使用JWT生成Token令牌

最新推荐文章于 2024-03-10 18:31:34 发布
最新推荐文章于 2024-03-10 18:31:34 发布
阅读量2.7k 收藏 11
点赞数
分类专栏: Java ToKen 文章标签: http 网络协议 网络
本文链接:https://blog.csdn.net/qq_42341467/article/details/121058911
版权

使用JWT生成Token令牌

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT能做什么?

  • 授权
    这是使用JWT的最常见的方案,一旦用户登陆,每个后续请求将包括JWT,从而允许用户访问该令牌的路由,服务和资源。单点登陆是当今广泛使用JWT的一项功能,因为他的开销很小,并且可以在不同的域中轻松使用。

  • 信息交换

    JSON Web Token是在各方之间安全地传输信息的好方法,因为可以对JWT进行签名(例如:使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否被篡改。

传统Session和JWT认证方式

传统Session认证方式

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

客户端—>服务器(创建会话,保存当前登陆对象)----响应(携带sessionid以cookie的形式)–>客户端

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

暴露问题:

  • **压力增加:**通常session都是保存在内存中,随着认证用户的增多,服务端的开销会明显增大
  • 无法在分布式系统上认证:因为如果用户的登陆认证被记录到当前服务器中那么下次请求就必须访问认证时的服务器才可以
  • 安全风险高,因为是基于cookie来进行识别的,cookie如果被截取,用户就会很容易收到跨站请求伪造攻击,不建议使用前后端分离:通常用户一次请求就要转发多次,如果使用session每次携带sessionid到服务器,服务器查询用户信息。同时如果用户很多,这些存在服务器内存中,给服务器造成一定的压力。还有就是CSRF(跨站伪造攻击),session是基于cookie进行用户识别的,cookie容易被截获,用户就很容易受到跨站请求伪造攻击。还有就是sessionid就是一个特征值,表达的信息不够丰富,不容易扩展。而且如果后端应用的是多节点部署,那么就需要实现session共享机制。不方便集群应用

JWT认证方式

认证流程:

  • 首先,前端通过web表单将自己的用户名和密码发送到后端接口。这一过程就是http post请求。建议的方式是通过SSL加密协议传输(https),从而避免被嗅探。

  • 后端对用户名和密码验证成功后,将用户的id等信息作为JWT Plyload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(token)。

  • 后端将JWT字符串作为登陆成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登陆时将前端保存的JWT删除即可

  • 后端检查是否存在,如存在验证jwt的有效性。例如,检查签名是否正确,检查token是否过期;检查token的接收方是否是自己

  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果

JWT的优势:

  • 简洁:可以通过url,post参数或者http header发送,数据量小,传输速度快
  • 自包含(Self-contained):负载中包含了所有用户需要的信息,避免了多次查询数据库
  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
  • 不需要在服务端保存会话信息,特比适合用于分布式微服务

JWT结构

JWT结构由令牌组成:header.playload.signature 即 标头、有效载荷、签名

表头(Header):

标头通常由两部分组成:令牌的类型和所使用的签名算法,例如:HMAC SHA256或PSA。它会使用 Base64编码组成JWT结构的第一部分。

注意:Base64是一种编码,也就是说,它是可以被翻译成原来的样子的,它不是一种加密过程

负载(Payload):

令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明、同样的,它会使用Base64编码组成JWT结构的第二部分

签名(Signature):

前面两个部分都是使用Base64进行编码的,即前端可以解开知道里面的信息。Signature需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法进行签名、签名的作用是保证jwt没有被篡改过

Base64是一种编码,是可逆的,所以敏感信息不建议放入jwt中

如何使用JWT

  1. 引入响应依赖

    <!--引入JWT依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.1</version>
</dependency>

  2. 获取token

    HashMap<String, Object> map = new HashMap<>();
//创建日历对象
Calendar calendar = Calendar.getInstance();
//添加日期,60s
calendar.add(Calendar.SECOND,60);
String token = JWT.create()
    .withHeader(map) //设置头信息
    .withClaim("userId", 12) //设置payload 携带信息
    .withClaim("userName", "xiaoge")
    .withExpiresAt(calendar.getTime()) //设置失效时间
    .sign(Algorithm.HMAC256("!%&%(&#^@!")); //设置签名以及签名方式 这里使用HMAC256加密方式
System.out.println(token);

  3. 解析token

    //创建检验对象
JWTVerifier require = JWT.require(Algorithm.HMAC256("!%&%(&#^@!")).build();
//通过签名进行解析token
DecodedJWT verify = require.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6InhpYW9nZSIsImV4cCI6MTYzMTUyMTE3MywidXNlcklkIjoxMn0.WK9v9Q2DeKQhMAfl3B0w0SZExwhFFbs8zv1p9dXkhLM");
//通过verify的方法可以拿到之前装载的数据
Map<String, Claim> claims = verify.getClaims(); //获取所有携带数据
System.out.println(claims);
System.out.println(verify.getClaim("userId")); //通过key获取
System.out.println(verify.getClaim("userName"));
//token过期时间
System.out.println("token过期时间:"+verify.getExpiresAt());

封装JWT工具类

public class JWTUtil {

    private static final String SIGN = "!^&%&*!@$*%!!@(&%2ar^2t";

    /**
     * 生成Token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);//过期时间默认为7七天
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        return builder.withExpiresAt(instance.getTime()).sign(Algorithm.HMAC256(SIGN));
    }

    /**
     * 验证token
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
    }


}

常见异常信息:

  • AlgorithmMismatchException:算法出现错误,例:加密使用HMAC256 解密使用HMAC384
  • SignatureVerificationException:签名不一致,例:签名:1234 验签:1111
  • TokenExpiredException:token失效
  • InvalidClaimException:失效的payload异常
坠入云幕间KN
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT 生成Token及验证
01-22
JWT生成token及验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用
利用JWT生成Token
兜兜的博客
11-21 1666
开篇 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成Token.JWT生成Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 本篇分3部分进行讲解。 什么是JWT JWT的代码实现,代码将JWT封...
JWT令牌技术
Dong_duan的博客
03-10 925
我以为,最美的日子,当是晨起侍花,闲来煮茶,阳光下打盹,细雨中漫步,夜灯下读书,在这清浅时光里,一半烟火,一半诗意,任窗外花开花落,云来云往,自是余味无尽,万般惬意。——不吃葱的阿冬🍟问题一 什么是令牌技术?它的作用是什么?🍔问题二 令牌技术与身份验证之间有何关系?🥪问题三 令牌技术有哪些优点和缺点?🍞问题四 令牌技术在Web应用程序中的具体应用是什么?JWT全称:JSON Web Token什么是令牌技术?
使用JWT生成token
热门推荐
zjjcchina的博客
04-24 1万+
一、使用JWT进行身份验证 1、传统用户身份验证 Internet服务无法与用户身份验证分开。一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 服务器向用户返回session_id,session信息都会写入到用户的Cookie。 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 服务器收到session_id并对比之前保存的数据,确认用户的身份。 这种模式最大的问题是,没有分布式架构,无
生成JWT令牌
又要搬砖了
04-08 373
生成JWT令牌一、JWT是什么?二、使用步骤1.引入库2.封装JWT工具类2.1 定义一个密钥用于加密解密2.2 生成token2.3 根据生成token获取载荷信息2.4 校验token是否过期 一、JWT是什么? JWT介绍 二、使用步骤 1.引入库 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <ve
JWT生成Token
风雨过后的博客
01-23 6140
什么是JWT       Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
laravel5.5安装jwt-auth 生成token令牌的示例
10-16
今天小编就为大家分享一篇laravel5.5安装jwt-auth 生成token令牌的示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
.NET Core 生成JWT令牌源码
最新发布
04-27
.NET Core JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种轻量级的安全令牌,用于在不同的应用...该库提供了一些类和方法,用于生成和验证JWT令牌。可以使用SymmetricSecurityKey或AsymmetricSecu
lck-jwt-token.rar
07-22
基于令牌方式实现互联网开放平台API安全...原理:每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。 资源下载解压即可使用
详解ASP.NET Core Web Api之JWT刷新Token
12-16
见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期中使用访问令牌,也就是说存在冒充用户身份,此时...
在node中使用jwt签发与验证token的方法
01-02
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 token是在服务端产生的。如果前端使用用户名和密码向服务端发送请求认证,服务端认证成功,那么在服务端会返回token给前端。 ...
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
jwthelper:JWT令牌生成
02-24
JWT令牌生成生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 安装 您可以克隆此存储库并手动构建它。 cd jwthelper docker build -t fonoster/jwthelper:%%VERSION%% . 否则,您可以从泊坞窗索引中拉出该映像。 docker pull fonoster/jwthelper:latest:%%VERSION%% 使用范例 以下是使用此图像的最小示例。 sudo docker run -it \ -v $( pwd ) :/home/fonos/access \ -e PRINT_ACCESS_INFO=
20-JWT令牌生成
yangcan741147的博客
04-12 352
JWT令牌生成 什么时间生成令牌? 答案:登录成功的时候 完成登录业务 1、创建micro-permission-server库 SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for admin_info -- ---------------------------- DROP TABLE IF EXISTS `admin_info`; CREATE TABLE `admin_info` (
身份认证1_ 整合jjwt生成jwt令牌
grow_的博客
04-25 338
了解jwt,jjwt 什么是jwt JSON Web Token( JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用 户和服务器之间传递安全可靠的信息。其中 JWT 中可以包含用户信息。 什么是jjwt JJWT 是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。可以使用jjwt实现jwt. jjwt快速入门 1.pom包中引入依赖 (查看自己电脑jdk版本,8版本不需要下面的依赖8中包含EE,..
使用jwt生成token
qq_36928715的博客
07-02 379
<!-- jwt相关依赖--> <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version...
jwt生成token
m0_59806423的博客
04-03 1386
http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。
jwttoken令牌已过期
08-26
对于JWT(JSON Web Token)来说,令牌的过期是非常常见的情况。当JWT令牌过期时,客户端需要重新获取一个新的令牌来继续进行身份验证和访问控制。 要检查JWT令牌是否过期,可以解码它并查看令牌中的"exp"(过期时间)字段。如果当前时间超过了"exp"字段的值,那么该令牌已经过期。 在应用程序中处理JWT过期的一种常见方法是在客户端发起请求时,在服务端对JWT进行验证。如果JWT已经过期,服务端应该返回一个错误响应,通知客户端需要重新进行身份验证。 在重新进行身份验证时,通常需要使用已过期令牌中的信息(如用户ID)来生成一个新的JWT令牌。这可能涉及到向认证服务器发送请求,以获取新的令牌。 总而言之,当JWT令牌过期时,客户端需要重新获取一个新的令牌,并使用新的令牌进行后续的身份验证和访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值