微服务之间调用的安全认证之JWT<一>

最新推荐文章于 2023-06-21 15:47:43 发布
最新推荐文章于 2023-06-21 15:47:43 发布
阅读量528 收藏 1
点赞数
分类专栏: spring cloud 文章标签: spring cloud jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38066812/article/details/110283603
版权

小白的学习总结Spring Cloud之JWT

今天学习总结的内容是JWT,学完这篇,小白的我也会纯手写JWT的三个组成部分,我们先来了解一下什么是JWT吧。

一、什么是JWT

1、JWT: Json Web Token

  • jeson:Http协议传递参数,
  • token:令牌,有一定的有效期,特性:临时且唯一。
  • Token和SessionId思想是一样的,
  • Session存放在服务器端JWT内存中,
  • Token存放在Redis中,解决分布式Session数据一致性问题:Spring-Session基本上使用Token替代SessionId.

2、jwt的三个部分组成

  • jwt由三个部分组成:Header 、PayLoad、VERIFY SIGNATURE,以点隔开
    在这里插入图片描述
    (1)第一部分 Header 描述加密算法:
    HS256 属于验证签名
    RSA256 属于非对称加密
    (2)第二部分 PayLoad(载荷)
    实际就是jwt存放的数据,需要注意敏感数据
    (3)第三部分 VERIFY SIGNATURE(签名值):
    验证签名:数据还是明文的,主要防止抓包篡改数据 采用MD5
  • Json Web Token
  • JSON好处:轻量级,占用带宽非常小、可读性非常高

3、演示jwt三个组成部分

  • 打开JWT官网:https://jwt.io/
  • 将生成的token复制到Encoded模块如下图
    -
    在这里插入图片描述
  • jwt由左侧三部分组成
    在这里插入图片描述

二、纯手写JWT三个组成部分

1、编写代码演示

public static void main(String[] args) {
  Date now = new Date();
  // 算法
  String SECRET_KEY = "5555dfghryt";
  Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
  // 调用JWT工具
  String token =
      JWT.create()
          // 签发人
          .withIssuer(ISSUER)
          // 签发时间
          .withIssuedAt(now)
          // 过期时间
          .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME))
          .withClaim("tel", "1567545**12")
          .sign(algorithm);
  System.out.println("token: " + token);

  // 纯手写Jwt
  JSONObject header = new JSONObject();
  header.put("alg", "HS256");
  JSONObject payload = new JSONObject();
  payload.put("tel", "156754***12");
  String headerEncode = Base64.getEncoder().encodeToString(JSON.toJSONString(header).getBytes());
  String payloadStr = JSON.toJSONString(payload);
  String payloadEncode = Base64.getEncoder().encodeToString(payloadStr.getBytes());

  // 签名
  String sign = DigestUtils.md5DigestAsHex((payloadStr + SECRET_KEY).getBytes());

  String jwt = headerEncode + "." + payloadEncode + "." + sign;
  System.out.println("jwt: " + jwt);

// 解密
String payloadEn = jwt.split("\\.")[1];
String payloadDe = new String(Base64.getDecoder().decode(payloadEn), "UTF-8");
String newSign = DigestUtils.md5DigestAsHex((payloadDe + SECRET_KEY).getBytes());
System.out.println(newSign.equals(jwt.split("\\.")[2]));
}

2、JWT优缺点

  • 优点:
  • (1)Jwt数据存放在客户端,不依赖于服务器端,所以可以减轻服务器端的压力。
  • (2)效率比传统的token验证还要高
  • 缺点:
  • (1)JWT一旦生成之后,后期无法修改
  • (2)无法销毁一个jwt

3、传统token存在哪些优缺点

  • 传统Token登录接口:
  • (1)验证账号密码成功后
  • (2)生成一个令牌uuID
  • (3)将令牌放入到Redis中key为令牌,value对应存放userId
  • (4)最终返回令牌给客户端
  • 验证会话信息:
  • (1)在请求头传递该令牌
  • (2)从Redis中验证该令牌是否有效
  • (3)获取value内容userId
  • (4)根据userId查询用户信息再返回给客户端
  • 缺点:
  • (1)必须依赖服务器,占用服务器端资源
  • (2)效率非常低
  • 优点:
  • (1)可以隐藏数据的真实性,
  • (2)适用于分布式微服务
  • (3)安全系数非常高

4、JWT与Token之间有哪些区别

  • (1)token对应存放的数据放在Redis中
  • (2)jwt对应存放的数据(payload中)客户端
    :- 学到这你,你将get到了喔!
    在这里插入图片描述
一枚小爪哇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rpc 微服务架构下的安全认证与鉴权1
08-08
JSON Web Tokens(JWT)是一种轻量级的认证和授权机制,用于在各方之间安全地传输信息。JWT由三个部分组成:Header、Payload和Signature,所有部分都用点号分隔。它可以在客户端和服务器之间传递用户信息,无需...
使用jwt方式的接口访问
menxinziwen的博客
04-05 2625
要使用jwt必须有相应jar包 maven项目加入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4....
JWT的使用详解
snow_love_xia的博客
03-04 2769
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
手写一个Java的JWT工具类
蒋劲豪的博客
06-21 81
【代码】手写一个Java的JWT工具类。
JWT 完整使用详解
曾沂宏的博客
05-29 9498
JWT全称JSON Web Tokens,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。 一、安装之前 资料 先摆出几个参考资料,可以把连接都打开,方便查阅: 项目 Wiki 公众号 coding01,JWT 安装及简单例子 官方安装指导文档 JWT 的介绍 二、安装及基础配置 Larave...
JWT简单介绍与使用
weixin_51980047的博客
07-27 2193
JWT简单介绍与使用
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
3. **JWT令牌**:JWT是一种轻量级的身份验证机制,用于在客户端和服务器之间安全地传递信息。它包含三个部分:Header、Payload和Signature,其中Payload可以存储用户信息。JWT的优势在于,它不需要在服务器之间存储...
ocelot网关+jwt身份认证
06-09
JWT是一种轻量级的安全身份验证标准,用于在网络应用之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷被编码为JSON对象,然后通过一个密钥进行签名,确保数据...
JWT认证
02-17
总之,JWT认证提供了一种高效且安全的身份验证方式,适用于分布式系统和微服务架构。在Java环境中,借助像jjwt这样的库,可以方便地实现JWT的创建、验证和管理。正确理解和使用JWT,能有效提升应用程序的安全性与...
java的JWT令牌和微服务网关使用.docx
07-02
JWT用于认证,而微服务网关则作为系统的核心组件,处理了诸如安全、监控、认证和路由等复杂任务,使得微服务架构更加稳定和易于管理。通过正确配置和使用这些工具,我们可以构建出强大且健壮的分布式系统。
Java里JWT的使用方法
LX_LE的博客
07-13 2563
Java里JWT的使用方法
Jwt简单使用
congge
04-11 9523
在分布式项目中,经常需要处理session共享的问题,解决的方式有很多,比如采用session或者cookie,或者redis进行存储都是解决方案,今天给大家介绍另一种比较轻量级的解决方式,就是使用jwt生成token,服务端进行加解密来处理; 首先要了解一下jwt的三个基本术语, Header Header是由以下这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到...
JWT/JJWT JSON WEB TOKEN介绍和使用
natural_的博客
05-14 2万+
JSON web Token,简称JWT,本质是一个token,是一种紧凑的URL安全方法(注意是方法,博主刚开始接触一直以为是一种像shiro一样的),用于在网络通信的双方之间传递。一般放在HTTP的headers 参数里面的authorization里面(这个是可以自己定义放在哪里的,毕竟只是一种验证用户的方式),值的前面加Bearer关键字和空格。除此之外,也可以在url和request bo
使用JWT实现单点登录(完全跨域方案)
热门推荐
Helon的博客
09-10 19万+
首先介绍一下什么是JSON Web Token(JWT)? 官方文档是这样解释的:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密...
web 开发中jwt的使用
一路奔跑94的博客
04-28 2833
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
JWT的使用
m0_60385807的博客
11-17 6245
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt的介绍 1、jwt是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2、为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3、JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Ad
jwt解决需要登入才能调用接口的方案
zxl8899的博客
07-16 1149
jwt解决登入才有权限访问的问题 第一步 引入依赖 <!-- JWT --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.3</version> </dependency> 第二步 编写jwt工具类 package com.mysteel.a
JWT的Java使用 (JJWT)
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWT在Java中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWT 在Java中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
JWT全面解读、使用步骤
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
SpringCloud-微服务课程笔记
最新发布
02-26
Spring Cloud是一个基于Spring Boot的开发工具包,用于快速构建分布式系统和微服务架构。它提供了一系列的组件和工具,以简化分布式系统的开发和管理。 Spring Cloud的主要特点包括: 1. 服务注册与发现:Spring Cloud提供了服务注册与发现的功能,通过集成多种服务注册中心(如Eureka、Consul等),可以方便地管理和监控服务的注册、发现和调用。 2. 负载均衡:Spring Cloud支持负载均衡的能力,通过集成Ribbon和Feign等组件,可以实现对服务的自动负载均衡,提高系统的可用性和性能。 3. 服务调用和熔断:Spring Cloud通过集成Ribbon和Hystrix等组件,提供了服务调用和熔断的功能。通过使用这些组件,可以实现服务之间的通信和容错处理,提高系统的稳定性。 4. 配置管理:Spring Cloud提供了统一的配置管理功能,通过集成Config Server,可以集中管理和动态刷新应用程序的配置信息,避免了重新部署应用程序的麻烦。 5. 链路追踪:Spring Cloud支持链路追踪的功能,通过集成Zipkin和....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值