初见Token、JWT结构和Java的JJWT实现JWT(简洁明了的了解Token,以及Token认证和Cookie认证的区别)

最新推荐文章于 2024-06-19 15:59:42 发布
最新推荐文章于 2024-06-19 15:59:42 发布
阅读量3.4k 收藏 12
点赞数 7
分类专栏: java 文章标签: Token JWT JJWT Java Cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42120178/article/details/97645746
版权

1. 什么的Token?

Token的意思是令牌,跟cookie、session类似,一般是用来做用户认证。用户认证就是已经登录过的用户再次访问不用再次登录,服务器认为该用户是合法的。Token在现在web开发中运用广泛。

2. 为什么要使用Token?

这个问题我们就要谈到“认证机制”的区别

  • HTTP Basic Auth,用户每次访问都携带帐号和密码。最简单的认证,但是由于将帐号和密码暴露给第三方客户端,有很大风险,现在基本不这样做。
  • Cookie Auth,第一次请求时在服务端创建一个session对象,同时在浏览器端创建cookie,随后的用户请求都携带浏览器中的cookie,在服务端匹配session。
  • Token Auth,用户登录后,服务端会向浏览器发送一个Token(字符串),当用户再次访问的时候会携带上Token字符串,当然Token字符串是经过加密的。

3.Token有什么优势?

现在我们为什么不使用Cookie认证而要使用Token认证?当然是Token认证更加优秀

  1. 支持跨域访问,Cookie是不允许跨域访问的,而Token可以,当然Token不能放在Cookie中,要放在HTTP头中。
  2. 无状态,有无状态就是说是否在服务器中存储信息,Cookie认证需要在服务器端存储session信息,而Token不需要,因为关于用户的信息都已经存放在Token中,这样大大减轻了服务器的压力。
  3. 适用于更多平台,当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。
  4. 性能,Cookie认证比Token认证要慢很多,因为Cookie认证需要寻找在服务器中的session,而Token只需要进行解密就可以了。

4. 基于JWT的Token认证机制实现

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

4.1 JWT的组成

由三部分组成:头部、载荷与签名。

头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{"typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码(编码不是加密)

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload)
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64编码,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

签证(signature)
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的)、payload (base64后的)、secret(盐,加盐加密)
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
secret:

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

5. Java的JJWT实现JWT

JJWT是一个提供端到端的JWT创建和验证的Java库。

5.1 快速入门

环境maven项目,导入坐标

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>
5.1.1 生成令牌

创建CreateJwt 类

public class CreateJwt {
    public static void main(String[] args) {
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("666")
                .setSubject("小明")
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256,"lois")//头部
                .setExpiration(new Date(new Date().getTime()+60000))//过期时间为1分钟
                .claim("role","admin");//自定义信息
        System.out.println(jwtBuilder.compact());
    }
}
  • setIssuedAt用于设置签发时间
  • signWith(使用的加密算法,盐) 用于设置签名秘钥
  • setExpiration不是必须要写,可以是永久Token,但是不建议这样做
  • claim可以自定义添加信息

运行类即可在控制台中看到输出

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlsI_mmI4iLCJpYXQiOjE1NjQzODg2ODl9.KryyWowEat-L86CwsTzEfCw9IPaw3wWf0ddj9H98c_4

再次运行,会发现每次运行的结果是不一样的,因为我们的载荷中包含了时间。

5.1.2 解析令牌

创建解析类ParseJwtTest

public class ParseJwtTest {
    public static void main(String[] args) {
        Claims claims = Jwts.parser()
                .setSigningKey("lois")
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlsI_mmI4iLCJpYXQiOjE1NjQzOTEyMTEsImV4cCI6MTU2NDM5MTI3MSwicm9sZSI6ImFkbWluIn0.8JF9G6AX33wtzcdyT0NxpEsVEL2XEm5nklDtdykV5YI")
                .getBody();
        System.out.println("用户id:" + claims.getId());
        System.out.println("用户名:" + claims.getSubject());
        System.out.println("用户角色:" + claims.get("role"));//获取自定义信息
        System.out.println("登录时间:" + new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(claims.getIssuedAt()));
        System.out.println("过期时间:" + new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(claims.getExpiration()));
    }
}
  • 解析使用Jwts中的parser方法
  • setSigningKey设置解析盐
  • parseClaimsJws令牌字段
  • 返回Claims类似于Map,其中能获取到刚刚加密的信息。
  • 获取自定义信息使用get方法

控制台显示

用户id:666
用户名:小明
用户角色:admin
登录时间:2019-07-29 17:06:51
过期时间:2019-07-29 17:07:51

有一点是要注意的,因为Token过期后,再次运行解析类会报一个错

Exception in thread "main" io.jsonwebtoken.ExpiredJwtException: JWT expired at 2019-07-29T16:57:47+0800. Current time: 2019-07-29T16:59:33+0800

所以我们最好给解析类套上一个try-catch

作者编写不易,转载请注明我的博客,如果觉得写的不错的话,请随手点个赞,谢谢!!!
作者编写不易,转载请注明我的博客,如果觉得写的不错的话,请随手点个赞,谢谢!!!
作者编写不易,转载请注明我的博客,如果觉得写的不错的话,请随手点个赞,谢谢!!!

Dreamy_Lois
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文读懂JWT+JAVA的两种实现方式
时光、疏离了记忆づ童话的博客
11-23 1370
在上文一文读懂Cookie、Session、Token中,我们已经了解到了Token,本文中,我们将详细介绍JWT并进行实现。 文章目录1、JWT概述2、JWT组成2.1 Header2.2 Payload2.3 Signature三、JWT的应用四、JWT实现4.1 java-jwt实现4.2 采用JJWT实现: 1、JWT概述   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特.
java jwt 库_JavaJJWT实现JWT
weixin_30060575的博客
02-13 685
1,什么是JJWTJJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。2,JJWT快速入门2.1,token的创建创建Maven工程,引入依赖io.jsonwebtokenjjwt0.6.0创建类CreateJwtTest,用于生成tokenpub...
JJWT最新版本0.12.x使用指南,实现登陆功能,JwtUtils
最新发布
shenyunmomie的博客
06-19 1230
JWT(JSON Web Token)令牌登录,是一种用于身份验证的开放标准。它是一个基于JSON格式的安全令牌,主要用于在网络上传输声明或者用户身份信息。JWT通常被用作API的认证方式,以及跨域身份验证。JWT令牌由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。Header:记录令牌类型,加密算法Payload:包含声明,声明是有关实体(通常是用户)和其他数据的语句。
JWT的详细讲解-- AI比我们呢更了解JWT(PS: 此文由AI生成)
码农飞哥
05-19 726
JWT的详细讲解-- AI比我们呢更了解JWT
JWTJJWT,别再傻傻分不清了!,Java面试题及解析
m0_61549984的博客
03-29 319
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、Spring、Spring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
JWT---Json Web Token
龙梓琦的博客
04-22 1568
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring Boot和JWT(JSON Web Token)来实现API的Token认证JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
JWT(Json Web Token)Java实现jar
04-18
总结来说,JWT是一种在Java开发中常用的认证和授权机制,而jjwt库则提供了方便的JWT操作API,包括生成、解析和验证JWT。正确理解和使用JWT以及jjwt库,能够帮助开发者构建更安全、高效的身份验证系统。
gateway和jwt网关认证实现过程解析
08-25
Gateway 和 JWT 网关认证实现过程解析 Gateway 和 JWT 网关认证是当前 Web 应用程序中最常用的身份验证方法之一。Gateway 作为入口点,负责处理所有的请求,而 JWT(JSON Web Token)则是用于身份验证和授权的 ...
JWT Token生成及验证(源码)
04-12
在代码中,使用特定的库(如Javajjwt、Node.js的jsonwebtoken或.NET的JWT.NET等)来生成JWT。首先,构造头部和载荷的JSON对象,然后进行Base64编码。接着,使用指定的算法和密钥生成签名。最后,将编码后的三部分...
基于JJWT理解JWT,JWS,JWE
oscar999的专栏
08-21 462
* JWT, JSON Web Token。 JSON格式的Web令牌 * JWS: signed JWT,签名的JWT * JWE: encrypted JWT,签名且加密的JWT(对负载也加密)
JWT(json web token认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1319
会将空转为字符串“null”生成jwt:sign(
JWT介绍以及java-jwt的使用
oscar999的专栏
10-24 2万+
JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证. 简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。 JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。 JWT流程: htt.........
Jwtjavaweb项目中的应用核心步骤解读
dxyzhbb的博客
08-10 355
1.引入jwt依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> &
JWTJava使用 (JJWT)
热门推荐
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWTJava中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWTJava中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
JWT&JJWT
qq_26786441的博客
06-08 559
JWT,JJWT,token
JJWT实现令牌Token
qq_43409401的博客
01-12 1027
JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。
基于JavaJJWT实现JWT认证
u010953880的专栏
02-01 6116
JJWTJava json web token ,就是基于Java实现JWT。 首先说一下什么是JWT? 其实就是一个字符串:由三部分组成,头部、载荷与签名。 头部:(header) 一般放一些声明信息,比如:用什么加密,用什么编码。 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 这也可以被表示成一个JSON对象:          {"typ":"J...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值