一文搞懂JWT以及SpringBoot如何整合JWT

已于 2024-03-31 10:37:54 修改
阅读量1.9k 收藏 11
点赞数
分类专栏: Java 文章标签: java
于 2022-10-09 18:54:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38074535/article/details/127231999
版权

1. 什么是JWT?

​ JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于 作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

1.1 什么时候应该⽤JWT?

  • Authorization (授权) : 这是使⽤JWT的最常⻅场景。⼀旦⽤⼾登录,后续每个请求都将包含 JWT,允许⽤⼾访问该令牌允许的路由、服务和资源。单点登录是现在⼴泛使⽤的JWT的⼀个特 性,因为它的开销很⼩,并且可以轻松地跨域使⽤。
  • Information Exchange (信息交换) : 对于安全的在各⽅之间传输信息⽽⾔,JSON Web Tokens⽆ 疑是⼀种很好的⽅式。因为JWT可以被签名,例如,⽤公钥/私钥对,你可以确定发送⼈就是它们 所说的那个⼈。另外,由于签名是使⽤头和有效负载计算的,您还可以验证内容没有被篡改

1.2 认证流程

image-20221009182046803

  1. 首先,前端通过Web表单将⾃⼰的⽤⼾名和密码发送到后端的接⼝。这⼀过程⼀般是⼀个HTTP POST请求。建议的⽅式是通过SSL加密的传输(https协议) ,从⽽避免敏感信息被嗅探。
  2. 后端核对⽤⼾名和密码成功后,将⽤⼾的id等其他信息作为JWT Payload (负载),将其与头部分别 进⾏Base64编码拼接后签名,形成⼀个JWT(Token)。形成的JWT就是⼀个形同11. zzz. xxx的字符 串。token head.payload.signature
  3. 后端将JWT字符串作为登录成功的返回结果返回给前端。 前端可以将返回的结果保存在 localStorage或sessionStorage上, 退出登录时前端删除保存的JWT即可。
  4. 前端在每次请求时将JWT放⼊HTTP Header中的Authorization位。 (解决XSS和XSRF问题)
  5. 后端检查是否存在,如存在验证JWT的有效性。
    • 检查签名是否正确;
    • 检查Token是否过期;
    • 检查Token的接收⽅是否是⾃⼰(可选)
  6. 验证通过后后端使⽤JWT中包含的⽤⼾信息进⾏其他逻辑操作,返回相应结果。

1.3 JWT优势在哪?

  1. 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,数据量⼩,传输速度快
  2. ⾃包含(Self-contained):负载中包含了所有⽤⼾所需要的信息,避免了多次查询数据库
  3. 因为Token是 以JSON加密的形式保存在客⼾端的,所以JWT是跨语⾔的,原则上任何web形式都 ⽀持。
  4. 不需要在服务端保存会话信息,特别适⽤于分布式微服务

1.4 JWT具体包含信息

  1. header

    标头通常由两部分组成: 令牌的类型(即JWT)所使⽤的签名算法,例如HMAC、SHA256或RSA。它会使⽤Base64编码组成JWT结构的第⼀部分。

    注意:Base64是⼀ 种编码,也就是说,它是可以被翻译回原来的样⼦来的。它并不是⼀种加密过程。

    {
    "alg":"HS256",
    "typ":"JWT"
}

  2. Payload

    令牌的第⼆部分是有效负载,其中包含声明。声明是有关实体(通常是⽤⼾)和其他数据的声明。同样的,它会使⽤Base64编码组成JWT结构的第⼆部分。

    {
    "sub" : "HS256"
    "name" : "yjiewei"
    "admin" : "true"
}

  3. Signature

    header和payload都是结果Base64编码过的,中间⽤.隔开,第三部分就是前⾯两部分合起来做签 名,密钥绝对⾃⼰保管好,签名值同样做Base64编码拼接在JWT后⾯。(签名并编码)

    HMACSHA256 (base64Ur1Encode(header) + "." + base64Ur1Encode(payload) , secret);

2. 测试JWT

2.1 pom文件

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!--引⼊mybatis-->
    <dependency>
        <groupId>org.mybatis.spring.boot</groupId>
        <artifactId>mybatis-spring-boot-starter</artifactId>
        <version>2.1.0</version>
    </dependency>
    <!--引⼊jwt-->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.10.3</version>
    </dependency>
    <!--引⼊mysql-->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>8.0.16</version>
    </dependency>
    <!--引⼊druid-->
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid</artifactId>
        <version>1.2.0</version>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

2.2 测试加密过程

public class Jwt {
    /**
     * 获取JWT令牌
     */
    @Test
    public void getToken() {
        Map<String, Object> map = new HashMap<>();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 300);
        /**
         * header可以不写有默认值
         * payload 通常⽤来存放⽤⼾信息
         * signature 是前两个合起来的签名值
         */
        String token = JWT.create().withHeader(map) //header
                .withClaim("userId", 1)//payload
                .withClaim("username", "root")//payload
                .withExpiresAt(instance.getTime())//指定令牌的过期时间
                .sign(Algorithm.HMAC256("hkjkjaskldad")); //签名,密钥⾃⼰记住
        System.out.println(token);
    }

    /**
     * 令牌验证:根据令牌和签名解析数据
     * 常⻅异常:
     * SignatureVerificationException 签名不⼀致异常
     * TokenExpiredException 令牌过期异常
     * AlgorithmMismatchException 算法不匹配异常
     * InvalidClaimException 失效的payload异常
     */
    @Test
    public void tokenVerify() {
		// token值传⼊做验证
        String token =
                "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjkyMDg0NjgsInVzZXJJZCI6MjEsIn
        VzZXJuYW1lIjoieWppZXdlaSJ9.e4auZWkykZ2Hu8Q20toaks - 4e62 gerPlDEPHvhunCnQ ";
  
        JWTVerifier jwtVerifier =
                JWT.require(Algorithm.HMAC256("hkjkjaskldad")).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(token); // 验证并获取解码后的
        token
        System.out.println("⽤⼾Id:" + decodedJWT.getClaim("userId").asInt());
        System.out.println("⽤⼾名:" +
                decodedJWT.getClaim("username").asString());
        System.out.println("过期时间:" + decodedJWT.getExpiresAt());
    }
}

2.3 封装JWT⼯具类

public class JWTUtil {
    /**
     * 密钥要⾃⼰保管好,可以放到配置文件中使用@Vaule或者@ConfigurationProperties读取
     */
    private static String SECRET = "asdfvgbhnjhgvfcdxs";

    /**
     * 传⼊payload信息获取token
     *
     * @param map payload
     * @return token
     */
    public static String getToken(Map<String, String> map) {
        JWTCreator.Builder builder = JWT.create();
		//payload
        map.forEach(builder::withClaim);
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE, 3); //3天过期
        builder.withExpiresAt(instance.getTime());//指定令牌的过期时间
        return builder.sign(Algorithm.HMAC256(SECRET));
    }

    /**
     * 验证token
     */
    public static DecodedJWT verify(String token) {
	//如果有任何验证异常,此处都会抛出异常
        return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
    }

    /**
     * 获取token中的payload
     */
    public static Map<String, Claim> getPayloadFromToken(String token) {
        return
                JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token).getClaims();
    }
}

3. 整合SpringBoot

3.1 登录并获取token

image-20221009184251499

3.2 在请求头中添加token

image-20221009183535226

3.3 重要的代码⽚段

  • 拦截器配置
// 拦截器
@Slf4j
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
		//获取请求头中的令牌
        String token = request.getHeader("token");
        log.info("当前token为:{}", token);
        Map<String, Object> map = new HashMap<>();
        try {
            JWTUtil.verify(token);
            return true;
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg", "签名不⼀致");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "令牌过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不匹配");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            map.put("msg", "失效的payload");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token⽆效");
        }
        map.put("status", false);
		//响应到前台: 将map转为json
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}

// 指定拦截路径
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/test")
                .excludePathPatterns("/user/login");
    }
}
  • 登录请求Controller
// 拦截请求并验证请求头中的token
@PostMapping("/user/test")
public Map<String, Object> test(HttpServletRequest request){
        String token=request.getHeader("token");
        DecodedJWT verify=JWTUtil.verify(token);
        String id=verify.getClaim("id").asString(); // 存的是什么类型,取的时候就as什么类型
        String name=verify.getClaim("name").asString();
        log.info("⽤⼾id:{}",id);
        log.info("⽤⼾名: {}",name);
		//业务逻辑
        Map<String, Object> map=new HashMap<>();
        map.put("status",true);
        map.put("msg","请求成功");
        return map;
}

注:建议尽可能使用session来进行存储,因为session的信息是存放在服务器中的。对于分布式系统中的session不一致问题,我们可以使用redis存储session数据解决。JWT的数据是通过base64加密后存储在客户端,而base64又是对称加密算法,因此建议如果确有必要使用JWT,切记不要将敏感信息放在客户端。

凡人X
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT的认证原理和与SpringBoot整合
qq_47142993的博客
10-11 3243
JWTJWT代码1 什么是JWT1.翻译2.通俗解释2 JWT能做什么1.授权2.信息交换3 为什么是JWT3.1 基于传统的Session认证1.认证方式2.认证流程3.暴露问题3.2 基于JWT认证1.认证流程2.jwt优势4 JWT的结构是什么1.令牌组成2.Header3.Payload4.Signature签名目的信息安全问题5.放在一起5 使用JWT1.引入依赖2.生成token3.根据令牌和签名解析数据4.常见异常信息6 封装工具类7 整合springboot1.搭建环境2.开发数据库3.开发
SpringBoot整合JWT
weixin_45782384的博客
12-29 90
新建一个SpringBoot项目 导入 Maven 坐标 <!--引入 jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 配置application.properties件 server.po
springboot3整合最新版jjwt(0.12.3)
m0_73376570的博客
01-31 2457
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3)
SpringBoot整合JWT
蛋饼吧的博客
05-18 8593
1.认证方式我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
springboot3+jdk17+shiro+jwt+redis
最新发布
hahaha的博客
05-29 1540
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
JWT
m0_46487331的博客
12-14 791
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
SpringbootJWT
沉迷写代码的程序猿的博客
03-22 3665
章目录SpringbootJWT一、JWT简介1、JWT的优势2、JWT的结构2.1、标头(Header)2.2、有效负荷(Payload)2.3、签名(Signature)二、SpringBoot整合JWT SpringbootJWT 一、JWT简介 JWT,是指JSON Web Token,也就指通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 1、JWT的优势 在JavaWeb阶段,经常使用ses
如何在springboot项目中使用JWT
weixin_51496936的博客
06-27 4016
开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。该信息可以被验证和信任,因为它是数字签名的。
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 9129
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
jwtspringboot整合
06-03
JWT 整合到 Spring Boot 中,通常是为了构建安全的 RESTful API。以下是整合 JWT 和 Spring Boot 的关键步骤和知识点: 1. **添加依赖**:首先,需要在项目的 `pom.xml` 或 `build.gradle` 件中添加 JWT 相关...
Springboot整合JWT,Swagger.zip
07-12
SpringBoot整合JWT与Swagger是现代Web开发中两个重要的技术组件,它们可以极大地提升应用程序的效率和易用性。JWT(Json Web Token)用于安全地在客户端和服务器之间传输信息,而Swagger则是用于构建RESTful API的...
JWT认证原理、流程整合springboot实战应用
01-18
在本实战应用中,我们将探讨如何将JWT与Spring Boot整合,实现安全的用户认证流程。 **JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:...
springboot整合JWT
11-26
SpringBoot整合JWT(JSON Web Token)是现代Web应用中一种安全的身份验证机制。JWT是一种轻量级的身份认证协议,它允许服务端通过一个令牌(token)来确认客户端的身份,而无需在每次请求时都发送用户名和密码。JWT...
SpringBoot集成JWT(概念篇)
Wdoing的博客
11-01 2892
JWT的基本概念
SpringBoot集成Jwt(详细步骤+图解)
wenjiangwang的专栏
12-21 2612
https://blog.csdn.net/weixin_67958017/article/details/128856282
Springboot3: JWT认证支持
随风飘絮
10-20 2340
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。由三部分组成:1,头部(header): token类型和签名算法, json2,数据(payload): 存放实际需要传递的数据,json3,签名(Signature):base64编码过的header数据+"."+base64编码过的payload数据,服务端密钥,从头部获取签名算法,进行加密获得。
Spring Boot 实现 JWT
云胡
06-21 7542
Web 网站离不开用户认证,这边我们不用 ,而直接使用 。JWT 的背景知识可以看阮一峰老师的这篇章: JSON Web Token 入门教程JWT 由三个部分组成:在 中添加 配置信息。 2.2 新建 JwtUtil 工具类 新建 目录,在 目录下新建 。将当前 注入到 容器中。,匹配 配置件的前缀,然后将配置件里面的数据加载到当前类。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值