浅谈spring之JWT鉴权

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量178 收藏
点赞数
分类专栏: Spring 文章标签: jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42480555/article/details/118546958
版权

1.JWT鉴权是什么?

①针对于浏览器而言

传统方式下,我们登录成功后可以将登录信息存储在session中,然后服务器会将sessionId标识返回给浏览器存储在cookie里,然后浏览器每次访问服务器的时候,都会通过cookie携带sessionId,后端通过sessionId就能取到session中的用户信息了

②针对于app/小程序而言

一个App,它是不支持cookie的;那么这种情况下,服务器如何来完成客户端的身份认定呢?这就需要JWT技术的支持了

JWT(令牌),全称为JSON Web token,是用于对应用程序上的用户进行身份验证的标记。

在身份验证过程中, 当用户使用其凭据成功登录时,将返回JWT(令牌),客户端会将其保存到本地存储中,而后每次请求都会携带此令牌。

2.JWT组成

在这里插入图片描述
完整的token令牌:

eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsInRlbGVwaG9uZSI6IjEzNzAwMTM3MDAwIiwicGFzc3dvcmQiOm51bGx9.bK41N48SXyXf4lyccrAVeV-80btL5GtYZy2o5vwCX7A

①header头部

一般由两部分组成,令牌类型(即:JWT)和散列算法(HMAC、RSASSA、RSASSA-PSS等)

eyJhbGciOiJIUzI1NiJ9

base64解码网站进行解码:

{"alg":"HS256"}
②payload载荷

一般里面可以存储自定义的实体的信息

eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsInRlbGVwaG9uZSI6IjEzNzAwMTM3MDAwIiwicGFzc3dvcmQiOm51bGx9

base64解码网站进行解码:

{"id":1,"username":"admin","telephone":"13700137000","password":null}
③signature签名

用于保证消息在传输过程中不会被篡改,由三部分组成

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

3.JWT流程

token必须要在每次请求时传递给服务端,它应该保存在请求头里!!!
在这里插入图片描述

ITLepeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security(7) jwt整合
愤怒的菜鸟博客
03-28 2125
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的
Spring集成JWT
qq_36973384的博客
11-18 137
过滤器:过滤请求路径,除了指定不拦截的路径,其他路径均要拦截,拦截之后,对token进行验签,通过之后,才可访问后端相应路径。token:token是一个将用户信息合成然后进行签名的一串字符,验签就是类似一个解密的过程,能获取到用户具体的信息。
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1160
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
实现 jwt 鉴权- SpringBoot + 微服务
weixin_62645763的博客
04-08 1438
jwt 鉴权服务auth-service和 user-service 用户服务为例,auth-service 和 user-service 两个项目位于目录同级,项目结构如下。写在 auth-service 里,主要逻辑就是在 controller 层,示例如下。
Spring Boot 鉴权之—— JWT 鉴权
weixin_34208283的博客
09-10 381
第一:什么是JWT鉴权 1. JWT即JSON Web Tokens,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),他可以用来安全的传递信息,因为传递的信息是经过加密算法加密过得。 2.JWT常用的加密算法有:HMAC算法或者是RSA的公私秘钥对进行签名,也可以使用公钥/私钥的非对称算法 3.JWT的使用场景...
JWTSpring 上的实践
weixin_34297704的博客
10-26 94
为什么80%的码农都做不了架构师?>>> ...
springcloud 微服务鉴权_浅谈Spring Cloud下微服务权限方案
weixin_29315091的博客
12-30 551
背景从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。用户认证传统的单体应用可能习惯了session的存在,而到了Spring cloud的微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring Cloud...
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2347
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
5分钟带你浅谈汉得企业级PaaS平台HZERO!
weixin_48028935的博客
08-19 6365
汉得技术中台HZERO,一款基于微服务架构的技术中台产品,可支持企业各类系统搭建或产品研发,帮助企业快速构建技术中台。
Spring Cloud Alibaba 实战
wangsofa的博客
04-02 480
点击上方蓝色“程序猿Damon”,选择“设为星标”回复“yeah”获取整理的学习资料2018年11月左右,Springcloud 联合创始人Spencer Gibb在Spring官网的博...
SpringBoot 系列教程(八十五):Spring Boot使用MD5加盐验签Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 8439
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
热门推荐
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
使用JWT保护你的Spring Boot应用 - Spring Security实战
weixin_34099526的博客
06-07 143
作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWTSpring Security、SSO、UAA 写在前面 最近安静下来,重新学习一些东西,最近一年几乎没写过代码。整天疲于奔命的日子终于结束了。坐下来,弄杯咖啡,思考一些问题,挺好。这几天有人问我Spring Boot结...
spring security鉴权
行云的博客
07-07 3737
1.SpringSecurity 鉴权 - [重点]RBAC 基于角色访问控制 Role-Based Access Control组成部分:RBAC模型里面,有3个基础组成部分,分别是:用户user、角色role 和 权限permssionUser(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限Permission...
spring整合jwt
haidian_fengyu的专栏
02-19 186
以下内容只是大概,具体业务要结合具体代码。 1.pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId&
Spring AOP (二)
安卓学吧
10-09 378
工作中所遇见的比较常用的 Spring AOP 的使用场景。一、HTTP 接口鉴权 二、方法调用日志 三、方法耗时统计
Spring 集成jwt(java web token)
ppwwp的专栏
02-28 2240
jwt(java web token)简介 它是基于 RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。 组成部分: Header 头部:一般为token类型和加密算法 Payload 负载:一些用户信息和额外的声明数据 ...
Spring Security 鉴权流程
qq_44131750的博客
04-17 1169
参考资料 SpringSecurity原理剖析与权限系统设计 SpringSecurity动态鉴权流程解析 | 掘金新人第二弹 官方文档 Part II. Servlet Applications 上篇笔记详细的介绍了 SpringSecurity 的认证过程,现在这部分来补充它的动态鉴权部分 鉴权原理 经常能看到下面这张图 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 实际上通过 Spring Se
sprintboot 集成Jwt
qq_43895215的博客
05-16 133
第一阶段 Login.vue setup() { const { proxy } =useCurrentInstance(); const login =() => { //post 获取服务器数据 //这里的 proxy.$Ajax 参main.ts 文件 proxy.$Ajax.post("http://localhost:****/athelete/login",{ "atheleteid":formState.ID,
java spring mvc jwt 鉴权
05-26
在Java Spring MVC中进行JWT鉴权,可以遵循以下步骤: 1. 添加依赖项:首先需要添加以下依赖项到Maven或Gradle项目中: ``` <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.10.5 <groupId>io....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值