jwt的使用

已于 2022-10-03 02:41:45 修改
阅读量382 收藏
点赞数
分类专栏: jwt 文章标签: java
于 2022-04-02 11:13:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44039494/article/details/123897061
版权

学习目标

1.加密
2.签名

起源

session变jwt token?
session的意义就是解决http的无状态请求,标志出每个请求对应的在线状态的用户。
问题是什么?我们有的服务是需要认证授权才能访问的,也就是用户在我们这边注册过,是我们服务的用户我们才服务。但是web每次请求

1.为什么http要是无状态的?
答:因为之前的http是有状态的,那么服务器就需要维持保存浏览器的状态,而且不知道浏览器的状态是什么时候断开,也就是什么时候关闭浏览器,这回造成服务器不断维持客户端信息等等,造成资源浪费,性能下降。
所以设计http无状态,浏览器随时访问,而且不保存当前浏览器的会话的状态信息,充分利用资源和性能。 也就是每次请求都当成一个未注册的新用户对待。 此时无状态的http抵达服务器的时候,服务器并不知道是那个会话状态的用户发送的。

2.所以,怎么判断是哪个用户发来的呢?
答:因为每次请求都当初未注册的新用户,顾我们可以让每次http都携带上username和password,相当于 ”用户每次想要我们服务她的时候,都需要说一句’我是会员’“,而我们会微笑的面对他说”好的,我查查我们的会员本先哈“,之后如果是会员 ”你好,我来服务你了会员哥哥“

总结:
她每次声称自己是会员,我每次查会员表。这就是http的简化版工作理解。

jwt能做什么? 加密和签名
#1.授权
一但用户登录,每个后续请求将包括jwt,从而允许用户访问该令牌允许访问的路由,服务与资源。
#2.信息交换 (签名可以防伪造)
安全的传输信息。因为可以对jwt进行签名(例如,公钥和密钥),所以你可以确保发件人是他们的本人(防伪造)。而且签名可以通过计算,判断内容是否进行了修改。

jwt的结构

x.y.z
x y是base64编码,转成字符串,谁都可以解码,并不是加密原则
疑问:那不是不安全吗?拦截后,使用你的token进行操作

jwt 生成和验签解码


import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

import java.util.Calendar;

@SpringBootTest
class DemoApplicationTests {

    /***
     * 生成token
     */
    @Test
    void contextLoads() {
        //1.不用设置头部,使用默认base64
        //2.设置载荷
//            2.1用户信息(名称,角色,权限)
//            2.2token过期时间
        //3.设置密钥 sign+密钥

        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,2000);
        System.out.println(instance.getTime());
        String token = JWT.create()
//                .withHeader()头部不用设置,使用默认base64算法
                .withClaim("username", "小黑")
                .withClaim("userId", 21)
                .withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256("!@E#DFKJDKG"));
        System.out.println(token);

    }

    /***
     * 验签
     */
    @Test
    void vertify(){
        //1.创建验签器,需要 ‘加密算法和密钥’
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!@E#DFKJDKG")).build();
        //2.解码对象解码获取结构中数据
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NDg4Njc1MjcsInVzZXJJZCI6MjEsInVzZXJuYW1lIjoi5bCP6buRIn0.kgvAtcu7_WOGw_mSCmUqmBOyD8OaUUOAJWz5JHqvIcM");
        //3.通过解码对象获取jwt三大结构值
        //3.1 通过getClaims获取载荷信息值
        System.out.println(verify.getClaims().get("username").asString());
        System.out.println(verify.getClaims().get("userId").asInt());
        System.out.println(verify.getClaim("username").asString());
        System.out.println(verify.getHeader());
        System.out.println(verify.getSignature());
    }

}

jwtUtil

package com.example.shirodemo.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.Calendar;
import java.util.Date;
import java.util.Map;

public class JwtUtil {

    private static final Logger log = LoggerFactory.getLogger(JwtUtil.class);

    /**
     * 过期时间5分钟
     */
    private static final long EXPIRE_TIME = 5 * 60 * 1000;

    /**
     * 生成签名,5min后过期
     *
     * @param username 用户名
     * @param secret   用户的密码
     * @return 加密的token
     */
    public static String sign(Map<String,String> map, String secret) {
        //两种时间过期方式
//        第一种:
//        Calendar instance = Calendar.getInstance();
//        instance.add(Calendar.SECOND,2000);
//        第二种
//        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        Algorithm algorithm = Algorithm.HMAC256(secret);
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        String token = builder.withExpiresAt(date).sign(algorithm);
        return token;

    }

    /**
     * 校验token是否正确
     *
     * @param token  密钥
     * @param secret 用户的密码
     * @return 是否正确
     */
    public static boolean verify(String token, String username, String secret) {
        Algorithm algorithm = Algorithm.HMAC256(secret);
        JWTVerifier verifier = JWT.require(algorithm).withClaim("username", username).build();
        try {

            DecodedJWT jwt = verifier.verify(token);
        } catch (JWTVerificationException e) {
            return false;
        }
        return true;
    }

    /**
         * 获得token中的信息:无需secret解密也能获得
     */
    public static String getUsername(String token) {
        return getClaim(token, "username");
    }

    public static String getClaim(String token,String username){
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(username).asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}

报错

无法序列化没有参数的对象,因为json没有{}对象,没有纯花括号的对象。
在这里插入图片描述

火从木来
关注
专栏目录
JWT使用
m0_60385807的博客
11-17 6137
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt的介绍 1、jwt是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2、为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3、JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Ad
Laravel配合jwt使用的方法实例
01-19
测试使用的是Laravel5.5版本。 安装 composer require tymon/jwt-auth=1.0.0-rc.5 配置 生成配置 php artisan vendor:publish --provider=Tymon\JWTAuth\Providers\LaravelServiceProvider ...
JWT项目中用法
08-08
JWT原理:对登录和注册方法放行,用户名和密码验证正确后,服务端保存到redis缓存并设置有效期,返回给客户端userid和sessionid, 客户端自行保存(Cookie或者 h5的localStorage)。 其他接口统一拦截(header里的参数authorization 值为 userid_sessionid), 服务端到redis根据key:userid 取出根据 sessionid 与接收的客户端 sessionid验证是否一致。
JWT
weixin_43654482的博客
10-11 270
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "...
JWT详解及实战教程
最新发布
qq_63438013的博客
04-13 595
RFC 7519HMACRSAorECDSA---[摘自官网]# 1.翻译- 官网地址: https://jwt.io/introduction/- 翻译: jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名​# 2.通俗解释。
JWT的基本使用
weixin_45081813的博客
03-04 1万+
什么是JWT
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
在SpringBoot中使用JWT的实现方法
08-26
主要介绍了在SpringBoot中使用JWT的实现方法,详细的介绍了什么是JWTJWT实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT的简单使用
Sky~的博客
02-13 2346
依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 使用 package com.sky; import com.auth0.jwt
Python项目-Day26-数据加密-hash加盐加密-token-jwt
qq_37892223的博客
08-15 1123
Python项目-Day26-数据加密-hash加盐加密-token-jwt 数据加密 import hashlib pwd='a123456' #sha1的参数必须是二进制 temp=hashlib.sha1(pwd.encode()) print(temp.hexdigest()) hash加盐加密 导入加密函数 from werkzeug.security import ge...
JWT使用
偷得浮生半日闲
12-11 1073
1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 官网:https://jwt.io GitHub上jwtjava客户端:https://github.com/jwtk/jjwt 1.2.数据格式 普通的token:32位UUID ...
JWT利用
weixin_34393428的博客
10-10 213
参考文献:www.cnblogs.com/dliv3/p/7450057.html 工具:https://jwt.io/ JWT概念: JWT是用于网络间传递声明而执行一种基于JSON 的标准。JWT 提供了一种简单的方法,在彼此传递数据时,验证是由谁先创建了数据。JWT和cookie,session有点类似...
jwt 的简单使用
热门推荐
不懂一休
07-02 1万+
文章目录1、简介2、使用场景3、jwt 优势4、JSON Web Token 结构①、HEADER②、PAYLOAD③、SIGNATURE5、测试 JWT①、导包②、运行6、总结 官网 1、简介 JSON Web Token(JWT)是一个基于 RFC 7519 的开放数据标准,它定义了一种宽松且紧凑的数据组合方式,使用 JSON 对象在各应用之间传输信息(信息加密即 jwe,签名即 jws)。 2、使用场景 授权: 简单说就是生成 token (使用较多) 这是使用 JWT 最常见的场景。用户登录后
JWT全面解读、使用步骤
qq_32534441的博客
05-07 783
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。虫虫今天给大家介绍JWT的原理和用法。1.跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。1.用户向服务器发送用户名和密码。2.验证服务器后,相关...
gin jwt 使用
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和授权功能。JWT是一种用于在网络应用间传递信息的安全方法,它由三部分组成:header、payload和signature[^1]。 下面是在Gin框架中使用JWT的示例代码[^2]: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值