JWT使用

最新推荐文章于 2022-08-28 21:38:28 发布
最新推荐文章于 2022-08-28 21:38:28 发布
阅读量102 收藏
点赞数
分类专栏: 闲聊 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44718582/article/details/117946826
版权
JSONWebToken(JWT)是一种轻量级的身份验证规范,用于在用户和服务器之间安全地传递信息。JWT常用于授权和信息交换,其结构包括头部、载荷和签名三部分。生成JWT时,会存储用户信息并设置过期时间,之后可通过验证token有效性、判断过期和刷新token来管理用户会话。JWT工具类展示了如何生成、解析和验证JWT。
摘要由CSDN通过智能技术生成

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

为什么使用JWT?

获取用户信息方式对比:

以前:通过token从redis中获取用户信息

现在:直接从token获取用户信息

什么时候应该使用JWT(JSON Web Tokens)?

  • Authorization(授权): 这是使用JWT的最常见场景。用户登录后,以后每个请求都会包含JWT,允许用户访问该令牌的路由、服务和资源,开销小,并且可以轻松跨域使用
  • Information Exchange(信息交换):安全的在各方之间传递信息而言,JWT无疑是一种很好的方式。因为JWT可以被签名,例如使用公钥/私钥,你可以确定发送人就是它们所说的那个人;由于签名是使用头和有效负载计算的,你还可以验证内容有没有被篡改

JWT(JSON Web Tokens)的结构:

JWT由三个部分组成:

  • 头(Header)
  • 载荷(PayLoad)
  • 签名(Signture)

1.JWT头:

{
    "alg": "HS256",签名使用的算法
     "typ": "JWT",令牌类型,这里就是jwt
}

2.PAYLOAD有效载荷:

{
    "sub": "123456789",主题
    "name": "John Doe",自定义主题
    "iat": 1516239022,发布时间
}

PAYLOAD有效载荷中既可以存放一些已经定义过的字段,也可以自定字段

//payload预定义字段
iss: 发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

将这个对象同样使用BASE64URL加密并且与jwt以点号(.)隔开

3.VERIFY SIGNATURE 哈希签名

对jwt头和荷载信息使用指定算法进行哈希签名,确保数据的完整性,在签名算法中需要指定一个私钥,这个私钥只存储与服务器中,不能向用户公开;将生成的哈希签名作为第三部分与前两部分以点号隔开,就生成了一个完整的token

(token一般存储在cookie或local storage中)

使用JWT应该注意的几点:

  • 根据用户信息生成token
  • 可以从token中获取用户名、密码、过期时间、荷载
  • 验证token是否有效
  • 判断token是否失效
  • 判断token是否可以刷新
  • 刷新token
  • 生成失效时间

JWT工具类

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * JwtToken工具类
 */
@Component
public class JwtTokenUtil {
    private static final String CLAIM_KEY_USERNAME="sub";
    private static final String CLAIM_KEY_CREATED="created";

    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;

    /**
     * 根据用户信息生成token
     * @param userDetails
     * @return
     */
    public String generateToken(UserDetails userDetails){
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME,userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED,new Date());
        return generateToken(claims);
    }

    /**
     * 从token中获取登录用户名
     * @param token
     * @return
     */
    public String getUserNameFromToken(String token){
        String username;
        try{
            Claims claims = getClaimsFromToken(token);
             username = claims.getSubject();
        }catch (Exception e){
            username = null;
        }
        return username;
    }


    /**
     * 验证token是否有效
     * @param token
     * @param userDetails
     * @return
     */
    public boolean validateToken(String token,UserDetails userDetails){
        String username = getUserNameFromToken(token);
//        System.out.println("***************" + username);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /**
     * 判断token是否失效
     * @param token
     * @return
     */
    private boolean isTokenExpired(String token) {
        Date expireDate = getExpiredDateFromToken(token);
        return expireDate.before(new Date());
    }

    /**
     * 判断token是否可以被刷新
     * @param token
     * @return
     */
    public boolean canRefresh(String token){
        return !isTokenExpired(token);
    }

    /**
     * 刷新token
     * @param token
     * @return
     */
    public String refreshToken(String token){
        Claims claims = getClaimsFromToken(token);
        claims.put(CLAIM_KEY_CREATED,new Date());
        return generateToken(claims);

    }


    /**
     * 从token中获取过期时间
     * @param token
     * @return
     */
    private Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }

    /**
     * 从token中获取荷载
     * @param token
     * @return
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try{
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            e.printStackTrace();
        }
        return claims;
    }

    /**
     *根据荷载生成JWT TOKEN
     * @param claims
     * @return
     */
    private String generateToken(Map<String,Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512,secret)
                .compact();
    }

    /**
     * 生成token失效时间
     * @return
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

}

参考博客:

  • https://www.jianshu.com/p/99a458c62aa4
  • https://www.cnblogs.com/aaron911/p/11300062.html
诗若颜
关注
专栏目录
浅析JWT
qq_40623110的博客
05-01 327
浅析JWTJSON Web令牌的结构标头有效载荷默认提供的字段签名JSON Web令牌如何工作JSON Web令牌的问题和趋势 JSON Web令牌的结构 JSON Web令牌以紧凑的形式由三部分组成:表头.有效载荷.签名 标头 标头是一个描述JWT元数据的JSON对象,通常由两部分组成:令牌的类型和使用的签名算法。 使用Base64 URL算法将上述JSON对象转换成为字符串形成令牌的第一部分。...
php jwt使用案例,PHP JWT基础知识及其简单示例
weixin_39793189的博客
03-10 690
PHP JWT初识及示例一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之...
JWT(java web token)
LC的博客
12-08 731
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
一文你搞懂 JWT 常见概念 & 优缺点
程序员小明1024
07-13 2655
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
JSON WEB TOKEN
weixin_34273481的博客
03-19 744
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
JWT无状态登录+跨域问题
~
01-29 2760
1.无状态登录原理 1.1.什么是有状态? 用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务端,多...
JWT使用教程
m0_50202747的博客
08-28 1659
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
jwt使用详细讲解
weixin_42075258的博客
06-06 712
-JWT 实战教程 1.什么是jwt JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitall
SpringSecurity+JWT使用
qq_42218187的博客
03-20 1541
maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependen
史上最简单的JWT教程,看不懂来捶我!
只有变秃,才能更强
01-10 4428
JWT鉴权机制:我放狠话出去,看不懂尽管来捶我(反正你也锤不到,哈哈, 如果有不懂的可以留言一起交流学习,关注一哈,之后会更新Elasticsearch,cloud Java 的干货,一起学习,博客是在印象笔记的记录,copy出来样式有一些乱,见谅 1. JWT是什么? 1. JWT是一种基于JSON的令牌安全验证(在某些特定的场合可以替代Session或者Cookie) 2. JWT是什么...
jwt使用
qq_44039494的博客
04-02 390
jwt
Json的使用
qq_44718582的博客
07-22 1208
文章目录Json的使用什么是Json?Json数据结构如何使用Json? Json的使用 什么是Json? json是如今在开发中经常使用传递数据的一种方式。 Json数据结构 { //以key:value的方式储存 "name":"ws", "idCard":"123456789" } 扩展: Json的概念分为: json对象 json数组 json对象长这个样子: { "name":"ws", "idCard":"123456789" } jso
获取一个类的字段及方法
qq_44718582的博客
07-24 1162
文章目录获取某个类字段的两种方式获取某个类方法的方式 获取某个类字段的两种方式 getFields() getDeclareFields() getFields():获取某个类的公共字段(public),包括父类的字段 getDeclareFields():获得某个类所以声明的字段,即包括public,private,protected,但是不包括父类的声明字段。 用以上方法获取字段后,可以使用getName()和get(Object object)来获取字段名称和字段的值。 方法 作用
函数式编程
qq_44718582的博客
06-15 1132
函数式编程 什么是函数式编程? 函数式编程为jdk1.8新特性 有什么用? 代码优化方面。 java.util.function包下的四大Function: 函数 参数 Function 有入参,有出参(接受一个数据,返回一个数据) predicate boolean判断(接受一个参数,返回true或false) Consumer 只有入参,没有出参(接受一个数据,没有任何返回值) Supplier 没有入参,只有出参(无需参数,返回一个结果) 1.Function: p
# 【实习生/应届生】入职第一天要做什么?
qq_44718582的博客
05-28 960
【实习生/应届生】入职第一天要做什么? 本人:应届生(以我入职第一天做什么来写的) 我的大佬,给了我代码更新的工具:Jenkins Jenkins: Jenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行(这个比较抽象,暂且写上,不做解释)。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。常用
Java中反斜杠的理解
qq_44718582的博客
07-23 657
Java中反斜杠的理解 String a = "{\"boolean\":true,\"string\":\"string\",\"list\":[1,2,3],\"int\":2}" 当你需要的数据有双引号(""),例如:“name”, // 格式: \" + 字符串 + \" String b = " \" name \" "; System.out.println(b);// "name" ...
hertz jwt使用
最新发布
07-24
Hertz JWT 使用通常涉及到在 API 开发中对访问控制、身份验证和授权的管理。JWT (JSON Web Token) 是一种开放标准,用于安全地传输数据作为令牌,并可以在客户端和服务端之间进行验证。当结合 Hertz 框架使用时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值