关于jwt token鉴权的一些理解

最新推荐文章于 2024-03-26 20:17:41 发布
最新推荐文章于 2024-03-26 20:17:41 发布
阅读量3.9k 收藏 6
点赞数 1
分类专栏: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44813090/article/details/104789916
版权

token 中文译 “令牌”,是一种由服务端生成的字符串,颁发给客户端使用的鉴权机制。
客户端获取到一个token后,以后无需带上用户名和密码,只需带上token即可。
身份认证论述:
HTTP是无状态协议,服务端并不清楚是谁请求了它,只有客户端带上用户的账号密码,服务端通过验证后才清楚到底是那个用户请求了它,本次请求完结后,再次请求又需要重新认证。
通用的解决办法是:用户第一次通过认证后,服务端生成一条记录,并将记录id放回给客户端,(类似与session_id),之后客户端每次请求带上这个id,服务端只需要检索这个id,找到了这条记录,就说明用户已经通过身份验证。
关于token认证的论述:
token认证的流程:用户第一次登录服务端,服务器根据用户的私有信息,时间戳,签名算法,私钥 通过算法生成token并返回给客户端,之后客户端请求只需要带上这个token即可,服务端只需对这个token进行解析,即可得知那个用户进行了操作。
私有信息: 一般为用户的信息,用户的标识等
时间戳: 当前时间
私钥: 这个比较重要,服务端自有信息。 生成token 解密时候需要它。就相当于一把锁的钥匙,用它锁上的信息,也只有用它才能解锁。不然客户端自己也可以生成token了
直接上代码:
在这里插入图片描述
JWTUtils.java

/**

  • ToKen工具类

  • JWT生成
    */
    @Component
    public class ToKenUtil {

    /**

    • 生成Jwt

    • 使用Hs256算法 私匙使用固定私钥

    • @param timeOut jwt过期时间

    • @return
      */
      public static String createJWT(long timeOut,Map claims) {

      //指定签名的时候使用的签名算法
      SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

      //生成JWT的时间
      long nowMillis = System.currentTimeMillis();
      Date now = new Date(nowMillis);

      //校验项
      claims.put(“admin”,true);

      //下面就是在为payload添加各种标准声明和私有声明了
      //这里其实就是new一个JwtBuilder,设置jwt的body
      JwtBuilder builder = Jwts.builder()
      //如果有私有声明,一定要先设置这个自己创建的私有的声明,
      // 这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
      .setClaims(claims)
      //设置jti(JWT ID):是JWT的唯一标识
      .setId(UUID.randomUUID().toString())
      //iat: jwt的签发时间
      .setIssuedAt(now)
      //JWT的主体。
      .setSubject(UUID.randomUUID().toString())
      //设置签名使用的签名算法和签名使用的秘钥
      .signWith(signatureAlgorithm, JwtConstants.SECRET);
      if (timeOut >= 0) {
      long expMillis = nowMillis + timeOut;
      Date exp = new Date(expMillis);
      System.out.println(new SimpleDateFormat(“yyyy-MM-dd HH:ss:mm”).format(exp));
      //设置过期时间
      builder.setExpiration(exp);
      }
      return builder.compact();
      }

    /**

    • 生成token
    • 超时默认5分钟
    • */
      public static String createJWT(Map claims){
      return createJWT(JwtConstants.TIME_OUT,claims);
      }

    /**

    • Token的解密

    • @param token 加密后的token

    • @return
      */
      public static Claims parseJWT(String token) {

      //得到DefaultJwtParser
      Claims claims = Jwts.parser()
      //设置签名的秘钥
      .setSigningKey(JwtConstants.SECRET)
      //设置需要解析的jwt
      .parseClaimsJws(token).getBody();
      return claims;
      }

    /**

    • 校验token

    • 异常为token过期

    • @param token

    • @return
      */
      public static Boolean isVerify(String token) {

      //得到DefaultJwtParser
      Claims claims = Jwts.parser()
      //设置签名的秘钥
      .setSigningKey(JwtConstants.SECRET)
      //设置需要解析的jwt
      .parseClaimsJws(token).getBody();

      if (claims.get(“admin”).equals(true)) {
      return true;
      }
      return false;
      }
      }

JwtConstants.java

/**

  • jwt相关配置
    */
    public class JwtConstants {

    //超时时间 60天
    public static long TIME_OUT = 1000 * 3600 * 24 * 60;
    //私钥
    public static String SECRET = “123456”;
    public static String TOKEN_KEY = “authentication”;
    //忽略的token验证
    public static List IGNORE_PERMISSION = CollectionUtil.newLinkedList("/api/login/getAccessToKen");

}

restApiInteceptor.java 拦截器

/**

  • Rest Api接口鉴权
    */
    public class RestApiInteceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    if (handler instanceof org.springframework.web.servlet.resource.ResourceHttpRequestHandler) {
    return true;
    }
    return check(request, response);
    }

    private boolean check(HttpServletRequest request, HttpServletResponse response) {
    if (JwtConstants.IGNORE_PERMISSION.toString().toUpperCase().contains(request.getServletPath().toUpperCase())) {
    return true;
    }
    final String authToken = request.getHeader(JwtConstants.TOKEN_KEY);
    if (authToken != null) {
    try {
    //验证token是否过期 包含验证jwt是否正确
    if(!ToKenUtil.isVerify(authToken)){
    throw new Exception();
    }
    } catch (ExpiredJwtException e) {
    //token超时
    RenderUtil.renderJson(response, LoginResponseData.toKenTimeOut());
    return false;
    }catch (Exception e) {
    //token解析失败
    RenderUtil.renderJson(response, LoginResponseData.invalidToKen());
    return false;
    }
    } else {
    //header没有带authentication字段
    RenderUtil.renderJson(response, LoginResponseData.noToKen());
    return false;
    }
    return true;
    }

}

webConfig.java

/**

  • web 配置类
    */
    @Configuration
    public class WebConfig implements WebMvcConfigurer {

    /**

    • 静态资源映射
      /
      @Override
      public void addResourceHandlers(ResourceHandlerRegistry registry) {
      /      *
      • 设置映射资源
      • */
        registry.addResourceHandler(uploadResourceHandler).addResourceLocations(“file:///” + uploadPath);
        //本应用
        registry.addResourceHandler("/assets/**").addResourceLocations(“classpath:/assets/”);
        }

    /**

    • 增加对rest api鉴权的spring mvc拦截器
      /
      @Override
      public void addInterceptors(InterceptorRegistry registry) {
      //对 /api/      * 的请求进行拦截
      registry.addInterceptor(newRestApiInteceptor()).excludePathPatterns().addPathPatterns("/api/**");

    }

    /**

    • RequestContextListener注册
      */
      @Bean
      public ServletListenerRegistrationBean requestContextListenerRegistration() {
      return new ServletListenerRegistrationBean<>(new RequestContextListener());
      }

    /**

    • ConfigListener注册
      */
      @Bean
      public ServletListenerRegistrationBean configListenerRegistration() {
      return new ServletListenerRegistrationBean<>(new ConfigListener());
      }

}

大概流程如下:
① 客户端第一次登录,服务器根据用户的私有信息 时间戳 签名串 私钥 过期时间 生成token并返回到客户端,之后客户端请求时带上token令牌
② 由于服务端每次接到请求都要认证,故此将认证逻辑推荐写入拦截器,并在webConfig配置中加入此拦截器,若不是springBoot工程,可在web.xml里配置
③ 服务端每次接收到请求后,对请求进行拦截,获取token信息后进行解析,若解析成功则通过过。
解析不成功大致有,token超时 无效的token(即不是服务端生成的token)

理解有误的地方可留言指教

别抢我蓝buff
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
auth认证相关 --token 深入了解
洋洋洋洋洋Vc 的博客
11-23 9839
Token 的简述 token 顾名思义就是一块令牌(临时的令牌),我们可将它理解为一种暗号,类似于对口号。这个令牌 token 是由服务器生产,一串字符串,然后会一式两份分别有客户端 与 服务器保管。 Token 的作用 token 可以免去从前标记用户登录的方式,不需要繁多的登录操作,请求端只需要携带 token 去访问服务器,服务器会根据 token 认证是否成功进行区别响应。 token...
Jwt 报错 : Cannot resolve method ‘parseClaimsJws‘ in ‘JwtParserBuilder‘
最新发布
上烟雨心上尘的博客
03-26 522
解决 Jwt 报错 : Cannot resolve method 'parseClaimsJws' in 'JwtParserBuilder'
问题的解决方案
啦啦啦的博客
01-25 1万+
一、横向越和纵向越定义:一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​ 横向越定义:攻击者尝试访问与他拥有相同限的用户的资源。Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表...
JWT初学-生成与解密
qq_34819372的博客
10-31 2459
JWT初学-简单了解一下 demo代码git地址 jwt的maven依赖 &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;...
验证令牌jwt_token
weixin_43704734的博客
06-04 676
1.创建maven项目 2.导入依赖 3.写测试类
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
Java Token登录验证 使用jjwt生成和解析JWT
CSDN_KONGlX的博客
11-16 1710
参考 JSON Web Tokens官网Libraries里有各种语言的推荐包jjwt的Github网址JWT官网里面star最多的,所以用了jjwt官方 生成和解析的例子前后端分离之JWT用户认证对JWT有详细的介绍Java安全验证之JWT实践 依赖 流程 登录成功后,在Java中生成Jwt,存入数据库,然后返回给前端;前端接收到Jwt,储存起来(cookie或localStorag...
JWT做登录以及Token工具类
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
03-10 822
引入依赖jar包 <!--jwt进行登录的依赖--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
基于springboot+oauth2.0+jwtToken认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
php实现JWT(json web token)实例详解
10-16
主要介绍了php实现JWT(json web token)实例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT--相当nice
08-14
用于授的一种流行方式,根据Richard的老师的授课总结
JWT
浮生Spider
12-13 247
前言: 以往服务器的方式大多是使用Session,在初次登陆系统后,用户的信息将会记录在session中,后续再次访问时,页面只需发送session即可,无需再次验证信息。 使用session验证的方式会有这样的一个问题:所有的登陆信息都存储在服务端,当访问量特别大的时候服务端的压力会比较大。并且在做单点登录或者分布式服务的时候,涉及如何实现session共享的问题。 什么是JWT? ...
登录认证(二)—— jwt封装token与解析
qq_38895905的博客
11-23 2462
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 这几天在学jwt,首先介绍一下关于jwt的定义及其优缺点,有人美玉在前我就直接发链接了。 什么是 JWT -- JSON WEB TOKEN——https://www.jianshu.com/p/576dbf44b2ae 在项目中加入jwt 首先在jar包中加入依赖 <..
Jwts.‘parser()‘ 已经过时了 & ‘setSigningKey(java.security.Key)‘ 已经过时了
weixin_48121276的博客
03-16 1684
Jwts.'parser()' 已经过时了
【网络安全】垂直越漏洞与代码分析
m0_59598029的博客
01-16 924
文章写完了之后,申请CVE有一些麻烦,不过好在还是申请到了ps 申请CVE前,已经提交了CNVD【一>所有资源获取
jwt
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-04 613
JWT (JSON Web Token) 是一种在网络应用中用于身份认证和授的开放标准(RFC 7519)。它是一种轻量级的 Token 格式,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT 通常在用户身份验证后生成,并可以在跨域和分布式环境中安全地传输和验证。头部(Header)包含了关于该 JWT 的元数据,如令牌的类型(“typ”)和签名算法(“alg”)等。载荷(Payload)
Token认证之Jwts原理及使用
piaolaoshi的博客
03-18 8720
Jwts的原理及具体使用方式
JWT单点登录
liu719900的博客
10-27 831
JWT的介绍: JWT也就是JSON Web TokenJWT),是目前最流行的跨域身份验证解决方案。 JWT的组成: 一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature). 1, Header {“typ”:“JWT”,“alg”:“HS256”} 这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;它...
基于springboot+oauth2.0+jwttoken认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token认证开发的后台接口是一种使用现代化技术实现的身份验证和授机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值