Java学习四阶段-04 JWT技术分析与实践

最新推荐文章于 2023-05-17 17:11:00 发布
最新推荐文章于 2023-05-17 17:11:00 发布
阅读量145 收藏 1
点赞数
分类专栏: Java学习四阶段 文章标签: java JWT
原文链接:https://blog.csdn.net/maitian_2008/article/details/118981001
版权

JWT简介

背景

在传统的有状态服务应用中,服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。例如登录:用户登录后,我们把用户的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步有浏览器自动完成),我们就能识别到对应session,从而找到用户的信息。这种方式目前来看最方便,但在分布式应用中,由服务端保存用户状态不是一种很好的选择,因此JWT诞生

JWT概述

JWT(JSON WEB Token)是一个标准,借助JSON格式数据作为WEB应用请求中的令牌,进行数据的自包含设计,实现各方安全的信息传输,在数据传输过程中还可以对数据进行加密,签名等相关处理。同时JWT也是目前最流行的跨域身份验证解决方案(其官方网址为:https://jwt.io/)。可以非常方便的在分布式系统中实现用户身份认证。

JWT数据结构

JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名),其格式如下:

xxxxx.yyyyy.zzzzz

例如:

eyJhbGciOiJIUzI1NiJ9.eyJwZXJtaXNzaW9ucyI6InN5czpyZXM6Y3JlYXRlLHN5czpyZXM6cmV0cmlldmUiLCJleHAiOjE2MjY5MzIyNTksImlhdCI6MTYyNjkzMDQ1OSwidXNlcm5hbWUiOiJqYWNrIn0.SQrRS5nuID1Xv5GMvUgnr7xrVzB7GcRFrkNak-x16Mw

Header部分

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(简写HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。最后,将这个 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。

Payload部分

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT规范中规定了7个官方字段,供选用。
 iss (issuer):签发人
 exp (expiration time):过期时间
 sub (subject):主题
 aud (audience):受众
 nbf (Not Before):生效时间
 iat (Issued At):签发时间
 jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Signature部分

Signature 部分是对前两部分的签名,其目的是防止数据被篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

JWT快速入门

环境准备

第一步:创建项目,例如:

在这里插入图片描述
第二步,添加依赖,其pom.xml文件内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
       <artifactId>spring-boot-starter-parent</artifactId>
        <groupId>org.springframework.boot</groupId>
        <version>2.3.2.RELEASE</version>
    </parent>
    <groupId>com.cy</groupId>
    <artifactId>03-jt-security-jwt</artifactId>
    <version>1.0-SNAPSHOT</version>
    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--添加jwt依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
    </dependencies>
</project>

第三步:创建配置文件application.yml (暂时不写任何内容)
第四步:定义启动类,代码如下

package com.cy.jt;
@SpringBootApplication
public class SecurityJwtApplication {
    public static void main(String[] args) {
        SpringApplication.run(
                SecurityJwtApplication.class,
                args);
    }
}

第四步:运行启动类,检测是否可成功启动

创建和解析token

编写单元测试,实践Token对象的创建与解析,例如:

@Test
void testCreateAndParseToken(){
    //1.创建令牌
    //1.1定义负载信息
    Map<String,Object> map=new HashMap<>();
    map.put("username", "jack");
    map.put("permissions", "sys:res:create,sys:res:retrieve");
    //1.2定义过期实践
    Calendar calendar=Calendar.getInstance();
    calendar.add(Calendar.MINUTE, 30);
    Date expirationTime=calendar.getTime();
    //1.3定义密钥
    String secret="AAABBBCCCDDD";
    //1.4生成令牌
    String token= Jwts.builder()
            .setClaims(map)
            .setIssuedAt(new Date())
            .setExpiration(calendar.getTime())
            .signWith(SignatureAlgorithm.HS256,secret)
            .compact();
    System.out.println(token);
    //2.解析令牌
    Claims claims = Jwts.parser().setSigningKey(secret)
            .parseClaimsJws(token)
            .getBody();
    System.out.println("claims="+claims);
}

创建JWT工具类

为了简化JWT在项目中的应用,我们通常会构建一个工具类,对token的创建和解析进行封装,例如:

package com.cy.jt.security.util;
public class JwtUtils {
    /**
     * 秘钥
     */
    private static String secret="AAABBBCCCDDDEEE";
    /**
     * 有效期,单位秒
     * 默认30分钟
     */
    private static Long expirationTimeInSecond=1800L;
    /**
     * 从token中获取claim
     *
     * @param token token
     * @return claim
     */
    public static Claims getClaimsFromToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret.getBytes())
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            throw new IllegalArgumentException("Token invalided.");
        }
    }
    /**
     * 判断token是否过期
     * @param token token
     * @return 已过期返回true,未过期返回false
     */
    private static Boolean isTokenExpired(String token) {
        Date expiration = getClaimsFromToken(token).getExpiration();
        return expiration.before(new Date());
    }
    /**
     * 为指定用户生成token
     * @param claims 用户信息
     * @return token
     */
    public static String generateToken(Map<String, Object> claims) {
        Date createdTime = new Date();
        Date expirationTime = new Date(System.currentTimeMillis() + expirationTimeInSecond * 1000);
        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(createdTime)
                .setExpiration(expirationTime)
                .signWith(SignatureAlgorithm.HS256,secret)
                .compact();
    }
}

JWT在项目中的应用

AuthController 认证服务

定义AuthController用于处理登录认证业务,代码如下:

package com.cy.jt.security.controller;
@RestController
public class AuthController {
    @RequestMapping("/login")
    public Map<String,Object> doLogin(String username,
                          String password){
        Map<String,Object> map=new HashMap<>();
        if("jack".equals(username)&&"123456".equals(password)){
            map.put("state","200");
            map.put("message","login ok");
            Map<String,Object> claims=new HashMap<>();//负载信息
            claims.put("username",username);
            map.put("Authentication", JwtUtils.generatorToken(claims));
            return map;
        }else{
            map.put("state","500");
            map.put("message","login failure");
            return map;
        }
    }
}

ResourceController 资源服务

定义一个资源服务对象,登录成功以后可以访问此对象中的方法,例如:

package com.cy.jt.security.controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class ResourceController {
    @RequestMapping("/retrieve")
    public String doRetrieve(){
        //检查用户有没有登录
        //执行业务查询操作
        return "do retrieve resource success";
    }
    @RequestMapping("/update")
    public String doUpdate(){
        //检查用户有没有登录
        //执行业务查询操作
        return "do update resource success";
    }
}

TokenInterceptor 拦截器及配置

假如在每个方法中都去校验用户身份的合法性,代码冗余会比较大,我们可以写一个Spring MVC 拦截器,
在拦截器中进行用户身份检测,例如:

package com.cy.jt.security.interceptor;
import com.cy.jt.security.util.JwtUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
 * 令牌(token:ticker-通票)拦截器
 * 其中,HandlerInterceptor为Spring MVC中的拦截器,
 * 可以在Controller方法执行之前之后执行一些动作.
 * 1)Handler 处理器(Spring MVC中将@RestController描述的类看成是处理器)
 * 2)Interceptor 拦截器
 */
public class TokenInterceptor implements HandlerInterceptor {
    /**
     * preHandle在目标Controller方法执行之前执行
     * @param handler 目标Controller对象
     */
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        //http://localhost:8080/retrieve?Authentication=
        //String token= request.getParameter("Authentication");
        String token=request.getHeader("Authentication");
        //判定请求中是否有令牌
        if(token==null||"".equals(token))
            throw new RuntimeException("please login");
        //判定令牌是否已经过期
        boolean flag=JwtUtils.isTokenExpired(token);
        if(flag)
        throw new RuntimeException("login timeout,please login");
        return true;//true表示放行,false表示拦截到请求以后,不再继续传递
    }
}

拦截器编写好以后,需要将拦截器添加到spring mvc执行链中并设置要拦截的请求,可通过配置类完成这个过程,代码如下:

package com.cy.jt.security.config;
/**
 * 定义Spring Web MVC 配置类
 */
@Configuration
public class SpringWebConfig implements WebMvcConfigurer {
    /**将拦截器添加到spring mvc的执行链中
     * @param registry 此对象提供了一个list集合,可以将拦截器添加到集合中
     * */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
         registry.addInterceptor(new TokenInterceptor())
                 //配置要拦截的url
                 .addPathPatterns("/retrieve","/update");
    }
}

Postman访问测试

第一步:登录访问测试
在这里插入图片描述
第二步:进行资源访问测试,例如:

在这里插入图片描述

总结(Summary)

本章节重点讲解了JWT产生的背景,它的构成和项目中的基本应用,需要在实践中进行分析和理解.

重难点分析

  • JWT 诞生的背景?(分布式架构应用平台下无状态会话时,规范令牌(通票)数据格式)
  • JWT 规范定义的数据格式?(头,负载-详细内容,签名,思考一篇文章的构成,)
  • JWT 规范下JAVA相关API的应用?(jjwt依赖-Jwts)
  • 基于JWT规范下JAVA API 创建令牌,解析令牌

FAQ分析

  • JWT 是什么?(一种规范的数据格式)
  • JWT规范中的数据格式有几部分构成?(3部分,前两部分会进行Base64编码,最会基于签名算法加密)
  • JWT的负载(Payload-存储实际用户信息的部分)部分可以自定义吗?(Claims)
  • JWT令牌对象一般是在哪里创建?(服务端,可以创建令牌以后,响应到客户端)
  • JWT令牌假如要存储在客户端你会存储在哪里?(Cookie,localStorage,sessionStorage)
  • JWT令牌以怎样的方式有客户端传递到服务端?(请求参数,请求头)

Bug分析

  • 创建token和解析token时一定要相同的密钥
  • Token过期了
qq_43802023
关注
专栏目录
JWT 和 JJWT,别再傻傻分不清了!
WantFlyDaCheng的博客
10-19 599
点击关注公众号jwt是什么?JWTs是JSON对象的编码表示。JSON对象由零或多个名称/值对组...
一文读懂JWT+JAVA的两种实现方式
时光、疏离了记忆づ童话的博客
11-23 1428
在上文一文读懂Cookie、Session、Token中,我们已经了解到了Token,本文中,我们将详细介绍JWT并进行实现。 文章目录1、JWT概述2、JWT组成2.1 Header2.2 Payload2.3 Signature三、JWT的应用JWT的实现4.1 java-jwt实现4.2 采用JJWT实现: 1、JWT概述   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特.
Java Web JWT 使用教程
moments的博客
05-17 1014
通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
Java中详细使用JWT(JJWT
zhangshaopeng的博客
12-12 1万+
目录 1.什么是JWT 2.JWT什么时候去使用,有什么好处 3 JWT问题和趋势 4JWT的组成 头部 有效载荷 签名 4.java中使用 1.什么是JWT JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。...
SpringSecurity——整合JWT
qq_41297145的博客
12-30 2510
在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。自定义JwtFilter拦截器,
Java 开发-----汽车租赁管理系统(详细文档+视频+源码).rar
最新发布
04-10
本项目“Java开发-----汽车租赁管理系统”为我们提供了一个全面的学习实践平台,涵盖了软件工程的多个重要环节,包括需求分析、系统设计、编码实现、测试与维护等。下面,我们将深入探讨该系统的相关知识点。 1. ...
Java组件课程设计-基于SpringBoot的酒店管理系统.zip
08-05
- 通过实践,可以学习到如何将理论知识应用于实际项目,增强问题解决能力。 - 掌握系统设计和项目管理技巧,为未来职场生涯打下坚实基础。 这个基于SpringBoot的酒店管理系统展示了Java在企业级应用中的强大能力...
javapractice:backend-sprint引导Maven,前端-Vue项目
02-17
在本项目"javapractice:backend-sprint引导Maven,前端-Vue项目"中,我们主要探讨的是一个基于Java后端技术和Vue.js前端框架构建的应用程序。该项目利用Spring Boot作为后端开发框架,Maven作为项目管理和构建工具...
JAVA毕业设计 -校园订餐系统
03-21
"毕业设计"和"java"标签表明该项目是作为学习Java编程的学生在毕业前的一个重要实践任务,旨在检验其编程技能和解决问题的能力。Java是一种广泛使用的面向对象的编程语言,特别适合于开发Web应用程序,因此在这个...
Java毕业设计-基于springboot开发的大学生入学审核系统设计与实现-毕业论文(附毕设源代码).rar
03-06
总的来说,这个基于SpringBoot的大学生入学审核系统展示了Java后端开发的核心技术,涵盖了软件工程的完整流程,是学习实践Java Web开发的理想案例。通过深入研究此项目,开发者不仅可以掌握SpringBoot的使用,还能...
JWT详解、JJWT使用、token 令牌
xiao2431的专栏
09-22 5758
JWT及JSON Web Token,是一种在两方之间以紧凑、可验证的形式传输信息的方式。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
JWT使用
pscool的博客
11-02 3390
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
java加密工具类(jwt-RSA256算法)
秋风渡人
11-07 2837
【代码】java加密工具类(jwt-RSA256算法)
Java - JWT的简单介绍和使用
Zong_0915的博客
11-06 1万+
目前自己在做一个云直播个人项目,后端架构是微服务,目前准备用JWT来做Token的校验。借此机会来复习和学习一遍JWT的相关知识。
jwt 私钥_什么是 JSON Web Token(JWT
weixin_33648352的博客
01-03 288
什么是 JSON Web Token(JWT)?JSON Web Token (JWT) 作为一个开放的标准 (RFC 7519) 定义了一种简洁自包含的方法用于通信双方之间以 JSON 对象的形式安全的传递信息。因为有数字签名,所以这些通信的信息能够被校验和信任。JWT 可以使用秘钥(secret)进行签名 (使用 HMAC 算法) 或使用 RSA 或 ECDSA 算法的公钥/私钥对(publi...
Token详解
Shuo
09-22 1万+
描述了token和jwt,以及jwt的使用。
JWT & JJWT 的使用【 2022-01-30更新 】
m0_53964515的博客
01-24 3440
JWT 与 JJWT 开箱即食( jjwt 待优化中 )
Java开源工具库使用之JWT
十十办文武的博客
01-17 1512
官网介绍JWT 是什么?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和独立的方式,可以作为 JSON 对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是用数字签名完成的。jwt 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。虽然 JWT 也可以加密以提供各方之间的保密,但专注于签名 Token。签名 Token 可以验证其中包含的声明的完整性,而加密Token 可以向其他各方隐藏这些声明。
JWT介绍以及java-jwt的使用
热门推荐
oscar999的专栏
10-24 2万+
JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证. 简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。 JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。 JWT流程: htt.........
Java与SpringBoot驱动的仓库管理系统设计与实践论文
本文围绕SpringBoot+Vue技术栈,探讨了仓库管理系统设计与实现的过程,从需求分析到系统架构,再到具体技术选型和安全策略,旨在提供一套完整的、实用的解决方案,推动仓库管理的数字化转型,促进企业管理效率的提升...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值