使用JWT生成Token令牌

最新推荐文章于 2024-09-28 07:45:00 发布
最新推荐文章于 2024-09-28 07:45:00 发布
阅读量2.8k 收藏 11
点赞数
分类专栏: Java ToKen 文章标签: http 网络协议 网络
本文链接:https://blog.csdn.net/qq_42341467/article/details/121058911
版权

使用JWT生成Token令牌

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT能做什么?

  • 授权
    这是使用JWT的最常见的方案,一旦用户登陆,每个后续请求将包括JWT,从而允许用户访问该令牌的路由,服务和资源。单点登陆是当今广泛使用JWT的一项功能,因为他的开销很小,并且可以在不同的域中轻松使用。

  • 信息交换

    JSON Web Token是在各方之间安全地传输信息的好方法,因为可以对JWT进行签名(例如:使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否被篡改。

传统Session和JWT认证方式

传统Session认证方式

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

客户端—>服务器(创建会话,保存当前登陆对象)----响应(携带sessionid以cookie的形式)–>客户端

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

暴露问题:

  • **压力增加:**通常session都是保存在内存中,随着认证用户的增多,服务端的开销会明显增大
  • 无法在分布式系统上认证:因为如果用户的登陆认证被记录到当前服务器中那么下次请求就必须访问认证时的服务器才可以
  • 安全风险高,因为是基于cookie来进行识别的,cookie如果被截取,用户就会很容易收到跨站请求伪造攻击,不建议使用前后端分离:通常用户一次请求就要转发多次,如果使用session每次携带sessionid到服务器,服务器查询用户信息。同时如果用户很多,这些存在服务器内存中,给服务器造成一定的压力。还有就是CSRF(跨站伪造攻击),session是基于cookie进行用户识别的,cookie容易被截获,用户就很容易受到跨站请求伪造攻击。还有就是sessionid就是一个特征值,表达的信息不够丰富,不容易扩展。而且如果后端应用的是多节点部署,那么就需要实现session共享机制。不方便集群应用

JWT认证方式

认证流程:

  • 首先,前端通过web表单将自己的用户名和密码发送到后端接口。这一过程就是http post请求。建议的方式是通过SSL加密协议传输(https),从而避免被嗅探。

  • 后端对用户名和密码验证成功后,将用户的id等信息作为JWT Plyload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(token)。

  • 后端将JWT字符串作为登陆成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登陆时将前端保存的JWT删除即可

  • 后端检查是否存在,如存在验证jwt的有效性。例如,检查签名是否正确,检查token是否过期;检查token的接收方是否是自己

  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果

JWT的优势:

  • 简洁:可以通过url,post参数或者http header发送,数据量小,传输速度快
  • 自包含(Self-contained):负载中包含了所有用户需要的信息,避免了多次查询数据库
  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
  • 不需要在服务端保存会话信息,特比适合用于分布式微服务

JWT结构

JWT结构由令牌组成:header.playload.signature 即 标头、有效载荷、签名

表头(Header):

标头通常由两部分组成:令牌的类型和所使用的签名算法,例如:HMAC SHA256或PSA。它会使用 Base64编码组成JWT结构的第一部分。

注意:Base64是一种编码,也就是说,它是可以被翻译成原来的样子的,它不是一种加密过程

负载(Payload):

令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明、同样的,它会使用Base64编码组成JWT结构的第二部分

签名(Signature):

前面两个部分都是使用Base64进行编码的,即前端可以解开知道里面的信息。Signature需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法进行签名、签名的作用是保证jwt没有被篡改过

Base64是一种编码,是可逆的,所以敏感信息不建议放入jwt中

如何使用JWT

  1. 引入响应依赖

    <!--引入JWT依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.1</version>
</dependency>

  2. 获取token

    HashMap<String, Object> map = new HashMap<>();
//创建日历对象
Calendar calendar = Calendar.getInstance();
//添加日期,60s
calendar.add(Calendar.SECOND,60);
String token = JWT.create()
    .withHeader(map) //设置头信息
    .withClaim("userId", 12) //设置payload 携带信息
    .withClaim("userName", "xiaoge")
    .withExpiresAt(calendar.getTime()) //设置失效时间
    .sign(Algorithm.HMAC256("!%&%(&#^@!")); //设置签名以及签名方式 这里使用HMAC256加密方式
System.out.println(token);

  3. 解析token

    //创建检验对象
JWTVerifier require = JWT.require(Algorithm.HMAC256("!%&%(&#^@!")).build();
//通过签名进行解析token
DecodedJWT verify = require.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6InhpYW9nZSIsImV4cCI6MTYzMTUyMTE3MywidXNlcklkIjoxMn0.WK9v9Q2DeKQhMAfl3B0w0SZExwhFFbs8zv1p9dXkhLM");
//通过verify的方法可以拿到之前装载的数据
Map<String, Claim> claims = verify.getClaims(); //获取所有携带数据
System.out.println(claims);
System.out.println(verify.getClaim("userId")); //通过key获取
System.out.println(verify.getClaim("userName"));
//token过期时间
System.out.println("token过期时间:"+verify.getExpiresAt());

封装JWT工具类

public class JWTUtil {

    private static final String SIGN = "!^&%&*!@$*%!!@(&%2ar^2t";

    /**
     * 生成Token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);//过期时间默认为7七天
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        return builder.withExpiresAt(instance.getTime()).sign(Algorithm.HMAC256(SIGN));
    }

    /**
     * 验证token
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
    }


}

常见异常信息:

  • AlgorithmMismatchException:算法出现错误,例:加密使用HMAC256 解密使用HMAC384
  • SignatureVerificationException:签名不一致,例:签名:1234 验签:1111
  • TokenExpiredException:token失效
  • InvalidClaimException:失效的payload异常
坠入云幕间KN
关注
专栏目录
TP5.1使用JWT进行Token令牌生成与验证
Sol的博客
08-05 9128
传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session,但是众所周知Session数据在产生后会存储与服务器端,所以当用户量达到一定程度会相应影响到服务器的性能,且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题,服务器端对Token只有生成和验证操作,不会存放数据,针对前后端分离的项目,包括手机APP和当前热门的小程序的...
Java使用JWT实现Token认证机制
最新发布
pan_junbiao的博客
10-29 885
JWT(JSON Web Token)是一种用于在网络上安全地传输信息的简洁的、URL 安全的表示方法,它定义了一个紧凑且自包含的方式,用于不同实体之间安全地传输信息(JSON格式)。JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效载荷)和 Signature(签名)。JWT是一种简单、安全、便捷的身份验证和授权机制,在现代Web应用程序中得到广泛应用。然而,在使用JWT时也需要注意其安全性问题,并采取相应的措施来确保JWT的安全性和完整性。
JWT 生成Token及验证
01-22
JWT生成token及验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用
利用JWT生成Token
兜兜的博客
11-21 1737
开篇 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成Token.JWT生成Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 本篇分3部分进行讲解。 什么是JWT JWT的代码实现,代码将JWT封...
【Python】PyJWT:轻松实现 JSON Web Token (JWT) 网络令牌生成与验证
Unity打怪升级
09-28 932
PyJWT 是一个用 Python 实现的轻量级库,用于处理 JSON Web Token (JWT)。JWT 是一种安全的方式,用来表示双方之间经过签名的令牌,通常用于认证和授权场景。PyJWT 简化了 JWT生成和验证过程,使得开发者能够轻松地在 Python 项目中集成 JWT 功能。
jwt生成token
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
通过 JWT(JSON Web Token)实现令牌
q322359的博客
02-01 1634
令牌本质就是⼀个字符串,它的实现⽅式有很多,我们采⽤⼀个 JWT 令牌来实现.JWT全称:JSON Web Token官⽹:JSON Web Token(JWT)是⼀个开放的⾏业标准(RFC 7519),⽤于客户端和服务器之间传递安全可靠的信息.其本质是⼀个 token令牌),是⼀种紧凑的 URL 安全⽅法.
使用JWT生成token
热门推荐
zjjcchina的博客
04-24 1万+
一、使用JWT进行身份验证 1、传统用户身份验证 Internet服务无法与用户身份验证分开。一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 服务器向用户返回session_id,session信息都会写入到用户的Cookie。 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 服务器收到session_id并对比之前保存的数据,确认用户的身份。 这种模式最大的问题是,没有分布式架构,无
JWT Token生成及验证
07-16
4. **JWT生成**:生成JWT时,你需要提供一个签发者(issuer, `iss`)、接收者(audience, `aud`)、有效时间(expiration time, `exp`)以及其他自定义声明。例如,使用`JwtSecurityToken`类,设置这些参数并生成...
JWT Token生成及验证(源码)
04-12
5. JWT生成: 在代码中,使用特定的库(如Java的jjwt、Node.js的jsonwebtoken或.NET的JWT.NET等)来生成JWT。首先,构造头部和载荷的JSON对象,然后进行Base64编码。接着,使用指定的算法和密钥生成签名。最后,将...
生成JWT令牌
又要搬砖了
04-08 547
生成JWT令牌一、JWT是什么?二、使用步骤1.引入库2.封装JWT工具类2.1 定义一个密钥用于加密解密2.2 生成token2.3 根据生成token获取载荷信息2.4 校验token是否过期 一、JWT是什么? JWT介绍 二、使用步骤 1.引入库 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <ve
JWT生成Token
风雨过后的博客
01-23 6250
什么是JWT       Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
Token生成方案-JWT
奇遇少年
01-17 3042
JWT使用简化了用户身份验证的流程,使得开发者能够在Web应用中轻松实现高效的身份认证和信息传递。
JWT令牌的创建以及解析
yuban10403的博客
04-27 1720
使用jwt令牌首先得引入相关依赖为了方便后面使用,我们直接创建一个JwtUtil。
20-JWT令牌生成
yangcan741147的博客
04-12 395
JWT令牌生成 什么时间生成令牌? 答案:登录成功的时候 完成登录业务 1、创建micro-permission-server库 SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for admin_info -- ---------------------------- DROP TABLE IF EXISTS `admin_info`; CREATE TABLE `admin_info` (
身份认证1_ 整合jjwt生成jwt令牌
grow_的博客
04-25 384
了解jwt,jjwt 什么是jwt JSON Web Token( JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用 户和服务器之间传递安全可靠的信息。其中 JWT 中可以包含用户信息。 什么是jjwt JJWT 是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。可以使用jjwt实现jwt. jjwt快速入门 1.pom包中引入依赖 (查看自己电脑jdk版本,8版本不需要下面的依赖8中包含EE,..
使用jwt生成token
qq_36928715的博客
07-02 428
<!-- jwt相关依赖--> <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version...
jwttoken令牌已过期
08-26
对于JWT(JSON Web Token)来说,令牌的过期是非常常见的情况。当JWT令牌过期时,客户端需要重新获取一个新的令牌来继续进行身份验证和访问控制。 要检查JWT令牌是否过期,可以解码它并查看令牌中的"exp"(过期时间)字段。如果当前时间超过了"exp"字段的值,那么该令牌已经过期。 在应用程序中处理JWT过期的一种常见方法是在客户端发起请求时,在服务端对JWT进行验证。如果JWT已经过期,服务端应该返回一个错误响应,通知客户端需要重新进行身份验证。 在重新进行身份验证时,通常需要使用已过期令牌中的信息(如用户ID)来生成一个新的JWT令牌。这可能涉及到向认证服务器发送请求,以获取新的令牌。 总而言之,当JWT令牌过期时,客户端需要重新获取一个新的令牌,并使用新的令牌进行后续的身份验证和访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值