JWT入门实践 ——抛开shiro框架做一个登录认证

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量696 收藏
点赞数 1
分类专栏: shiro 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39404258/article/details/106189883
版权

JTW官网:https://jwt.io/introduction/

目录

一、JWT基本介绍

1、什么是JWT

2、什么时候使用 JWT 

3、JWT的结构

4、JWT 的特点

二、代码示例

 三、源码分析

一、JWT基本介绍

1、什么是JWT

JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,作为 JSON 对象在各方之间安全的传递信息。这个信息可以通过数字签名进行验证并信任。JWTs 可以使用密钥(结合 HMAC 算法)或者 使用 RSA 、 ECDSA 加密的公钥私钥对进行签名。

2、什么时候使用 JWT 

  • 授权:这是 JWT 最普遍的使用场景。当用户登录之后,每次请求中都包含 JWT ,服务端允许用户访问那些只有携带 token 才能访问的路由、服务、资源。目前在单点登录中广泛使用到 JWT ,因为它体积小,且能够在不同域名之间使用。
  • 信息交换: JWT 是一种能够在各方之间安全传输信息的好方式。因为 JWTs 能够签名,比如使用公钥私钥对,你能够确定发送者的身份。另外,签名是使用 Header 和 Payload 通过特定算法计算而来,所以你也可以验证内容是否被篡改。

3、JWT的结构

JWT 包含三部分,之间以点(.)连接(头部.负载.签名)

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

demo:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1ODk3NzI5OTgsInVzZXJuYW1lIjoiYWFhIn0.X_wNgENIpih0SAk2pirwmusp0i0dgEXrfmDVhh__L74

Header部分 是一个 JSON 对象,典型的header包含两部分:

  • alg:使用的签名算法,比如 HMAC SHA256 或 RSA
  • typ:token的类型,比如 JWT
{
  "alg": "HS256",
  "typ": "JWT"
}

用 Base64Url 将这个 JSON 对象编码后,作为 JWT 的第一部分

Payload

Payload 部分也是 JSON 对象,用来存放数据。JWT 有7个官方字段:

  • iss (issuer):签发人
  • exp (expiration time):过期时间,以秒为单位
  • iat (Issued At):签发时间,能够算出JWT的存在时间
  • nbf (Not Before):生效时间
  • jti (JWT ID):JWT 的唯一标识。用来防止 JWT 重复。
  • sub (subject):主题(很少使用)
  • aud (audience):token的受众(很少被使用)
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

除了官方设定的字段,自己也可以自定义字段, JWT 默认不加密,任何人都可以读取,所以不要把敏感信息存放在这个部分。

用 Base64Url 将这个 JSON 对象编码后,作为 JWT 的第二部分

Signature

使用 Header 指定的算法对 Header、Payload、密钥三部分进行签名,生成的字符串作为 JWT 的第三部分。

签名可以用来验证数据是否被篡改。

4、JWT 的特点

  1. JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次
  2. JWT 不加密的情况下,不能将敏感数据写入 JWT
  3. JWT 不仅可以用于认证,也可以用于交换信息
  4. JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦签发了 JWT ,在到期之前就会始终有效(目前有这样一个疑惑)
  5. JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  6. 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
  7. JWT是无状态的,不能用于登录登出判断。
  8. 不要将token存于数据库,否则在分布式系统内失去了token存在的意义。

二、代码示例

写一个代码示例,和shiro分离开,自己写一个登录验证。

使用swagger工具进行接口测试。

JWT依赖:

 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

swagger配置:将token验证放在header里

@Configuration
@EnableSwagger2
public class swaggerConfig {

    @Bean
    public Docket createRestApi() {
        ParameterBuilder tokenPar = new ParameterBuilder();
        List<Parameter> pars = new ArrayList<Parameter>();
        tokenPar.name("Authorization").description("Authorization")
                .modelRef(new ModelRef("string")).parameterType("header").required(false).build();
        pars.add(tokenPar.build());
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("mptest.mybatistest"))
                .paths(PathSelectors.any())
                .build().globalOperationParameters(pars)  ;
    }

    @SuppressWarnings("deprecation")
    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("个人测试")
                .description("个人测试用api")
                .termsOfServiceUrl("termsOfServiceUrl")
                .contact("测试")
                .version("1.0")
                .build();
    }

}

通过过滤器来过滤token是否正确。只过滤验证的接口,不过滤登录接口。

将token中的账号解析出来,与数据库比较,再将密码作为密钥进行解密验证。token验证不通过则拦截,我只做了简单处理,具体逻辑没有写。

@WebFilter(filterName = "JWTFilter",urlPatterns = "/login/verity")
public class JWTFilter implements Filter {
    @Autowired
    private UserDao userDao;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
         HttpServletRequest request1=(HttpServletRequest) request;
        try{ String token = request1.getHeader("Authorization");
        DecodedJWT jwt = JWT.decode(token);
        String username=jwt.getClaim("username").asString();
        User user = userDao.selectOne(new QueryWrapper<User>().eq("username",username).last("limit 1"));
        JWTVerifier verifier= JWT.require(Algorithm.HMAC256(user.getPassword())).build();

            jwt = verifier.verify(token);
            chain.doFilter(request, response);
        }catch (Exception e){ //之后修改的内容
             HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            String json="{\"code\":401,\"message\":\"token验证失败\"}";
            httpServletResponse.setHeader("Content-type", "application/json;charset=UTF-8");
            httpServletResponse.getWriter().write(json);
            return;
        }
    }

    @Override
    public void destroy() {
    }
}

controller层里两个接口:一个登录、一个验证。注意一定要给token一个有效时间,否则签发的token将一直存在。

@RestController
@RequestMapping("login")
public class LoginController {

    //过期时间
    private static long time=1000*60;
    //密钥
    private static String secret="1234";

    @Autowired
    private UserDao userDao;

    @PostMapping("/login")
    public String login(User user){
        //指定签名算法,header部分
        Algorithm algorithm=Algorithm.HMAC256(user.getPassword().getBytes(StandardCharsets.UTF_8));
        //生成有效时间 
        Date expire=new Date(System.currentTimeMillis()+time);
        String token = JWT.create().withClaim("username",user.getUsername()).withExpiresAt(expire).sign(algorithm);
        System.out.println("token:"+token);
        return token;
    }
    @GetMapping("/verity")
    public String verity(){
        String s = "验证成功";
        return s;
    }
}

登录测试:获得token

验证测试:正确情况

验证测试:错误情况

 三、源码分析

controller中有这么一行代码:

  String token = JWT.create().withClaim("username",user.getUsername()).withExpiresAt(expire).sign(algorithm);

以它为起点来分析token是怎么生成的。

查看sign方法:进入到JWTCreator类

public String sign(Algorithm algorithm) throws IllegalArgumentException, JWTCreationException {
            if (algorithm == null) {
                throw new IllegalArgumentException("The Algorithm cannot be null.");
            } else {
                this.headerClaims.put("alg", algorithm.getName());
                this.headerClaims.put("typ", "JWT");
                String signingKeyId = algorithm.getSigningKeyId();
                if (signingKeyId != null) {
                    this.withKeyId(signingKeyId);
                }

                return (new JWTCreator(algorithm, this.headerClaims, this.payloadClaims)).sign();
            }
        }

sign方法首先将签名的方法和jwt类型放入到了headerClaims中,然后我们看一下headerClaims这个参数。

内部静态类中有这两个map集合。headerClaims 用来存头部信息,payloadClaims 用来存负载信息。

 private final Map<String, Object> payloadClaims = new HashMap();
        private Map<String, Object> headerClaims = new HashMap();

JWTCreator类中withClaim是用于添加负载信息的。

 public JWTCreator.Builder withClaim(String name, String value) throws IllegalArgumentException {
            this.assertNonNull(name);
            this.addClaim(name, value);
            return this;
        }

JWT官方规定好的方法名和添加自定义的方法名不同。如到期时间:

 public JWTCreator.Builder withExpiresAt(Date expiresAt) {
            this.addClaim("exp", expiresAt);
            return this;
        }

还是这个方法sign(Algorithm algorithm),返回值构造了一个JWTCreator

 private JWTCreator(Algorithm algorithm, Map<String, Object> headerClaims, Map<String, Object> payloadClaims) throws JWTCreationException {
        this.algorithm = algorithm;

        try {
            ObjectMapper mapper = new ObjectMapper();
            SimpleModule module = new SimpleModule();
            module.addSerializer(ClaimsHolder.class, new PayloadSerializer());
            mapper.registerModule(module);
            mapper.configure(MapperFeature.SORT_PROPERTIES_ALPHABETICALLY, true);
            this.headerJson = mapper.writeValueAsString(headerClaims);
            this.payloadJson = mapper.writeValueAsString(new ClaimsHolder(payloadClaims));
        } catch (JsonProcessingException var6) {
            throw new JWTCreationException("Some of the Claims couldn't be converted to a valid JSON format.", var6);
        }
    }

 该构造方法主要是将map集合转化成了字符串

构造完成后调用了一个无参的sign方法

private String sign() throws SignatureGenerationException {
        String header = Base64.encodeBase64URLSafeString(this.headerJson.getBytes(StandardCharsets.UTF_8));
        String payload = Base64.encodeBase64URLSafeString(this.payloadJson.getBytes(StandardCharsets.UTF_8));
        String content = String.format("%s.%s", header, payload);
        byte[] signatureBytes = this.algorithm.sign(content.getBytes(StandardCharsets.UTF_8));
        String signature = Base64.encodeBase64URLSafeString(signatureBytes);
        return String.format("%s.%s", content, signature);
    }

该方法将头部和负载信息进行base64加密后以.隔开拼接成字符串,然后再将该字符串进行签名,将签名结果以同样的方式进行拼接,最后返回一个完整的token。

干了这杯柠檬多
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro jwt登录认证
05-20
该项目使用了springboot、mybaits-plus、jwtshiro、redis。mybaits-plus基本没用,只了一次数据库查询,redis暂时不使用,登录验证成功后再追加redis操作。
JWT(JSON WEB TOKEN)
qq_36042938的博客
11-21 492
JWT逻辑、工具类、代码案例
Java基于JWT的token认证
黑马程序员官方博客
07-30 3万+
一、背景引入 由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeion和cookie实现的。大致流程如下: 用户向服务器发送用户名和密码请求 用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中 服务器将sessionId回写到用户浏览器cookie中 用户以后的请求,都会鞋带cookie发...
基于JWTShiro 接口权限认证
最新发布
ewii12567的博客
05-20 887
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
详细解剖什么是JWT以及内部创建的过程
Slience Wind
08-14 779
最近根据项目的需要了解了JWT跨域登录认证,特此总结分享一下。 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文将分为两个部分,第一部分讲解JWT的原理和具体创建细节,帮助大家理解JWT的具体结构,和实现细节。第二部分是从SpringBoot项目中具体使用JWT的代码开始讲解,包括了登录创建Token,后续请求验证Token,设置有效期等等。 本文大纲: 1....
jwt生成token和验证token以及获取playload的数据,实现token拦截
weixin_42471170的博客
06-09 1万+
jwt实现流程: 1.添加依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> 2.编写一个jwt的工具类 package com.springboot.jwt.common; import com.
5分钟带你了解JWT
qq_26920153的博客
11-10 1017
目录 JWT详解 jwt介绍: jwt产生的原因: JWT格式: JWT的构成: Header Payload Signature Base64URL算法: 生成jwt信息的拼接: token到jwt的转换: JWT用法: JWT存在的问题: JWT详解 jwt介绍: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景
shiro-jwt-oauth权限认证
11-11
1. **基于JWT的Token认证方式**:在这种模式下,用户登录成功后,服务器会返回一个JWT,包含了用户的身份信息以及过期时间等。客户端每次请求时将JWT放在请求头中,服务器通过验证JWT来确认用户身份。这种方式的优点...
SpringBoot集成ShiroJwt和Redis
10-24
在SpringBoot中结合Shiro使用Jwt,可以在用户登录成功后生成一个Jwt Token,然后将其返回给客户端。客户端每次请求时带上Token,服务器端验证Token的有效性,以此实现无状态的身份认证。 **Redis** 是一个高性能的...
Shiro + Java-JWT无状态鉴权认证机制
07-30
在SpringBoot项目中集成ShiroJWT,我们需要创建一个Shiro配置类,配置Realm(认证和授权信息的来源)、Filter链等。JWT的生成和验证可以通过第三方库如jjwt来完成。在每次请求时,Shiro会检查JWT的有效性,如果...
springboot + jwt 登录认证 + 实时日志显示
09-02
在本项目中,"springboot + jwt 登录认证 + 实时日志显示"是一个结合了Spring Boot、JWTJSON Web Tokens)以及实时日志显示功能的综合应用。下面将详细阐述这三个关键知识点。 1. Spring Boot: Spring Boot是...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
shiro 安全(权限)框架
weixin_49107940的博客
11-02 4082
Apache Shiro一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。Shiro 默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义 Realm。自定义登录认证
[JWT]在项目中使用JWT,不依赖安全框架
weixin_45254062的博客
03-03 219
什么是JWTJSON Web Token (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用 RSA或ECDSA 的公钥/私钥对进行签名。 尽管可以对 JWT 进行加密以在各方之间提供保密性,但我们将重点关注已签名...
shiro框架
小凯的博客
03-02 1006
Shiro框架的基本介绍与基本使用
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3719
Shiro一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Shiro框架JWT
市民景先生
07-11 2517
目录shiro简介1.认证2.授权3.shiro靠什么认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录登录Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
Shiro框架
xixihaha_coder的博客
10-12 2363
Shiro框架
shiroJWT
m0_54853420的博客
04-07 1142
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
用springboot框架一个jwt登录操作
04-16
好的,我可以为您提供有关使用springboot框架编写JWT登录操作的信息。首先,您需要在springboot项目中设置JWT身份验证过滤器,并使用密钥对JWT进行签名和验证。 在您的springboot项目中,您可以使用spring-security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值