JWT的深入理解

已于 2023-08-09 14:07:25 修改
阅读量372 收藏 3
点赞数
文章标签: java 前端 javascript
于 2023-07-12 18:00:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41973154/article/details/131682032
版权

1、JWT是什么

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在不同实体之间安全地传输信息。它由三部分组成,即头部(Header)、载荷(Payload)和签名(Signature)。以下是JWT的基本概念和使用方式:

  1. 头部(Header):头部通常由两部分组成,算法类型和令牌类型。例如:

    {
  "alg": "HS256",
  "typ": "JWT"
}

    在上述示例中,alg表示使用的签名算法,typ表示令牌的类型。

  2. 载荷(Payload):载荷包含需要传输的信息,可以自定义添加一些标准或私有的声明。例如:

    {
  "sub": "user123",
  "name": "John Doe",
  "role": "admin",
  "exp": 1625102873
}

    在上述示例中,sub表示主题(subject),name表示名称,role表示角色,exp表示过期时间。

  3. 签名(Signature):签名用于验证令牌的真实性和完整性。它是对头部和载荷进行签名的结果,使用私钥进行签名。例如:

    HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

    在上述示例中,通过对头部和载荷进行签名,使用一个秘密密钥(secret)生成签名。

使用JWT的基本流程如下:

  1. 用户认证:用户向服务器发送认证请求,服务器验证用户的身份和凭证。

  2. 生成JWT:服务器根据用户的身份信息生成JWT,并将其返回给客户端。

  3. 客户端存储JWT:客户端将收到的JWT保存在本地,通常使用cookie或本地存储(如localStorage)。

  4. 后续请求:客户端在每次请求中将JWT作为身份凭证附加到请求的头部(通常是Authorization头)。

  5. 服务器验证:服务器在接收到请求时,解析JWT并验证其真实性和有效性。

  6. 响应请求:服务器根据JWT中的信息进行相应的操作,并返回相应的响应结果。

JWT的优势在于它是自包含的,即令牌本身携带了用户信息和验证信息,减少了对服务器端存储和查找用户信息的开销。同时,JWT可以在跨域环境中使用,具有可扩展性和灵活性。

需要注意的是,为了保证安全性,JWT的签名部分应该使用安全的密钥进行签名,并且需要进行合适的过期时间设置和刷新机制来保护令牌的安全性。

2、JWT流程

JWT流程图

在这个过程中,JWT令牌作为身份凭证被生成并在客户端和服务器之间传递。服务器验证JWT的签名和有效性,并从中提取用户的身份信息来进行鉴权和授权操作。JWT的特点是自包含的,减少了服务器端的存储和查找开销,并提供了无状态的身份验证机制。

需要注意的是,为了保证JWT的安全性,应使用安全的密钥对JWT进行签名,并根据需求设置适当的过期时间和刷新机制,以保护令牌的安全性。

结合Shiro

Apache Shiro是一个强大的、易于使用的Java安全框架,提供了身份认证、授权、加密、会话管理等功能。Shiro的目标是简化应用的安全管理,可以用于保护Web应用、后端服务、命令行工具等。Shiro提供了一系列的API和工具,可以帮助开发人员轻松地集成安全功能到应用中。

在结合使用JWT和Shiro时,Shiro主要负责以下几个方面的任务:

认证: Shiro可以处理用户的身份认证,如用户名密码登录。当用户提供用户名和密码后,Shiro会负责校验用户的身份,成功后可以生成并返回一个JWT给客户端。

授权: 一旦用户通过了认证,Shiro可以对用户进行授权,即判断用户是否有权限执行特定的操作或访问特定的资源。授权可以基于用户角色、权限等信息。

会话管理: Shiro可以管理用户的会话,包括会话的创建、维护和失效。这对于跟踪用户状态和管理登录状态非常重要。

加密: Shiro提供了密码加密和解密的功能,可以确保用户密码在传输和存储中的安全性。

通过将JWT和Shiro结合使用,可以实现强大的认证和授权机制,同时提供了无状态的认证方式,适用于分布式系统和API认证。Shiro可以管理用户的会话和权限,而JWT可以在认证成功后生成令牌,使得用户的认证状态可以在多个系统之间共享。

3、实操代码

登录的接口实现,伪代码:

public UserVo login(String account, String password, boolean isRememberMe, HttpServletResponse response) {
		
		// 数据库用户校验
        User dbUser = userMapper.selectOne(new QueryWrapper<User>().eq(User.ACCOUNT, account));
        if (dbUser == null) {
            throw new GlobalException(BaseResultEnum.USER_NOT_EXISTS);
        }
        checkUser(dbUser);
        checkPassword(dbUser, password);
        
		// 角色校验
        Long userId = dbUser.getId();
        List<Role> dbRoles = getRoles(userId);
        if (CollectionUtil.isEmpty(dbRoles)) {
            throw new GlobalException(BaseResultEnum.NO_AUTHORITY_ROLE);
        }
        
		// 权限校验
        Set<Long> roleIDs = dbRoles.stream().map(Role::getId).collect(Collectors.toSet());
        Set<Permission> dbPermission = getPermissions(roleIDs);
        if (CollectionUtil.isEmpty(dbPermission)) {
            throw new GlobalException(BaseResultEnum.NO_AUTHORITY_ROLE);
        }
        
		// 封装用户信息
        AuthUser authUser = getAuthUser(dbUser, userId, dbPermission, roles, LoginSourceType.PC.getName());
        authUser.setLoginType(LoginSourceType.PC.getType());
        // 获取用户设置的有效时间
        authUser.setExpiredTime(User.getValidTimeByType(authUser.getValidTimeType()));
        // 生成令牌
        String accessKey = UUIDUtils.getUUID();
        // 缓存令牌与信息
        cacheToken(authUser, accessKey, LoginSourceType.PC.getType());
        
        // header存储accessKey,返回JWT令牌
        response.addHeader(ShiroConstants.TOKEN_NAME_FOR_HTTP_HEADER, accessKey);
        // 是否记住密码
        if (isRememberMe) {
            addRememberMeCookie(account, password, response);
        }
        
        // 返回的用户信息,用于Cookie保存
        UserVo userVo = getUserVo(dbUser);
        Set<String> perms = dbPermission.stream().map(Permission::getCode).collect(Collectors.toSet());
        userVo.setPerms(perms);
        userVo.setToken(accessKey);

        return userVo;
    }

结果情况如下:

生成的JWT令牌在每次请求中都需携带令牌。
在这里插入图片描述

Shiro、JWT的拦截

定义一个拦截器类,继承 BasicHttpAuthenticationFilter 类。 BasicHttpAuthenticationFilter 类又继承情况如下:最终实现了Filter与继承自ServletContextSuper。
在这里插入图片描述
重写BasicHttpAuthenticationFilter 类的 preHandle()->isAccessAllowed()->isLoginAttempt()->executeLogin() 方法。

使用shiro组件

配置Shiro的配置文件,注册ShiroFilterFactoryBean(),

@Bean("shiroFilter")
    public ShiroFilterFactoryBean factory() {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        // 添加自己的过滤器并且取名为jwt
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt", new JWTFilter());
        factoryBean.setFilters(filterMap);
        factoryBean.setSecurityManager(securityManager());
        factoryBean.setUnauthorizedUrl("/noLogin");
        // 用LinkedHashMap添加拦截的uri,其中authc指定需要认证的uri,anon指定排除认证的uri
        LinkedHashMap<String, String> filterRuleMap = new LinkedHashMap<>();
        filterRuleMap.put("/login", "anon");
        factoryBean.setFilterChainDefinitionMap(filterRuleMap);
        return factoryBean;

}

/**
DefaultWebSecurityManager类主要定义了设置subjectDao,获取会话模式,设置会话模式,设置会话管理器,是否是http会话模式等操作,它继承了DefaultSecurityManager类,实现了WebSecurityManager接口
*/
@Bean("securityManager")
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(jwtRealm);
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);
        return manager;
    }

参考地址:http://shiro.apache.org/web.html#urls-
shiro:DefaultWebSecurityManager详解

Shiro的认证与授权

定义一个配置JWTRealm类,继承AuthorizingRealm类
AuthorizingRealm类

   @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        AuthUser authUser = (AuthUser) principals.getPrimaryPrincipal();

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        if (authUser == null) {
            return simpleAuthorizationInfo;
        }
        Set<String> perms = authUser.getPerms();
        if (CollUtil.isNotEmpty(perms)) {
            simpleAuthorizationInfo.addStringPermissions(perms);
        }
        Set<String> roles = authUser.getRoles();
        if (CollUtil.isNotEmpty(roles)) {
            simpleAuthorizationInfo.addRoles(roles);
        }
        return simpleAuthorizationInfo;
    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        String accessKey = (String) auth.getCredentials();
        if (StrUtil.isEmpty(accessKey)) {
            throw new AuthenticationException(BaseResultEnum.NON_LOGIN.getMessage());
        }
        String userString = stringRedisTemplate.opsForValue().get(String.format(RedisKey.USER_TOKEN_KEY, accessKey));
        if (StrUtil.isEmpty(userString)) {
            throw new AuthenticationException(BaseResultEnum.TOKEN_EXPIRED.getMessage());
        }

        AuthUser user = JSON.parseObject(userString, AuthUser.class);
        if (user == null) {
            throw new AuthenticationException(BaseResultEnum.TOKEN_EXPIRED.getMessage());
        }
        // 判断是否登陆过
/*        String userTokenMappingKey = String.format(RedisKey.USER_TOKEN_MAPPING_KEY, user.getId(), LoginSourceType.PC.getType());
        //用户关联的token
        String lastAccessKey = stringRedisTemplate.opsForValue().get(userTokenMappingKey);
        if (StrUtil.isEmpty(lastAccessKey)||!lastAccessKey.equals(accessKey)) {
            throw new AuthenticationException(BaseResultEnum.TOKEN_EXPIRED.getMessage());
        }*/
/*       
        //刷新当前token过期时间
        stringRedisTemplate.expire(String.format(RedisKey.USER_TOKEN_KEY, accessKey), user.getExpiredTime(), TimeUnit.MILLISECONDS);*/
        return new SimpleAuthenticationInfo(user, accessKey, getName());
    }
与梦想同在
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT 的简单了解
minion_banana的博客
04-25 1114
JWT:JSON Web Token 最近看一个项目,用到了JWT做身份验证,在此做一些笔记以及记录,以防止将来忘记,如有错误请指正。 一、JWT原理 JWT的原理是,服务器认证以后生成一个JSON对象,发回给用户,像下面: { "姓名": "张三", "角色": "管理员", "到期时间": "2019年7月1日0点0分" } 以后用户和服务端通信时,...
在线JWT Token解析解码
Linux,Java,SpringBoot,Python,Lua略知一点
04-26 4万+
JWTToken在线解析解码 JWTToken在线解析解码 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。本工具提供在线解码的功能 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。本工具提供在线解码的功能 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。本工具提供在线解码的功能 https://tooltt.com/jwt-decode/ ...
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
在线JWT Token解析解码工具
林夕
02-13 1万+
1:2:3:
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 9093
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)...
JWTDemo.zip
06-30
总结来说,`JWTDemo.zip`是一个.NET Core API的示例项目,它的目标是展示JWT在实际应用中的实现,帮助初学者理解JWT的工作原理以及如何在.NET Core API中应用JWT进行身份验证和授权。通过深入学习和实践这个项目,...
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
ocelot网关+jwt身份认证
06-09
通过这个项目,开发者可以学习如何在实际项目中集成Ocelot和JWT,理解如何配置API网关以支持身份验证,以及如何在微服务架构中实现安全的用户认证。这样的实践对于构建健壮的分布式系统至关重要。
net6Jwt.zip
12-02
让我们深入探讨.NET 6与JWT的相关知识。 在.NET 6中,开发人员可以利用ASP.NET Core的身份验证框架来集成JWT认证。这通常涉及到以下几个关键步骤: 1. **安装必要的库**:首先,你需要在项目中安装`Microsoft....
JWT实现的单点登录系统Demo
02-01
基于JWT实现的单点登录系统,使用idea开发的,可以供学习参考,有什么问题可以咨询
JWTJWT原理解析及实际使用
qq_38658567的博客
08-06 9261
一、JWT 1、JWT介绍 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用户登录。在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保存一个session,服务端会返回给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。
springboot+shiro+jwt实现基于token的无状态授权认证
书生灬今天不吃饭的博客
07-11 1980
springboot+shiro+jwt实现基于token的无状态登录鉴权
Shiro+Jwt总结
m0_51433562的博客
03-19 8797
Shiro和JWT整合实现用户的认证和授权
3、JWT深入理解及实战
Java__EE小白成长之路
08-26 1229
JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可 以解析检验token。
JWT(简介)
qq_65345936的博客
09-18 2072
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
JWT(JSON Web Token)原理
zhangsan_716的博客
12-02 3028
JWT(JSON Web Token)原理 JWT是目前流行的跨域身份验证解决方案。 这里给大家介绍JWT的原理和用法。 跨域身份验证 Internet服务无法与用户身份验证分开。 传统模式过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话(session)中。 3.服务器向用户返回session_id,session信息都会写入...
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
JWT 单点登录(简介)
专注基础架构领域
05-25 965
首先介绍下JWT,可参考官网https://jwt.io/introduction/ 什么是JSON Web Token(JWT)? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其中包含的声明的完整
laravel jwt
最新发布
08-23
Laravel JWT (JSON Web Token) 是一个流行的 Laravel 框架扩展,用于实现基于令牌的身份验证和授权机制。JWT 在前后端分离的应用中非常常见,它允许通过在用户登录后生成的令牌来验证用户并授予访问权限。 使用 Laravel JWT 可以实现以下功能: 1. 用户认证:当用户登录成功后,服务器会生成一个 JWT 并将其返回给客户端。客户端将在每个请求的授权头中发送该令牌。 2. 令牌验证:服务器验证客户端发送的令牌是否有效,并识别出发出该令牌的用户身份信息。 3. 授权和权限控制:JWT 可以包含有关用户角色和权限的信息,使得服务器能够基于用户的角色和权限对请求进行授权和访问控制。 4. 令牌刷新:JWT 还可以支持令牌刷新功能,使得客户端可以在令牌过期之前获取新的有效令牌,而无需重新进行身份验证。 要在 Laravel 中使用 JWT,你可以使用一些现有的库,如 "jwt-auth" 或 "tymon/jwt-auth"。这些库提供了简化 JWT 使用和集成的功能。你可以通过 Composer 安装它们,并按照文档中的说明进行配置和使用。 请注意,此回答基于我的理解,可能并不完整或详尽。如需更深入了解,请参考相关文档和资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值