JWT & Token

最新推荐文章于 2023-10-14 09:00:00 发布
最新推荐文章于 2023-10-14 09:00:00 发布
阅读量198 收藏
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37843462/article/details/119940118
版权

JWT的使用场景

前后端分离项目(移动APP、小程序、H5)

JWT分为三部分:

1. header 头部
加密算法 使用base64编码格式 Alg:HS256
标准中注册的声明 (建议但不强制使用)
• iss: jwt签发者
• sub: jwt所面向的用户
• aud: 接收jwt的一方
• exp: jwt的过期时间,这个过期时间必须要大于签发时间
• nbf: 定义在什么时间之前,该jwt都是不可用的.
• iat: jwt的签发时间
• jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
2. payload
base64编码
payload中的数据无法被篡改,验证签名
3. verify signature(签名)
使用MD5加密,payload.toJSONString()+signingKey(盐值) 存放在服务器端

解密

在这里插入图片描述


        JSONObject header = new JSONObject();
        header.put("Alg", "HS256");

        JSONObject payload = new JSONObject();
        payload.put("name", "zhangsan");
        payload.put("age", "23");
        payload.put("address", "西安");

        //base64 编码
        String jwtHeader = Base64.getEncoder().encodeToString(header.toJSONString().getBytes());
        String jwtPayload = Base64.getEncoder().encodeToString(payload.toJSONString().getBytes());

        // 盐
        String signKey = "amazing";
        // sign签名
        String signing = DigestUtils.md5Hex(payload.toJSONString() + signKey);
        // 组成jwt
        String jwt = jwtHeader + "." + jwtPayload + "." + signing;
        System.out.println(jwt);

		/* 解密 拿到一个jwt的操作
         * 加双斜杠是转义字符 防止报错
         */
        // 切割索引为1的是payload
        String jwtPayload1 = jwt.split("\\.")[1];
        // 签名
        String jwtSign1 = jwt.split("\\.")[2];
        String ss = DigestUtils.md5Hex(new String(Base64.getDecoder().decode(jwtPayload1.getBytes()),"UTF-8") + signKey);
        System.out.println(ss.equals(jwtSign1));

JWT的优缺点

优点:
• 无需在服务器存放用户的数据,减轻服务器的压力
• 轻量级,json风格比较简单
• 跨语言
缺点
• JWT一旦生成后期无法修改(因为jwt生成的时候设定了有效期存放在客户端)
• 无法更改jwt有效期
• 无法销毁jwt(客户端清除cookie服务器还在)
• 建议时间设置短一点(30分钟-1天) 具体根据项目情况而定

JWT和Token的区别

JWT不需要依赖于服务器,将数据信息直接存放在客户端(浏览器)
Token是依赖于redis的,将数据存放在redis中 token想要销毁的话直接清除redis即可
Token存放value数据时比较安全的

JWT过期时间

如果从jwt中拿到的过期时间大于当前系统时间,就说明jwt已经过期了

初見i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT token
lwm1995的博客
07-22 226
import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import com.wpdata.management.param.LoginInfoParam; import io.jsonwebto.
JWT与Shiro
weixin_44521516的博客
04-02 2912
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: ...
快速了解什么是jwt及如何使用jwt
最新发布
weixin_72997875的博客
10-14 249
JWT(JSON Web Token)是一种用于在网络应用间安全传递声明(claim)的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部主要包含了用于描述 JWT 类型以及所使用的签名算法的信息。载荷包含了需要传递的声明(claim),比如用户身份、权限等信息。签名则是对头部、载荷和一个密钥进行的签名,用于验证数据的完整性。1.1 Header这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;
token的处理及无感知刷新---个人理解向
m0_55918015的博客
05-18 3747
token是我们在登录系统后,后端会给我们返回的一个字段,我们需要在每次发送请求的时候,将token注入请求头,这样后端才能够给我们返回我们需要的信息。出于安全考虑,token的有效期一般是1-8小时,一般是2小时,那设想这样两个场景: 1.如果用户一天都在我们系统上打工,忙了九个小时,结果token过期了,没办法发送请求了,只能退出重新登录,重新获取新的token,肯定会影响用户体验的。我们需要token过期了,但是通过某种手段,让用户能够继续正常使用我们的系统,用户感觉不到。 2.用户如果一段时间,
token过期机制的问题
qq_46940224的博客
10-15 4049
浅谈一下token过期机制的问题
JWT详解
m0_63040701的博客
05-17 425
为了防止用户篡改数据,服务器在生成这个对象的时候会加上签名,服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大,与REST风格不匹配。定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。
JWT令牌 创建JWT、和解析JWT
hyj7_7的博客
08-05 462
【代码】JWT令牌 创建JWT、和解析JWT
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT 网关TOKEN 加密
05-15
JSON Web Token (JWT) 是一种广泛使用的轻量级身份验证机制,它允许服务端生成一个包含用户信息的令牌,该令牌可以在客户端之间安全地传递。然而,原始的JWT令牌可能包含敏感信息,如果未加密,可能会面临安全风险。...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
JWT的应用及配置
qq_15832329的博客
11-27 773
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外
JWT介绍
m0_53151031的博客
11-21 1236
一、JWT出现的原因以及工作原理 1、JWT的定义: JSON Web Token (JWT),是目前最流行的跨域身份验证解决方案 二、JWT工具类的介绍以及三种场景 三、JWT与vuex在SPA项目中的应用
PYJWT的使用
qq_36606793的博客
01-04 425
PYJWT使用HS256编码和解码令牌 使用HS256编码和解码令牌 import jwt import datetime dic = { 'exp': datetime.datetime.now() + datetime.timedelta(days=1000), # JWT的过期时间 'iat': datetime.datetime.now(), # JWT的签发时间 'iss': 'lianzong', # 签名 "aud": ["urn:foo", "ur
JWT(详解)
weixin_44736637的博客
04-07 3万+
JWT
Jwt
m0_63300795的博客
09-04 1591
这篇小案例采用的是模仿网银一类...如果用户在程序规定的时间不请求后端就会失效。
API接口之JWT设置token过期时间(二)
热门推荐
尼古拉斯大树的博客
10-11 6万+
目录 1.什么是Jwt 2.token是什么 3.为什么要使用token 4.如何实现token 5.JWT的简单案例 6.API接口token案例 6.1 token的创建 6.2 用户验证流程 7.测试流程 7.1 项目地址 7.2 表结构 1.什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成tok...
JWT入门详解
weixin_57504000的博客
05-16 3953
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
细说——JWT攻击
LainWith的博客
01-05 5350
JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端中。这使得 JWT 成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。它一般会放置在、**Cookie**或者请求体里面。
jwt 解析 token
05-16
JWT(JSON Web Token)是一种用于表示声明的方法,该声明是经过签名的以保证其真实性和完整性。JWT通常用于身份验证和授权。 要解析JWT Token,需要进行以下步骤: 1. 将Token拆分为三个部分:Header、Payload和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值