JWT 使用入门(一)配置与示例

最新推荐文章于 2024-05-05 08:54:38 发布
最新推荐文章于 2024-05-05 08:54:38 发布
阅读量643 收藏
点赞数
分类专栏: gateway 文章标签: 后端 gateway
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37534947/article/details/132066909
版权

文章目录

官网链接:https://github.com/jwtk/jjwt

1、用途✨

JWT主要作用分为以下两种:

  • 1:作为在前后端分离项目中的登录策略
  • 2:单纯作为客户端的请求身份认证,spring-gateway网关进行判断拦截

这里我仅讲解第二种!第一种见链接:

2、实现流程👀

  • 1:服务方编写代码生成token,记录token给消费方
  • 2:消费方每次发来的请求,都要携带该token
  • 3:服务方部署网关对消费方发送来的token进行解密,判断是否有效:有效放行到服务端,否则进行拦截

注:这种不需要存储在服务端的认证方式时无状态认证方式,不同于session+cookie的有状态认证方式,其中好处主要为以下几点:

  • 客户端请求不依赖服务端的信息,多次请求不需要必须访问到同一台服务器
  • 减小服务端存储压力

3、JWT介绍

JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权!

3.1、构成

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature).

3.1.1、header

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示:

{
  "alg": "HS256",
}

在这里插入图片描述
有的文章说还包含:typ属性表示令牌的类型,JWT令牌统一写为JWT,但是我打印的如上图只有alg。

3.1.2、载荷

一共有7个字段可以设置,如下:

iss: jwt签发者
sub: jwt所面向,使用jwt的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须大于签发时间
nbf: 定义在指定时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

另外,可以自定义一些字段,如下:

{
  "admin": true
}

3.1.3、签证

生成语法:

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

注:其中secret是密钥,不可泄漏,并且其生成也用到了头部信息和载荷信息。

JWT解析地址:https://jwt.io/#libraries

4、java实现

4.1、引入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

4.2、测试案例

生成代码:

package org.example;

import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.Base64Codec;

import java.util.Date;

// Press Shift twice to open the Search Everywhere dialog and type `show whitespaces`,
// then press Enter. You can now see whitespace characters in your code.
public class Main {
    public static void main(String[] args) {
        // Press Alt+Enter with your caret at the highlighted text to see how
        // IntelliJ IDEA suggests fixing it.

        //testJwt();
        generateJwtToken();
        testParseToken();

    }

    /** 测试生成token1 */
    public static void testJwt() {
        JwtBuilder jwtBuilder = Jwts.builder()
                // 唯一ID {"":""}
                .setId("888")
                // 接受的用户 {"sub":"Rose"}
                .setSubject("Rose")
                // 签发时间 {"iat":"。。。"}
                .setIssuedAt(new Date())
                // 签名算法 及秘钥
                .signWith(SignatureAlgorithm.HS256, "aVBhbkUxcEEyc1dvMmRCeVpM");
        // 签发token
        String token = jwtBuilder.compact();
        System.out.println(token);

        String[] split = token.split("\\.");
        // 头部
        System.out.println(Base64Codec.BASE64.decodeToString(split[0]));
        // 载荷
        System.out.println(Base64Codec.BASE64.decodeToString(split[1]));
        // 算法及秘钥 这个会乱码
        System.out.println(Base64Codec.BASE64.decodeToString(split[2]));
        
    }
	 /** 测试生成token2 */
    public static String generateJwtToken(){
 
        // 头部 map / Jwt的头部承载,第一部分
        // 可不设置 默认格式是{"alg":"HS256"}
        Map<String, Object> map = new HashMap<>();
            map.put("alg", "HS256");
            map.put("typ", "JWT");
 
 
        //载荷 map / Jwt的载荷,第二部分
        Map<String,Object> claims = new HashMap<String,Object>();
 
            //私有声明 / 自定义数据,根据业务需要添加
            claims.put("id","123456");
            claims.put("userName", "admin");
 
            //标准中注册的声明 (建议但不强制使用)
            //一旦写标准声明赋值之后,就会覆盖了那些标准的声明
            claims.put("iss", jwt_iss);
            /*	iss: jwt签发者
                sub: jwt所面向的用户
                aud: 接收jwt的一方
                exp: jwt的过期时间,这个过期时间必须要大于签发时间
                nbf: 定义在什么时间之前,该jwt都是不可用的.
                iat: jwt的签发时间
                jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
            */
 
 
        //下面就是在为payload添加各种标准声明和私有声明了
        return Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
                .setHeader(map)         // 头部信息
                .setClaims(claims)      // 载荷信息
                .setId(UUID.randomUUID().toString()) // 设置jti(JWT ID):是JWT的唯一标识,从而回避重放攻击。
                .setIssuedAt(new Date())       // 设置iat: jwt的签发时间
                .setExpiration(new Date(System.currentTimeMillis() + access_token_expiration * 1000)) // 设置exp:jwt过期时间
                .setSubject(subject)    //设置sub:代表这个jwt所面向的用户,所有人
                .signWith(SignatureAlgorithm.HS256, "aVBhbkUxcEEyc1dvMmRCeVpM");//设置签名:通过签名算法和秘钥生成签名
                .compact(); // 开始压缩为xxxxx.yyyyy.zzzzz 格式的jwt token
    }

    /** 解析token */
    public static void testParseToken() {
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJSb3NlIiwiaWF0IjoxNjkwOTY1ODY3fQ.pT-fzrxquCmB5eLqIiPQfdow92c0ZJBHP79-W3KE898";
         //得到的是荷载
        Claims claims = (Claims) Jwts.parser()
                // 解析时的秘钥一定要和签发时秘钥相同,但是发现这了的秘钥为4-7个x都是可以成功解析的
                .setSigningKey("aVBhbkUxcEEyc1dvMmRCeVpM111")
                // .parse(token)
                .parseClaimsJws(token)
                .getBody();
        System.out.println(claims);
        // 得到的是头部
        JwsHeader test = Jwts.parser()
                // 解析时的秘钥一定要和签发时秘钥相同,但是发现这了的秘钥为4-7个x都是可以成功解析的
                .setSigningKey("aVBhbkUxcEEyc1dvMmRCeVpM111")
                // .parse(token)
                .parseClaimsJws(token)
                .getHeader();
        System.out.println(test);
    }
}

参考链接:
https://blog.csdn.net/qq_37138756/article/details/103499429

Studying_swz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jwt超详细配置和教程
欲买桂花同载酒,终不似少年游
07-03 3192
认证方式传统使用session就是前端cookie保存一个sessionid,下次发送请求会自动携带认证流程暴露问题session保存在内存中,用户越多,内存负载越大分布式应用的话限制了负载均衡能力cookie被截获容易收到跨站请求伪造攻击在前后端分离系统中更加痛苦也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid到服务器,服务器还要查询用户信息。同时如果用户很多。
jwt配置
HobbitX的博客
10-14 888
jwt配置
2024年Java最全Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本),Java面试10大知识点总结宝典助你通关
最新发布
2401_84692141的博客
05-05 569
由于整个文档比较全面,内容比较多,篇幅不允许,下面以截图方式展示。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt java 项目实例_springboot JWT项目实战demo
weixin_27923353的博客
02-16 583
本文是一篇实战demo,使用框架为io.jsonwebtoken的jjwt。你会了解到token的生成,解析过程,最后将在项目中体验jwt使用过程。如果不是很了解jwt,可以参考以下文章补充一下。目录1、引入所用到的库io.jsonwebtokenjjwt-api0.11.2io.jsonwebtokenjjwt-impl0.11.2runtimeio.jsonwebtokenjjwt-jack...
token学习笔记(JWT、jjwt使用及案例实现)
Tian208的博客
01-25 5542
1. 首先、了解什么是会话 2. 会话跟踪的主要技术 3. Token 令牌学习 3.1 流程图 3.2 token 3.3 JWT(JSON web Tokens)Json web 令牌(规范) 3.4 JWT结构 3.5 JWT需要的依赖 3.6 JWT的获取与验证流
Oauth2密碼模式+JWT+Oracle
b055233的专栏
09-07 168
【代码】Oauth2密碼模式+JWT+Oracle。
JWT入门指南2023-6-20
06-20
签名是通过头部、载荷和一个密钥(secret key)使用指定算法计算得出的,用于验证JWT的完整性和防止篡改。 二、Spring Boot集成JWT 1. 添加依赖 首先,在Spring Boot项目中添加JWT相关的依赖,如jjwt库,可以通过...
jhipster5-demo:JHipster 5教程和示例入门
01-29
**JHipster 5 教程与示例入门** JHipster 是一个开源的开发工具,用于快速构建高质量的现代Web应用程序。它基于Java和TypeScript,利用Angular或React作为前端框架,Spring Boot作为后端框架,以及Webpack作为模块...
autentication_jwt_react_example:使用React进行身份验证的示例
02-12
Create React App入门 该项目是通过。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果进行编辑,页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm ...
express-starter:快速入门
05-15
基于服务的文件夹结构( /lib中的每个文件夹都是单独的服务,具有自己的index.js , datastore.js [如果需要]和一个web resource.js ),以便于导航 通过环境变量进行配置 lib/github服务在此处用作示例,说明如何...
nest-user-auth:后端入门构建,它实现了使用MongoDB,Mongoose,NestJS,Passport-JWT和GraphQL管理用户
02-03
该项目的目的是提供一个示例,说明如何将NestJS文档(NestJS,GraphQL,MongoDB,Mongoose,Passport,JWT,DotEnv,Joi,Jest)中的所有这些技术集成到一个工作的后端中。 如果您认识到反模式或做某事的更好方法,...
Spring Security OAuth2 JWT认证服务器配置
OceanSky的专栏
07-16 3270
1.四种授权模式 授权码模式 密码模式 客户端模式 简化模式 2.密码模式 http://localhost:9001/oauth/token?username=user&password=user&grant_type=password&client_id=client&client_secret=secret grant_type:授权类型,必选,此处固...
Vue3+.net6实战之完成JWT配置
zhmen的博客
01-17 907
JWT的应用
JWT
weixin_43654482的博客
10-11 274
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "...
11.JWT安装配置
Daniel
10-05 392
文章目录1.JWT安装配置1.1 安装JWT1.2 `syl/settings.py`配置jwt载荷中的有效期设置1.3 `syl/settings.py`JWT结合DRF进行认证权限配置`user/urls.py`增加获取token接口和刷新token接口1.5 在`user/utils.py`中从写jwt_response_payload_handler2.postman测试接口2.1 测试登录接口,获取token2.2 使用获得的token获取所有用户信息 1.JWT安装配置 1.1 安装JWT pi
【071】JWT 简介
zhangchao19890805的专栏
04-15 3319
这篇文章翻译自 JWT 官网: https://jwt.io/introduction/什么是 JWT (JSON 网络令牌)?JWT(JSON 网络令牌)是一个开源的标准(RFC 7519)。这个标准定义了一个简洁并且自包含的方法,以便在系统各个部分之间安全地传送JSON对象格式的信息。因为通过JWT传递的信息是被数字签名过的,所以是可以被证实和信任的。我们可以使用单一密钥来加密 JWT 的签名,
jwt配置 restful_SpringBoot+JWT+SpringSecurity+MybatisPlus实现Restful鉴权脚手架
weixin_42321496的博客
01-14 139
前言JWT(json web token)的无状态鉴权方式,越来越流行。配合SpringSecurity+SpringBoot,可以实现优雅的鉴权功能。为了减少重复造轮子的工作量,方便大家复制和参考,我把一个完整的SpringBoot+JWT+SpringSecurity+Mybatis-Plus开发的项目,放到本人的github上,方便自己的同时也方便他人。原创声明源码获取github地址,参考...
Spring Boot整合JWT实现用户认证
热门推荐
自古三楼出的博客
03-10 3万+
Spring Boot整合JWT实现用户认证 之前初学了一下Spring Boot和JWT的内容,写了几篇小文章,但是杂乱无章,就重新整理了一下自己学习的东西,尽量写的足够详细,给像我一样刚刚接触这个内容的新手一个参考。这里附上代码的Github源码地址 ,参考的文献也附在这里12 初探JWT 什么是JWT JWT(Json Web Token),是一种工具,格式为XXXX.XXXX...
java 使用jwt的代码示例
06-01
下面是一个简单的 Java 代码示例,演示如何使用 JWT(JSON Web Token)。 首先,需要使用 Java JWT 库,该库提供了创建和验证 JWT 的 API。可以使用 Maven 或 Gradle 将该库添加到项目中。 ```xml <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.1</version> </dependency> ``` 接下来,可以使用以下代码创建和验证 JWT。 ```java import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTVerificationException; import com.auth0.jwt.interfaces.DecodedJWT; import java.util.Date; public class JwtUtils { // JWT 有效期为 1 小时 private static final long EXPIRATION_TIME = 60 * 60 * 1000; // JWT 密钥 private static final String SECRET = "my-secret"; /** * 创建 JWT * * @param userId 用户 ID * @return JWT */ public static String createToken(long userId) { // JWT 过期时间 Date expireDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); // 构造 JWT return JWT.create() .withClaim("userId", userId) .withExpiresAt(expireDate) .sign(Algorithm.HMAC256(SECRET)); } /** * 验证 JWT * * @param token JWT * @return 是否验证通过 */ public static boolean verifyToken(String token) { try { DecodedJWT jwt = JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token); // 验证通过 return true; } catch (JWTVerificationException e) { // 验证失败 return false; } } /** * 获取 JWT 中的用户 ID * * @param token JWT * @return 用户 ID */ public static long getUserId(String token) { DecodedJWT jwt = JWT.decode(token); return jwt.getClaim("userId").asLong(); } } ``` 上述代码定义了一个 JwtUtils 类,其中包含三个方法: 1. `createToken(long userId)`:创建 JWT,其中 userId 是用户 ID。 2. `verifyToken(String token)`:验证 JWT,其中 token 是 JWT。 3. `getUserId(String token)`:从 JWT 中获取用户 ID,其中 token 是 JWT。 需要注意的是,上述代码中的密钥 "my-secret" 应该替换为一个更安全的密钥。此外,可以根据需要修改 JWT 的有效期和其他声明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Studying_swz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值