JWT tonken的使用和感悟

最新推荐文章于 2024-06-15 15:14:49 发布
最新推荐文章于 2024-06-15 15:14:49 发布
阅读量306 收藏
点赞数
分类专栏: 笔记 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37390245/article/details/122383708
版权
com.nimbusds nimbus-jose-jwt compile 8.20.1 和 io.jsonwebtoken jjwt 0.9.1 两家jwt都用过了 之前用的是jjwt的当时配合springboor security,使用过几次后有了一些感悟

token最终目的也只是标识,至于token中是否携带真实有效的用户信息根本不重要,
jwt库只有两个作用,一个是验证一个tonke是否是所属应用发放的,另一个是加入用户信息,但是这个不重要

我们甚至可以用用户的id去做token但是,非法用户可能随意尝试一段id就能做token,那如果用id经过简单的加密得到另外的字符串发放去除做token,或者再高级一点,把得到的字符串为key,再把用户信息为value,限时保存在redis中,这样不就又能限制时间,以及记录用户信息吗?

这两个工具人是下面的

  @Bean(name = "HmacSigner")
    public JWSSigner generateHmacJwsSigner() throws KeyLengthException {
        SecureRandom random = new SecureRandom();
        random.nextBytes(sharedSecret.getBytes());
        return new MACSigner(sharedSecret);
    }

    @Bean(name = "HmacVerifier")
    public JWSVerifier getHmacJwsVerifier() throws JOSEException {
        SecureRandom random = new SecureRandom();
        random.nextBytes(sharedSecret.getBytes());
        return new MACVerifier(sharedSecret);
    }

今天使用nimbus-jose-jwt,发现一个小细节

JSONObject object=new JSONObject();
object.put("arg1",xxx)
object.put("arg2",xxx)
object.put("arg2",xxx)
Payload payload = new Payload(object.toJSONString());
JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.HS256).type(JOSEObjectType.JWT).build();//jwsheader不论那种都需要的
JWSObject jwsObject = new JWSObject(jwsHeader,payload);
jwsObject.sign(hmacSigner);//签名
String token = jwsObject.serialize();





JWSObject jwsObject = JWSObject.parse(token);
if(!jwsObject.verify(macVerifier)) {throw new JwtSignatureVerifyException("Sign fail!");}
 // 获取有效负载
Payload payload = jwsObject.getPayload(); // 有效负载JSON字符串
JSONObject json=JSONObject.parse(payload.toString())
后面根据json来验证试过时间过期,啥的
这种就只是用jwt库判断是否官方发放




JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.HS256).type(JOSEObjectType.JWT).build();
JWTClaimsSet.Builder jwtClaimsSet= new JWTClaimsSet.Builder();
jwtClaimsSet.claim(key1,v1)
jwtClaimsSet.claim(key2,v2)
jwtClaimsSet.claim(key3,v3)
标准中注册的声明 (建议但不强制使用) :
百度得到jwt各个参数
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

SignedJWT signedJWT = new SignedJWT(jwsHeader,jwtClaimsSet.build());
signedJWT.sign(hmacSigner);
String token=signedJWT.serialize();

用JWTClaimsSet对象设置好过期时间,那么就是这样

 SignedJWT parse = SignedJWT.parse(token);
        if (!parse.verify(hmacVerifier)) {//自己会验证是否官方和时间过期
            throw new RuntimeException("invalid token");
        }
parse.getJWTClaimsSet().getClaim("key")
parse.getJWTClaimsSet().getClaim("key2")
parse.getJWTClaimsSet().getClaim("key3")

最后我们得到结论用啥库不重要,用啥方式也不重要,关键是谁性能好,就用谁

自己随便发放字符串也能做token,只要能验证是否是官方方法就行。

民谣与狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的...基于JWT.NET的使用详解,JWT是一种优秀的身份验证和授权的方式,可以广泛应用于web开发中。
java的claims_Java JWTClaimsSet.getClaim方法代码示例
weixin_42515339的博客
02-28 2243
import com.nimbusds.jwt.JWTClaimsSet; //导入方法依赖的package包/类/*** getYourMicroserviceClaimsVerifier* Obtains our Standard Claims Verifier.** @return JWTClaimsVerifier Claims Verifier to be performed again...
java的claims_Java JWTClaimsSet.getStringClaim方法代码示例
weixin_33298352的博客
02-28 1553
import com.nimbusds.jwt.JWTClaimsSet; //导入方法依赖的package包/类/*** Parses authz code from string (JSON)** @param authorizeCodeClaimsSet* JSON String representation of the code* @return Authorize...
Spring Security——结合JWT实现令牌的验证与授权
最新发布
戏拈秃笔的博客
06-15 948
JWT可以用于认证和信息交换,流程: 在Web应用程序中,当用户成功登录后,服务器可以生成一个JWT并将其发送回客户端 客户端存储该令牌,并在后续每次请求服务器接口时,都在请求报头中携带JWT 服务器校验JWT签名,得到用户信息,如果验证通过,则根据授权规则返回前端请求的数据
基于JWT+拦截器实现用户登录拦截
qq_43375881的博客
01-19 1543
基于JWT+拦截器实现用户登录拦截 首先是maven依赖 <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>6.0</version> </dependency> 然后是JwtUti
java jwt 库_各类JWT库(java)的对比
weixin_30509193的博客
02-13 652
packagemyoidc.server.infrastructure;importcom.google.common.base.Charsets;importcom.google.common.io.CharStreams;import com.nimbusds.jose.*;import com.nimbusds.jose.crypto.*;importcom.nimbusds.jose.jw...
如何使用 RSA 加密 JWT
天行健,君子以自强不息;地势坤,君子以厚德载物。
08-19 1545
引入nimbus-jose-jwt<dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>9.23</version> </depende...
Django rest framework jwt使用方法详解
09-18
2. 存储和使用 JWT:客户端保存 JWT,并在后续请求中将其放入 `Authorization` 头部,如 `Authorization: Bearer <JWT>`。 3. 验证 JWT:服务器接收到请求后,验证 JWT 的签名,确认其有效性,然后处理请求。 ...
详解JWT token心得与使用实例
10-16
- 服务器通过重新计算签名来验证JWT的合法性,使用相同的算法和密钥,对比生成的新签名与JWT中的签名是否一致。 5. **Token 的安全性考虑**: - 因为签名是基于密钥生成的,只有服务器知道这个密钥,所以其他人...
在SpringBoot中使用JWT的实现方法
08-26
在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是一种基于 token 的身份验证机制,可以...
Django项目中使用JWT的实现代码
09-18
- 安装`djangorestframework-jwt`和`djangorestframework`,以及其他可能需要的库如`markdown`和`Django-filter`,可以使用`pip`进行安装。 6. **URL配置**: - 在`django_jwt/urls.py`中,引入必要的模块,并...
JWT&JOSE
dark
06-17 2228
JOSE JWT
java创建jwt_Java实现jwt生成Token
weixin_39605345的博客
02-24 1099
需要使用到的两个jar包//jwtcom.nimbusdsnimbus-jose-jwt4.13.1//redisredis.clientsjedis2.1.0Jwt生成工具类/*** 生成Token工具类**/public class JwtToken {/*** 秘钥*/private static final byte[] SECRET="3d990d2276917dfac04467df11...
JWT介绍及使用
qq_45240568的博客
12-10 1041
本文将介绍一下JWT,希望看完对你有所帮助
JWT工具类(学习jwt
鹏鹏鹏鹏鹏噢的博客
03-27 213
学习jwt
深入理解token
rizon886的博客
02-10 4261
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token?(无状态token开始比较有用) 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? ...
什么是token?token是用来干嘛的?怎么使用
热门推荐
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
学习心得之……如何用Tonken防止重复提交表单
forjava11的专栏
06-14 1199
一、 什么是Token   Token 是指一个令牌,他是服务器端的技术,他是Struts 1的特性,表单与数据库之间不能直接的发生关系,而是通过令牌。没有令牌的不能和数据库访问。  二、 Token工作机制  这里以用户注册做为例子,这里有二个Acion:ForwordAction(转发的用户注册页面)、  LoginAction(提交注册页面,完成数据持久化),三个JSP:Logi
Token介绍
magic_hat的博客
08-14 8357
Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识
drf中jwt使用和原理
05-18
以上是 DRF 中使用 JWT 的简单介绍,JWT 的原理是将用户标识信息和过期时间等信息进行编码,生成一个安全的 token,并将其传递给客户端。客户端在后续的请求中携带这个 token,在服务端进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值