使用auth0构建JWT

最新推荐文章于 2025-03-21 14:14:30 发布
最新推荐文章于 2025-03-21 14:14:30 发布
阅读量1.1w 收藏 48
点赞数 10
分类专栏: # Spring Java 文章标签: jwt java 加密解密 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36913208/article/details/104107102
版权

写于2019年年底,2020年春,新年好!

JWT

全称 Json Web Token

用于用户认证

用于前后端分离项目(App/微信小程序 无法产生cookie的项目)

文中所提到的 Token泛指身份验证时使用的令牌,而JWT,是json 格式的 web token,两者稍作区别

JWT的构成

JWT 官网 点击前往 ,下列数据解释官网内容:

由三段字符串组成,两端中间用.分隔

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 第一段字符串:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

HEADER:ALGORITHM & TOKEN TYPE

包含生成token使用的算法与token类型

{
   
  "alg": "HS256", //ALGORITHM ,默认算法 哈希256
  "typ": "JWT"  //TOKEN TYPE ,token类型
}

将该JSON字符串做 base64Url 编码 得到eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

  • 第二段字符串:eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

PAYLOAD:DATA

数据载体,可以有自定义数据

{
   
  "sub": "1234567890", // 自定义数据
  "name": "John Doe", // 自定义数据
  "iat": 1516239022	// token起作用时间 、生产日期
}

将该JSON字符串做 base64Url 编码得到 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

base64Url 可被解码,所以不宜将敏感信息写在token中

  • 第三段字符串:SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

VERIFY SIGNATURE

签名验证

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret

) secret base64 encoded
  1. 将第一段 + 第二段 字符串拼接起来(中间用.
  2. 将拼接完成的字符串进行加密, 算法 + 盐 + 密钥
  3. 对算法 加密后的密文再做base64Url编码

JWT实现认证的大致过程

在这里插入图片描述

假设使用HS256算法

  1. 用户提交用户名+密码发送请求给服务端,服务端接受参数使用JWT 创建token返回 (先登录)

  2. 用户第二次发送请求,带上token (登录后的操作 )

  3. 服务端接受token ,将token 分割开 (切割成三部分)

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  4. 对第二段字符串进行 base64Url 解密并获取 PAYLOAD数据

    {
     
  "sub": "1234567890", // 自定义数据
  "name": "John Doe", // 自定义数据
  "iat": 1516239022	// token起作用时间 、生产日期
}

  5. 检测 PAYLOAD中的信息是否过期(比较 iatexp 时间)

    为了保证前面两段数据没有被恶意篡改,来校验第三段字符串:

  6. 因为 HS256 不能被反解密(RS256、MD5 亦是如此),所以将第一、二段字符串拼接, 进行 HS256

    `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9` + eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

//toHS256

  7. 拿着生成的 HS256 密文与第三段字符串进行比较

    • 一致,则校验通过
    • 不同,则不通过

JWT 在JAVA中的应用

Maven库搜索 JWT, jjwt使用率排行第一(优点的话,我粗糙的看了下实现的代码,简明易懂,易使用,但网上说说封装的时候获取信息的能力有限),我这里使用的是 auth0,加入pom.xml 依赖

对于auth0的缺点,应该就是在验证RSA256 加密后的 token的时候,需要给算法实例传递两个key(公钥 + 私钥),这明显不太符合常规情况(常规情况是只需提供公钥即可)

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.9.0</version>
</dependency>

观察GitHub中的教程:

https://github.com/auth0/java-jwt

JWT 规定了7个官方字段,提供使用。

  • iss (issuer):发布者
  • sub (subject):主题
  • iat (Issued At):生成签名的时间
  • exp (expiration time):签名过期时间
  • aud (audience):观众,相当于接受者
  • nbf (Not Before):生效时间
  • jti (JWT ID):编号

Using HS256

HS256,签名/验证的时候用的都是同一个密钥,称为对称算法

创建JWT

首先拿到算法实例,用于创建后的签入 sign(传入算法实例)

Algorithm algorithm = Algorithm.HMAC256("secret"); //secret 密钥,只有服务器知道

观察源码:

public static Algorithm HMAC256(String secret) throws IllegalArgumentException {
   
 return new HMACAlgorithm("HS256", "HmacSHA256", secret);
}

实际使用的时候,将 secret 字符串弄得长点,复杂点

使用JWT.create()创建一个 JWTCreator 实例

String token = JWT.create()

使用sign()签入algorithm 在签入之前:

使用withIssuer()给PAYLOAD添加一跳数据 => token发布者

使用withClaim()给PAYLOAD添加一跳数据 => 自定义声明 (key,value)

使用withIssuedAt() 给PAYLOAD添加一条数据 => 生成时间

使用withExpiresAt()给PAYLOAD添加一条数据 => 保质期

@Test
public void creatToken(){
   
    try{
   
        Algorithm algorithm = Algorithm.HMAC256("secret");
        String token = JWT.create()
            .withIssuer("auth0")    // 发布者
            .withIssuedAt(new Date())   // 生成签名的时间
            .withExpiresAt(DateUtils.addHours(new Date(),2))   // 生成签名的有效期,小时
            .withClaim("name","wuyuwei") // 插入数据
            .sign(algorithm);

        System.out.println(token);
    }catch(JWTCreationException e){
   
        e.printStackTrace();
        //如果Claim不能转换为JSON,或者在签名过程中使用的密钥无效,那么将会抛出JWTCreationException异常。
    }


}

withIssuer()用于对参数 添加声明,观察源码:

public JWTCreator.Builder withIssuer(String issuer) {
    
    this.addClaim("iss", issuer);
    return this;
}

private
最低0.47元/天 解锁文章
SpringBoot集成auth0-jwt插件,实现jwt的token生成、校验,用户登录验证,配置拦截器拦截请求校验token功能
yunnuo的博客
01-05 971
该文章介绍了SpringBoot如何集成auth0-jwt插件,实现jwt的token生成、校验,用户登录验证,配置拦截器拦截请求校验token功能. JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它以JSON对象的形式存在,并使用数字签名来验证信息的完整性和真实性。JWT由三部分组成,分别是Header、Payload和Signature。
auth0java-jwt_Spring boot + JWT 实现安全验证 ---auth0.jwt
weixin_31936393的博客
02-28 1688
auth0jwt 实现安全验证: 使用自定义参数 和时间戳生成token。验证token时验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException1.引入依赖com.auth0java-jwt3.10.32.生成token和验证token的工具类import java.util.Date;import org.s...
JWT 实战教程
weixin_43145539的博客
03-30 423
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
SpringBoot - 集成Auth0 JWT
Maggieq8324的博客
08-19 5658
目录前言 说说JWT,先说下互联网服务常见的两种用户认证方式:session认证与Token认证 session认证 传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显: - Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大 - 保存在内存中的Session限制了分布式的应用 - Cookie容易被截获伪造
Java——JWT详细讲解
最新发布
jukuya的博客
03-21 1093
JWT 是一种用于在网络应用间安全传递声明的开放标准(RFC 7519)。它通常由三部分构成:头部(Header)、载荷(Payload)和签名(Signature),并以分隔,形成类似的字符串。JWT 是一种简单而强大的身份验证机制,适用于各种前后端分离的项目。通过本文的介绍,你应该对 JWT 的原理、工作流程和使用方法有了更深入的了解。在实际开发中,要注意 JWT 的安全问题,确保系统的安全性。希望本文能帮助你在项目中成功应用 JWT 进行登录认证。
jwt token使用autho0-jwt框架使用(二)
平凡之路无尽路的博客
09-10 4516
转载:http://www.leftso.com/blog/221.html 转在学习分享,还有其他不错博文,可供学习。 一、前言 Java编程中使用jwt,首先你必须了解jwt是什么,长什么样子。如果你不了解可以先去本站另外一篇博客什么是JWT? 二、Java编程中jwt框架选择 在Java编程中,实现jwt标准的有很多框架,本博客采用的框架是auth0java-jwt版本为3.2...
关于auth0jwt
qq_35824590的博客
12-08 3442
JWT(Json Web Token) 用于无法产生cookie的项目(App/微信小程序 ) 同时解决了分布式中session共享的问题(登陆信息以非对称加密的形式存在客户端中,只消耗cpu以及网络io,自然解决了分布式session共享) JWT 规定了7个官方字段,提供使用。 iss (issuer):发布者 sub (subject):主题 iat (Issued At):生成签名的时间 exp (expiration time):签名过期时间 aud (audience):观众,相
golang-gin:使用Gin框架构建Golang应用,并使用Auth0 + JWT进行身份验证
04-29
使用Gin框架构建Golang应用,并使用Auth0 + JWT进行身份验证 此存储库包含 的代码示例 文章进行 。 设置 使用您的Auth0凭据更新main.go文件。 如果没有帐户,则免费一个帐户。 使用您的Auth0凭据更新views/app.jsx...
node-auth-api:使用Express和JWT构建的基本身份验证API
05-08
使用Express和JWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
auth0-socketio-jwt使用JWT验证socket.io传入连接
02-06
此仓库由社区开发人员而不是Auth0支持和维护。 有关不同支持级别的更多信息,请访问 。 安装 npm install socketio-jwt 用法 // set authorization for socket.io io . sockets . on ( 'connection' , socketioJwt...
NodeJS-RESTAPI-JWTAuth:使用jwt,express和mongoDB构建的安全RestAPI
05-11
NodeJS-RESTAPI-JWTAuth RestAPI在我的Angular JWT应用程序中用作后端。 它具有使用MongoDB和JWT进行身份验证的用户登录/注册功能。 如果您想知道如何实现刷新令牌并为响应设置标头,请签出./jwt-authJWT验证...
使用auth0.jwt创建和解析token,登录和请求验证处理
m0_73952463的博客
07-28 581
简单的创建和解析一个token
Spring boot + JWT 实现安全验证 ---auth0.jwt
dream_heheda的博客
06-29 8377
使用auth0jwt 实现安全验证: 使用自定义参数 和时间戳生成token。验证token时验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException 1.引入依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId&g
JWT(auth0):RS256非对称加密算法实现Token的签发、验证
西门阿浪的博客
05-31 6377
前言  日常开发中,客户端与服务器通常采用HTTP协议进行通信,但HTTP是没有状态的,无法记录用户的身份信息和行为。  会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案,我们所熟知的有Cookie + Session、URL重写、Token等。  Cookie在浏览器保存SessionID、Session实际内容保存在服务端,目前的项目都是前后端分离 + 微服务,所以会面临Session共享问题,随着用户量的增多,开销就会越大。URL重写又是通过明文传输,不安全容易被劫持。   Toke.
auth0 封装 JwtUtils
qq_52425315的博客
11-28 311
auth0 封装 JwtUtils
auth0java-jwt_有没有用过 auth0-jwt 的,发现一个很奇怪的问题,麻烦大佬帮忙看下...
weixin_33199315的博客
02-28 688
public class JwtUtil {private static Algorithm algorithm;static {try {algorithm = Algorithm.HMAC512(KeyGenerator.getInstance("HmacSHA512").generateKey().getEncoded());} catch (NoSuchAlgorithmException...
Springboot集成autho0-jwt框架解析token
IBLiplus的博客
09-21 2469
下面是通过使用框架中整个的jwt插件实现token解析并获取token中的用户名的用户id的代码: 首先是util层: package ai.huarui.mes.plan.util; import com.auth0.jwt.JWT; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.inte...
auth0java-jwt,Java-Auth0 JWT验证-这正确吗?
weixin_32940203的博客
02-28 768
I'm setting up a REST API with Auth0 as the authentication service. Everything is working but my confidence has been a bit shaken after a rather strange occurrence.My implementation is based on the s...
auth0java-jwt_spring集成jwt验证方式,token验证
weixin_36145482的博客
02-28 1935
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值