浅谈spring之JWT鉴权

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量186 收藏
点赞数
分类专栏: Spring 文章标签: jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42480555/article/details/118546958
版权

1.JWT鉴权是什么?

①针对于浏览器而言

传统方式下,我们登录成功后可以将登录信息存储在session中,然后服务器会将sessionId标识返回给浏览器存储在cookie里,然后浏览器每次访问服务器的时候,都会通过cookie携带sessionId,后端通过sessionId就能取到session中的用户信息了

②针对于app/小程序而言

一个App,它是不支持cookie的;那么这种情况下,服务器如何来完成客户端的身份认定呢?这就需要JWT技术的支持了

JWT(令牌),全称为JSON Web token,是用于对应用程序上的用户进行身份验证的标记。

在身份验证过程中, 当用户使用其凭据成功登录时,将返回JWT(令牌),客户端会将其保存到本地存储中,而后每次请求都会携带此令牌。

2.JWT组成

在这里插入图片描述
完整的token令牌:

eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsInRlbGVwaG9uZSI6IjEzNzAwMTM3MDAwIiwicGFzc3dvcmQiOm51bGx9.bK41N48SXyXf4lyccrAVeV-80btL5GtYZy2o5vwCX7A

①header头部

一般由两部分组成,令牌类型(即:JWT)和散列算法(HMAC、RSASSA、RSASSA-PSS等)

eyJhbGciOiJIUzI1NiJ9

base64解码网站进行解码:

{"alg":"HS256"}
②payload载荷

一般里面可以存储自定义的实体的信息

eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsInRlbGVwaG9uZSI6IjEzNzAwMTM3MDAwIiwicGFzc3dvcmQiOm51bGx9

base64解码网站进行解码:

{"id":1,"username":"admin","telephone":"13700137000","password":null}
③signature签名

用于保证消息在传输过程中不会被篡改,由三部分组成

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

3.JWT流程

token必须要在每次请求时传递给服务端,它应该保存在请求头里!!!
在这里插入图片描述

ITLepeng
关注
专栏目录
详解用JWTSpringCloud进行认证和鉴权
08-26
"详解用JWTSpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
旧版SpringSecurity和JWT实现认证和授权
上善若泪
06-04 650
是一个强大的可高度定制的和框架,对于应用来说它是一套安全标准。注重于为Java应用提供认证和授权功能,像所有的项目一样,它对自定义需求具有强大的扩展性。是的缩写,它是基于 标准定义的一种可以安全传输的的对象,由于使用了数字签名,所以是可信任和安全的。的格式: 中用于存放签名的生成算法: 中用于存放、的生成时间和过期时间 为以和生成的签名,一旦和被篡改,验证将失败 1.1.4 JWT实例 这是一个的字符串 可以在该网站上获得解析结果:https://jwt.io/ 用户调用登录接口,登录成功后获取到的; 之
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 3234
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1416
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
如何在springboot项目中使用JWT
weixin_51496936的博客
06-27 4369
开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。该信息可以被验证和信任,因为它是数字签名的。
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 9413
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
spring security鉴权
行云的博客
07-07 3762
1.SpringSecurity 鉴权 - [重点]RBAC 基于角色访问控制 Role-Based Access Control组成部分:RBAC模型里面,有3个基础组成部分,分别是:用户user、角色role 和 权限permssionUser(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限Permission...
Spring security+jwt服务鉴权完整代码.zip
09-09
本项目"Spring security+jwt服务鉴权完整代码.zip"是基于Spring Security实现的JWT身份验证服务。主要包含了以下关键知识点: 1. **JWT令牌生成与验证**:JWT由三部分组成:头部(Header)、负载(Payload)和签名...
JWT授权鉴权--相当nice
08-14
标题“JWT授权鉴权--相当nice”暗示了JWT在授权和鉴权过程中的高效和便利性。JWT提供了一种轻量级的身份验证机制,使得客户端可以在获得服务器的访问令牌后,无需每次请求都发送用户名和密码,极大地提升了用户体验...
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
EurekaApplication Eureka也可以不用 gateway可直接转发外部的服务 PtGatewayApplication ...http可以通过网页模拟 (开启鉴权之后需要postman在header中添加token才能通过鉴权) 导入之后 maven跑完即可完整运行
基于SpringBoot2.7+SpringSecurity5.7的登录鉴权方案
Loli_Wolf的博客
11-04 7172
基于SpringBoot 2.7以上,SpringSecurity5.7以上的一套完整的安全验证方案
4 种 SpringBoot 项目鉴权方式
java_atguigu的博客
04-07 3737
传统 AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现 其使用步骤如下: 使用 @Aspect 声明一下切面类 WhitelistAspect; 在切面类内添加一个切点 whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用 execution 全部拦截,而是添加一个注解 @Whitelist,被注解的方法才会校验白名单。 在切面类中使用 spring
Spring Boot 实现 JWT
云胡
06-21 7757
Web 网站离不开用户认证,这边我们不用 ,而直接使用 。JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程JWT 由三个部分组成:在 中添加 配置信息。 2.2 新建 JwtUtil 工具类 新建 目录,在 目录下新建 。将当前 注入到 容器中。,匹配 配置文件的前缀,然后将配置文件里面的数据加载到当前类。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料
SpringBoot技术专题】「JWT技术专区」带你一同开发SpringSecurity整合JWT授权和认证实战指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
01-25 666
Spring 中实现 JWT 授权和密码认证的步骤,同时学习了如何安全地保存用户信息。
SpringSecurity+JWT-01-JWT介绍
weixin_46147113的博客
07-07 448
JWT简称JSON-Web-Token ,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密,签名等相关处理。Ⅰ、授权 是使用JWT最常见地方案,一旦用户登录,后续地每个请求将包括JWT,从而允许用户访问该令牌允许地路由,服务和资源。单点登录深是当今广泛使用JWT地一项功能,因为它的开销很小并且可以在不通风地邻域中轻松使用。Ⅱ、信息交换JSON Web Token是在各方之间安全地传输信息地好方法。因为可以对JWT
SpringBoot整合JWT
蛋饼吧的博客
05-18 9065
1.认证方式我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
SpringBoot集成JWT实现Token登录验证
热门推荐
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
java spring mvc jwt 鉴权
05-26
在Java Spring MVC中进行JWT鉴权,可以遵循以下步骤: 1. 添加依赖项:首先需要添加以下依赖项到Maven或Gradle项目中: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.10.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.10.5</version> <scope>runtime</scope> </dependency> ``` 2. 创建JWT工具类:创建一个JWT工具类,负责生成、验证和解析JWT令牌。可以使用JJWT库来实现此功能。 3. 创建拦截器:创建一个拦截器,在请求到达控制器之前验证JWT令牌。如果令牌无效,则拦截请求并返回错误响应。 4. 配置Spring Security:使用Spring Security来保护端点,只允许具有有效JWT令牌的用户访问。 5. 创建控制器:创建控制器,用于处理受保护的端点请求。 以上是一般的步骤,具体实现过程会根据具体的需求和环境有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值