无状态登录

最新推荐文章于 2024-04-26 08:53:50 发布
最新推荐文章于 2024-04-26 08:53:50 发布
阅读量309 收藏 1
点赞数
分类专栏: 技术 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43172064/article/details/108366141
版权

JWT+RSA 鉴权(无状态登录)

   无状态登录也就是 把用户信息保存在客户端

 

    JWT是JSON风格轻量级的认证和授权;可实现无状态登录和 web应用授权
             JWT含有三部分:头部(header)、载荷(payload)、签名(signature)   

                                         头部         :放的声明类型,这里是jwt和声明加密的算法

                                         载荷: 通俗点放的 查到的用户信息

                                         签名: 加密密文

    RSA则是非对称加密

                         原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端

                                       一般是公钥加密,私钥解密   多个公钥只有一个密钥能解密

                          优点:安全性高,难以破解

                          缺点: 破解时间长

   不可逆加密,如MD5,SHA

        基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密                                的,无法根据密文推算出明文。

JWT依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.10.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.10.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.10.5</version>
    <scope>runtime</scope>
</dependency>

JWT工具类

public class JwtUtils {

    private static final String JWT_PAYLOAD_USER_KEY = "user";

    /**
     * 私钥加密token
     *
     * @param userInfo   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间,单位分钟
     * @return JWT
     */
    public static String generateTokenExpireInMinutes(Object userInfo, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusMinutes(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 私钥加密token
     *
     * @param userInfo   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间,单位秒
     * @return JWT
     */
    public static String generateTokenExpireInSeconds(Object userInfo, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 公钥解析token
     *
     * @param token     用户请求中的token
     * @param publicKey 公钥
     * @return Jws<Claims>
     */
    private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
        return Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token);
    }

    private static String createJTI() {
        return new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes()));
    }

    /**
     * 获取token中的用户信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey, Class<T> userType) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setUserInfo(JsonUtils.toBean(body.get(JWT_PAYLOAD_USER_KEY).toString(), userType));
        claims.setExpiration(body.getExpiration());
        return claims;
    }

    /**
     * 获取token中的载荷信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setExpiration(body.getExpiration());
        return claims;
    }
}

RSA工具类

public class RsaUtils {

    private static final int DEFAULT_KEY_SIZE = 2048;
    /**
     * 从文件中读取公钥
     *
     * @param filename 公钥保存路径,相对于classpath
     * @return 公钥对象
     * @throws Exception
     */
    public static PublicKey getPublicKey(String filename) throws Exception {
        byte[] bytes = readFile(filename);
        return getPublicKey(bytes);
    }

    /**
     * 从文件中读取密钥
     *
     * @param filename 私钥保存路径,相对于classpath
     * @return 私钥对象
     * @throws Exception
     */
    public static PrivateKey getPrivateKey(String filename) throws Exception {
        byte[] bytes = readFile(filename);
        return getPrivateKey(bytes);
    }

    /**
     * 获取公钥
     *
     * @param bytes 公钥的字节形式
     * @return
     * @throws Exception
     */
    private static PublicKey getPublicKey(byte[] bytes) throws Exception {
        bytes = Base64.getDecoder().decode(bytes);
        X509EncodedKeySpec spec = new X509EncodedKeySpec(bytes);
        KeyFactory factory = KeyFactory.getInstance("RSA");
        return factory.generatePublic(spec);
    }

    /**
     * 获取密钥
     *
     * @param bytes 私钥的字节形式
     * @return
     * @throws Exception
     */
    private static PrivateKey getPrivateKey(byte[] bytes) throws NoSuchAlgorithmException, InvalidKeySpecException {
        bytes = Base64.getDecoder().decode(bytes);
        PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(bytes);
        KeyFactory factory = KeyFactory.getInstance("RSA");
        return factory.generatePrivate(spec);
    }

    /**
     * 根据密文,生存rsa公钥和私钥,并写入指定文件
     *
     * @param publicKeyFilename  公钥文件路径
     * @param privateKeyFilename 私钥文件路径
     * @param secret             生成密钥的密文
     */
    public static void generateKey(String publicKeyFilename, String privateKeyFilename, String secret, int keySize) throws Exception {
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        SecureRandom secureRandom = new SecureRandom(secret.getBytes());
        keyPairGenerator.initialize(Math.max(keySize, DEFAULT_KEY_SIZE), secureRandom);
        KeyPair keyPair = keyPairGenerator.genKeyPair();
        // 获取公钥并写出
        byte[] publicKeyBytes = keyPair.getPublic().getEncoded();
        publicKeyBytes = Base64.getEncoder().encode(publicKeyBytes);
        writeFile(publicKeyFilename, publicKeyBytes);
        // 获取私钥并写出
        byte[] privateKeyBytes = keyPair.getPrivate().getEncoded();
        privateKeyBytes = Base64.getEncoder().encode(privateKeyBytes);
        writeFile(privateKeyFilename, privateKeyBytes);
    }

    private static byte[] readFile(String fileName) throws Exception {
        return Files.readAllBytes(new File(fileName).toPath());
    }

    private static void writeFile(String destPath, byte[] bytes) throws IOException {
        File dest = new File(destPath);
        if (!dest.exists()) {
            dest.createNewFile();
        }
        Files.write(dest.toPath(), bytes);
    }
}

                                        

mine_wz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
16. 无状态登录
baihehaitangyijiu的博客
07-14 708
状态登录 用户信息保存在session中,如果集群,则每次都要登录,session共享,则每个服务器都要存这个session,浪费内存。 单点登录状态登录 用户首次登录,授权中心给予一个令牌token,请求拿着令牌再去访问其他微服务。 拦截篡改 可逆base64算法, 可逆:明文经过算法得到密文,密文讲过算法得到明文。 不可逆MD5算法,不可逆:明文进过算法得到密文,密文无法经过算法的到明文;只能通过明文经加密算法得到密文,得到密文是否一样来查看该明文是不是该密文。 jwt是token令牌的一种:包括
微服务统一登陆认证怎么做?JWT
u013085496的博客
11-23 1002
状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,...
[转载]无状态登录
qq_40418720的博客
03-06 379
前段时间在黑马程序员上看到的处理无状态登录的场景,觉得的确说的不错。分享一下。 1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下...
状态和无状态登录
Java后端技术栈
04-26 269
传统上用户登陆状态会以 Session 的形式保存在服务器上,而 Session ID 则保存在前端的 Cookie 中;而使用 JWT 以后,用户的认证信息将会以 Token 的形式保存在前端,服务器不需要保存任何的用户状态,这也就是为什么 JWT 被称为无状态登陆的原因,无状态登陆最大的优势就是完美支持分布式部署,可以使用一个 Token 发送给不同的服务器,而所有的服务器都会返回同样的结果。有状态和无状态最大的区别就是服务端会不会保存客户端的信息。
shiro前后端分离场景无状态登录身份验证和授权
07-05
本文将深入探讨如何在这样的场景下,利用Apache Shiro实现无状态登录的身份验证与授权。Shiro是一个轻量级的安全框架,能够简化应用的安全管理。在这个DEMO中,我们将看到如何结合SpringBoot、MyBatis、JWT(JSON ...
封装swagger组件,提供全新UI以及无状态登录接口调用解决方案
最新发布
05-21
④ 如果是JWT状态登录,Swagger使用起来就没有那么丝滑了,因为JWT状态登录这种需要每次在请求的Header中带上TOKEN,Swagger可没那么只能给你登录接口返回的token带过去,这样就导致无状态session的情况下...
Node.js-实现无状态登录的OAuth微服务
08-10
在IT行业中,无状态登录和OAuth微服务是现代Web应用中的关键组件,特别是在Node.js环境中。让我们深入探讨这些概念以及如何使用Node.js来实现它们。 首先,无状态登录(Stateless Login)是一种设计模式,它遵循...
login-with:用于OAuth的无状态登录-微服务
02-02
用于“登录”功能的无状态身份验证微服务,支持: 推特 的GitHub Reddit 脸书 谷歌 领英 Instagram 混合器 Spotify Strava 苹果ID ...更多内容(欢迎PRs) 您可以使用或进行部署(有关强制性和可选环境变量,...
登录状态判断,使用状态模式
04-29
登录应用中,用户的状态主要有两种:未登录和已登录。在传统的编程方式中,我们会使用条件判断来处理这两种状态下的不同操作,如转发功能。例如: ```java if (!isLoggedin) { // 显示登录按钮,禁止转发 } else...
状态登录原理
weixin_46041343的博客
09-28 175
我们先介绍一下有状态登录原理: 1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客
状态登录和无状态登录的概念
随风而欲的博客
12-17 8727
1,这是有状态登录 缺点是什么? • 服务端保存大量数据,增加服务端压力 • 服务端保存用户状态,无法进行水平扩展 • 客户端请求依赖服务端,多次请求必须访问同一台服务器(如果集群了,相当于启动了多个tomcat,就需要在多个tomcat之间共享数据) 简单来说,用之前无状态登录的方式难以共享session,所以用单点登录 1.2.什么是无状态 服务器不保存用户的登录信息! 微服务集群中的每个服...
状态登录和无状态登录详解
weixin_43811057的博客
02-27 654
接下来如果用户希望访问某些资源,前端要向后端发起一个 HTTP 的请求,同时相应的 Cookie 也会跟随请求一起发送给服务器,而服务器取得 Cookie 以后就会去查找是否有 Session ID ,然后通过 Session ID 提取相应的 Session 来确定用户的身份与权限,如果 Session 与 ID 相符,同时用户的信息也能提供相应的权限,服务器就会认为这个用户已经登录了,随后资源信息就会通过 HTTP 响应给前端。当然也可以使用其他加密方式对用户信息进行加密作为无状态token来使用,
状态_无状态登录
weixin_46649054的博客
06-16 53
状态状态状态认证过程
乐优商城项目总结——11授权中心(JWT和RSA介绍)
胡辣汤麻辣烫的博客
08-01 546
状态登录 先了解一下什么叫无状态状态状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户...
状态及无状态登录
Leon_Jinhai_Sun的博客
05-12 205
状态登录 为了保证客户端cookie的安全性,服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展
分布式场景下的无状态登录解决方案-JWT+RSA(无编码)
weixin_43822958的博客
01-09 742
知识铺垫 有状态登录 即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 如:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。 然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点: 服务端保存大量数据,增加服务端压力(占用内存或数据库空间) 服务端保存用户状态,无法进行水平扩展(无法搭建集群) 客户端请求依赖
状态登录和无状态登录的区别
04-26
状态登录和无状态登录是两种不同的用户身份验证方式。有状态登录需要在服务器端存储登录用户的身份信息,如用户ID、角色等,这种信息存储在服务器的内存或数据库中,并与用户的请求一起发送到服务器,以便服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值