36042938/article/details/127964239
版权

传统session认证

传统session,cookie的认证方式,第一次请求是会把用户信息存到服务器内存中,并返回一个JSESSIONId给请求端,之后每次请求都需要携带jsessionId来做认证

传统session,cookie的不足:

JWT官网

JSON Web Token Libraries - jwt.io

官方案例:

pom坐标

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.3</version>
</dependency>

JWT的结构:

payload中信息可能被拦截到且可以用base64解码,所以中仅仅放非敏感信息,例如用户名 、appId。而不是用户密码等敏感信息

 另外加密过程中的秘钥不能暴露

JWTCreator生成器核心源代码

public final class JWTCreator {

         
    private final Algorithm algorithm;
    // 头json
    private final String headerJson;
    // 负载json
    private final String payloadJson;


    public String sign(Algorithm algorithm) throws IllegalArgumentException, JWTCreationException {
            if (algorithm == null) {
                throw new IllegalArgumentException("The Algorithm cannot be null.");
            }
            // 给header中赋值
            headerClaims.put(PublicClaims.ALGORITHM, algorithm.getName());
            if (!headerClaims.containsKey(PublicClaims.TYPE)) {
                headerClaims.put(PublicClaims.TYPE, "JWT");
            }
            String signingKeyId = algorithm.getSigningKeyId();
            if (signingKeyId != null) {
                withKeyId(signingKeyId);
            }
            // 先调用创建jwtCreator对象方法,在调用sign生成token
            return new JWTCreator(algorithm, headerClaims, payloadClaims).sign();
        }

    // 创建jwtCreator对象方法
    private JWTCreator(Algorithm algorithm, Map<String, Object> headerClaims, Map<String, Object> payloadClaims) throws JWTCreationException {
        this.algorithm = algorithm;
        try {
            // map转String 默认值:"{"typ":"JWT","alg":"HS256"}"
            headerJson = mapper.writeValueAsString(headerClaims);
            payloadJson = mapper.writeValueAsString(new ClaimsHolder(payloadClaims));
        } catch (JsonProcessingException e) {
            throw new JWTCreationException("Some of the Claims couldn't be converted to a valid JSON format.", e);
        }
    }

    
    // 签名获取token
    private String sign() throws SignatureGenerationException {
        String header = Base64.getUrlEncoder().withoutPadding().encodeToString(headerJson.getBytes(StandardCharsets.UTF_8));
        String payload = Base64.getUrlEncoder().withoutPadding().encodeToString(payloadJson.getBytes(StandardCharsets.UTF_8));

        byte[] signatureBytes = algorithm.sign(header.getBytes(StandardCharsets.UTF_8), payload.getBytes(StandardCharsets.UTF_8));
        String signature = Base64.getUrlEncoder().withoutPadding().encodeToString((signatureBytes));

        // 格式 header.payload.signature
        return String.format("%s.%s.%s", header, payload, signature);
    }

}

调用JWTCreator生成token工具类:

public class JWTUtils {

    
    private static final String PAYLOAD_ISSUER = "xiaozhen";
    private static final String PAYLOAD_COMPANY_ID = "company_id";
    private static final String PAYLOAD_APP_ID = "app_id";

    /**
     * 生成token timestamp代表sign的生成时间
     * token格式:由三部分组成header.payload.signature,中间用点分割
     * 案例:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ5ZGwiLCJjb21wYW55X3VpZCI6IjEyIiwiZXhwIjoxNjY5MDI0ODYxLCJhcHBfaWQiOiJzZGYiLCJpYXQiOjE2NjkwMTc2NjF9.cy3KN5bOMzzYh4pcTR0pbfFeMD7cl5jqeFXYgxz4JeY
     */
    public static TokenDTO generateToken(String appId, String sign, Long timestamp) {

        // 查业务数据库 根据appId查询appSecret等秘钥信息 (秘钥不能暴露否则校验就没用了)
        String appSecret = "数据库存储的秘钥";

        private static final Algorithm TOKEN_ALGORITHM = Algorithm.HMAC256(appSecret);
        
        
        // 检查签名
        String assertSign = DigestUtils.md5Hex(appId + appSecret);
        if (!sign.equals(assertSign)) {
            throw new XiaoZhenException("code", "签名错误");
        }

        // 是否过期
        boolean expired = (System.currentTimeMillis() - timestamp) > 7200000;
        if (expired) {
            throw new XiaoZhenException("code", "签名过期");
        }


        // 设置Token过期时间
        long issuedAt = System.currentTimeMillis();
        long expiresAt = issuedAt + 7200000;

        // 生成Token, with开头的方法均是在设置payload
        String token = JWT.create()
                .withIssuer(PAYLOAD_ISSUER)
                .withClaim(PAYLOAD_COMPANY_ID, "主体id")
                .withClaim(PAYLOAD_APP_ID, "appId") 
                .withIssuedAt(new Date(issuedAt))
                .withExpiresAt(new Date(expiresAt))
                .sign(TOKEN_ALGORITHM);
        log.info("generateToken token: {}", token);
        return new TokenDTO()
                .setAccessToken(token)
                .setExpiresAt(expiresAt);
    }


   /**
   * 返回sign,timestamp生成时间
   */
   public Map<String,String> getSign (String appId) {
        // 查业务数据库 根据appId查询appSecret等秘钥信息 (秘钥不能暴露否则校验就没用了)
        String appSecret = "数据库存储的秘钥";
        // 根据appSecret,appId 生产sign
        map.put("sign",sign);
		map.put(Constants.TIMESTAMP,String.valueOf(timeStamp));
        return map;
       
   }

}

拦截器验证token

@Component
public class OpenInterceptor extends HandlerInterceptorAdapter {

    private static final Logger log = LoggerFactory.getLogger(OpenInterceptor.class);

    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        // 获取token
        String token = req.getHeader("Authorization");
        if (StringUtils.isEmpty(token)) {
            resp.setStatus(HttpStatus.UNAUTHORIZED.value());
            return false;
        }

        Boolean result = false;
        try {
            result = bgTokenFacade.parseToken(token);
            // jwt验证器
            JWTVerifier verifier = JWT.require(TOKEN_ALGORITHM)
                .withIssuer(TOKEN_ISSUER)
                .build();
            
            /**
             * 验证token
             * 源码原理:把token按hearder.payload.signature格式拆分,
             *     重新用header和payload生成签名, 和入参中token的signature部分比较,
             *     如果一致说明请求合法,否则为非法请求
             *    (这样不论header、payload、signature哪个被篡改都不会验证通过)
             */
            verifier.verify(accessToken);
        
        } catch (Exception e) {
            log.error("解析token异常", e);
            resp.setStatus(HttpStatus.UNAUTHORIZED.value());
            return false;
        }

        return result;
    }

}

生成token的api层:

@RestController
@RequestMapping("/v1/open/oauth")
@Slf4j
public class BgAuthController {


   @RequestMapping(value = "/getSign", method = RequestMethod.GET)
	@ApiOperation(value = "获取验签")
	public Map<String, String> getSign(@RequestParam(value = "appKey",required = true)String appId) {
         return JWTUtils.getSign(appId);
        
    }


    /**
     * 获取 accessToken
     */
    @ApiOperation(value = "获取 accessToken")
    @PostMapping("/token")
    public TokenDTO token(@RequestBody @Valid TokenReq req) {
        return JWTUtils.generateToken(req.getAppId(),req.getSign, req.getTimestamp());
    }
}

生成的token案例:

格式 header.payload.signature

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ5ZGwiLCJjb21wYW55X3VpZCI6IjEyIiwiZXhwIjoxNjY5MDI0ODYxLCJhcHBfaWQiOiJzZGYiLCJpYXQiOjE2NjkwMTc2NjF9.cy3KN5bOMzzYh4pcTR0pbfFeMD7cl5jqeFXYgxz4JeY

springBoot设置拦截器配置需要token验证的api

@Configuration
public class CustomWebMvcConfigurer implements WebMvcConfigurer {

    @Override
	public void addInterceptors(InterceptorRegistry registry) {
		WebMvcConfigurer.super.addInterceptors(registry);
		//token验证api拦截器
		registry.addInterceptor(openInterceptor)
				.addPathPatterns("/v1/open/**") // 此contorller业务api均拦截
				.excludePathPatterns("/v1/open/oauth/**"); //生成token的api不需拦截
	}
}


// 自定义实现拦截器,拦截器中校验token

@Component
public class OpenInterceptor extends HandlerInterceptorAdapter {


    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        
        // 获取token
        String token = req.getHeader("Authorization");
        // 解析token
        Boolean result = JWTUtils.verifierToken();

        // 可定义ThreadLocal 把请求头中的用户信息保存起来,供本线程全局使用
        // todo private static final ThreadLocal<BO> THREAD_LOCAL = new ThreadLocal<>();
        return result;
    }
}

小甄笔记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java:base64编码与解码和URL编码与解码
Alice_Lee_Lee的博客
12-30 607
Base64编码与解码
java token拦截器_Java基于JWTtoken认证
weixin_39881167的博客
03-02 1031
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seesion和cookie实现的。大致流程如下:用户向服务器发送用户名和密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到c...
Base64编码 - Java加密与安全
Leon_Jinhai_Sun的博客
05-06 972
BASE64编码 什么是Base64编码? 它是一种把二进制的数据用文本表示的编码算法. String base64Encoder(byte[] data) byte[]{0xe4,0xb8,0xad} -> "5Lit" 0xe4,0xb8,0xad通过base64编码,表示出来的字符串,就是"5Lit" 我们看一下如何使用Base进行编码,假如我们把中用UTF8表示的...
jdk1.8——Base64
FlyLikeButterfly的博客
01-11 1959
jdk8,Base64编码
Base64 编码与解码:URL Base64、MIME Base64
抓娃攻城师
02-25 3132
Java 8 中 Base 64 java 8 在标准API中增加Base64功能,通过 java.util.Base64工具类: Java 8 基本 Base64 输入任意字符串,输出被映射到“A-Za-z0-9+/”字符集中(没有回车符、换行符),解密从该字符集中解析为任意字符: // 编码 String asB64 = Base64.getEncoder().encodeToString("some string".getBytes("utf-8")); System.out.pri...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
JWT中的一些错误
dskwe的专栏
01-11 3774
POST请求时候,http方法时需要加一些信息到header,而且如果用apache得话,还需要做一些特殊配置来防止apache将认证头丢弃。 或者直接将token值放在url中传递也可以。 不然你就会得到token_absent的错误- -!~ 所以,第三方库的使用说明一定要每个字都看清楚,如果不行,那至少要把每行代码都看清楚! 附原文:To make authenticated requ
关于JWT 秘钥信息都正确但是就是提示验证失败原因
u013020402的博客
09-27 3788
摘要:com.auth0.jwt.exceptions.InvalidClaimException: The Claim 'XXX' value doesn't match the required one. 因为开发需求,使用JWTtoken插件,然后使用用户ID作为秘钥的一部门用于认证。但是用户的ID是纯数字类型的字符串。JWT开发时发现一个特别的问题,只要用客户的id做jwt认证时就会出现com.auth0.jwt.exceptions.InvalidClaimException: The Cla
初识JWT 简单的使用
boombaozi的博客
04-12 1279
一 . JWT基本概念全称是JSON Web Tokens ,与之前接触到的 用户认证方式不同的是,JWT是无状态的。当系统中认证用户的那个模块对用户进行认证以后(比如用户名密码),将给用户发送一个Token (就是一串字符,里面会携带一些必要的信息,比如用户名,角色信息)可以放到cookie 里或者别的什么地方,用户后面请求别的模块时会带着这个Token,验证签名以后,再根据用户角色进行鉴权,进...
SpringBoot第一次使用auth0的JWT
世 间 尤 物,不 敢 妄 取
03-02 3700
依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 工具类(含包) package ...
java base64编码和解码
西凉的悲伤博客
11-14 1万+
Base64 编码会将字符串编码得到一个含有 A-Za-z0-9+/ 的字符串。base64 编码和解码网上有些地方称为 base64 加密和解密,这是不准确的。base64 是不能用来加密和解密的,它只是一种编码解码方式,不能用于加密和解密,如果你想加密和解密可以选择如 AES、RSA 等加密算法。
Token解密出错:The string "此处为乱码'' doesn't have a valid JSON format(已解决)
weixin_43830606的博客
02-18 1万+
最近在毕设里面使用token做登录授权,使用postman测试出现了乱码报错: com.auth0.jwt.exceptions.JWTDecodeException: The string ‘�z��’G�#�KaTeX parse error: Expected 'EOF', got '&amp;' at position 6: �uB"�&amp;̲�r#��3S"’’ doesn’...
后台实战——用户登录之JWT
itKingOne的博客
03-26 1万+
现在的app往往会有登录功能,一般移动端app登录后都会得到一个token,今天就将token的一种实现方式Json Web TokenJWT),对于不了解JWT的同学可以参考这里,这里还有一个在线的的JWT生成器。在java中要使用jwt,需要pom.xml中添加如下依赖[html] view plain copy&lt;dependency&gt;      &lt;groupId&gt;c...
Java Base64 加密与解密
热门推荐
neweastsun的专栏
06-01 2万+
Java Base64 加密与解密 本文我们探讨不同方式实现java中Base4加密和解密功能。主要是java 8 api为主,同时也学习来自Apache Commons 的API。 Java 8 中 Base 64 java 8 在标准API中增加Base64功能,通过 java.util.Base64工具类。首先我们看基本的加密过程: Java 8 基本 Base64 基本的...
binary = Base64.getEncoder().encodeToString(bytes).trim(); 提示找不到包解决方法
smile_foreach的博客
09-29 1万+
sun.*的包换成 import org.apache.commons.codec.binary.Base64; 可以解决 BASE64Encoder encoder = new BASE64Encoder(); return encoder.encode(outputStream.toByteArray()).replaceAll("\n",""); 也...
JSON Web Token简单案例
最新发布
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值