java JWT

已于 2022-09-15 15:04:52 修改
阅读量656 收藏 1
点赞数
文章标签: java 服务器 开发语言
于 2022-09-15 14:52:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44970261/article/details/126871533
版权

JWT

Session

每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大
扩展性:用户认证之后,服务端做认证记录,如果认证的记录被保存在内存的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,响应的限制了负载均衡器的能力,也意味着限制了应用的扩展性
CSRF:因为是基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或会话信息。这也就意味着机遇tokent认证机制的应用不需要去考虑用户在哪一台服务器登陆了,这就为应用的扩展提供了便利
流程:
用户使用用户名密码请求服务器
服务器进行验证用户信息
服务器通过验证发送给用户一个token
客户端存储token,并在每次请求时附加这个token值
服务器验证token,并返回数据

JWT的构成

JWT是由三部分构成,将这三段信息文本用链接构成了JWT字符串。就像这样
“eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9
.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U”
第一部分我们称它为头部(header)第二部分我们称其为载荷(payload,类似于飞机上承载的物品),第三部分是签证(signature)

Header:

JWT的头部承载的两部分信息:
1.声明类型,这里是jwt
2.声明加密的算法,通常直接使用HMAC SHA256
完整的头部就像下面这样的JSON:
{
‘typ’:‘JWT’,
‘alg’:‘HS256’
}
3. 然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分 : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

Plyload:

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  1. 标准中注册的声明
  2. 公共的声明
  3. 私有的声明

标注中注册的声明(建议不强制使用)
① iss:jwt签发者
② sub:jwt所面向的用户
③ aud:接收jwt的一方
④ exp:jwt的过期时间,这个过期时间必须大于签发时间
⑤ nbf:定义在什么时间之前,该jwt都是不可用的
⑥ iat:jwt的签发时间
⑦ jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
公共的声明:
公共的声明可以添加任何的信息,一般添加用户的相关信息或其它业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密;
私有的声明:
私有的声明是提供者和消费者功能定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为名文信息。
定义一个payload:
{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}
然后将其base64加密,得到jwt的一部分
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

Signature:

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
A. header(base64后的)
B. payload(base64后的)
C. secred
这个部分需要base64加密后的header和base64加密后的payload使用“.”连接组成的字符串,然后通过header中声明的加密方式进行加secret组合加密,然后就构成了jwt的第三部分
var encodedString = base64UrlEncode(header) + ‘.’ + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, ‘secret’); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用“.”连接成一个完整的字符串,构成了最终的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服务器端的,jwt的签发也是在服务端的,secret就是用来进行jwt的签发和jwt的验证,所以它就是你服务端的私钥,在任何场景都不应该流露出去,一旦客户端得知这个secret,那就意味着客户端可以自我签发jwt了
应用 :
一般是在请求头里加入Authorization,并加上Bearer标注:
fetch(‘api/user/1’, {
headers: {
‘Authorization’: 'Bearer ’ + token
}
})

Jwt依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.6.0</version>
</dependency>

附工具类代码:

package com.dj.lam.utils;

import com.dj.lam.pojo.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.tomcat.util.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @program: lambda_demo
 * @description
 * @author: WYF
 * @create: 2019-11-10 14:43
 **/
@Configuration
public class JwtUtil {

    private static final String JWTKEY = "7786df7fc3a34e26a61c034d5ec8245d";





    /**
     * 由字符串生成加密key
     * @return
     */
    public static SecretKey generalKey(){
        String stringKey = JWTKEY;//本地配置文件中加密的密文7786df7fc3a34e26a61c034d5ec8245d Constant.JWT_SECRET
        byte[] encodedKey = Base64.decodeBase64(stringKey);//本地的密码解码[B@152f6e2
        System.out.println(encodedKey);//[B@152f6e2
        System.out.println(Base64.encodeBase64URLSafeString(encodedKey));//7786df7fc3a34e26a61c034d5ec8245d
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");// 根据给定的字节数组使用AES加密算法构造一个密钥,使用 encodedKey中的始于且包含 0 到前 leng 个字节这是当然是所有。(后面的文章中马上回推出讲解Java加密和解密的一些算法)
        return key;
    }


    /**
     * 创建jwt
     * @param user
     * @param ttlMillis 过期的时间长度
     * @return
     * @throws Exception
     */
    public static String createJWT(User user, long ttlMillis) throws Exception {//String id,
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        long nowMillis = System.currentTimeMillis();//生成JWT的时间
        Date now = new Date(nowMillis);
        Map<String,Object> claims = new HashMap<String,Object>();//创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        claims.put("id", user.getId());
        claims.put("username", user.getName());
        claims.put("password", user.getPwd());
        SecretKey key = generalKey();//生成签名的时候使用的秘钥secret,这个方法本地封装了的,一般可以从本地配置文件中读取,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
        String subject = user.getName();
        //下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder() //这里其实就是new一个JwtBuilder,设置jwt的body
                .setClaims(claims)          //如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                //.setId(id)                  //设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setIssuedAt(now)           //iat: jwt的签发时间
                .setSubject(subject)        //sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .signWith(signatureAlgorithm, key);//设置签名使用的签名算法和签名使用的秘钥
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            System.out.println(exp.toString());
            builder.setExpiration(exp);     //设置过期时间
        }
        return builder.compact();           //就开始压缩为xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx这样的jwt
        //打印了一哈哈确实是下面的这个样子
        //eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiJEU1NGQVdEV0FEQVMuLi4iLCJzdWIiOiIiLCJ1c2VyX25hbWUiOiJhZG1pbiIsIm5pY2tfbmFtZSI6IkRBU0RBMTIxIiwiZXhwIjoxNTE3ODI4MDE4LCJpYXQiOjE1MTc4Mjc5NTgsImp0aSI6Imp3dCJ9.xjIvBbdPbEMBMurmwW6IzBkS3MPwicbqQa2Y5hjHSyo
    }


    /**
     * 解密jwt
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception{
        SecretKey key = generalKey();  //签名秘钥,和生成的签名的秘钥一模一样
        Claims claims = Jwts.parser()  //得到DefaultJwtParser
                .setSigningKey(key)         //设置签名的秘钥
                .parseClaimsJws(jwt).getBody();//设置需要解析的jwt
        return claims;
    }

    /*public static void main(String[] args) throws Exception {
        JwtUtil util=   new JwtUtil();
        String jwt=util.createJWT("{id:100,name:xiaohong}", 60000);
        System.out.println(jwt);
        //eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiJEU1NGQVdEV0FEQVMuLi4iLCJzdWIiOiJ7aWQ6MTAwLG5hbWU6eGlhb2hvbmd9IiwidXNlcl9uYW1lIjoiYWRtaW4iLCJuaWNrX25hbWUiOiJEQVNEQTEyMSIsImV4cCI6MTUxNzgzNTE0NiwiaWF0IjoxNTE3ODM1MDg2LCJqdGkiOiJqd3QifQ.ncVrqdXeiCfrB9v6BulDRWUDDdROB7f-_Hg5N0po980
        Claims c=util.parseJWT(jwt);//注意:如果jwt已经过期了,这里会抛出jwt过期异常。
        System.out.println(c.getId());//jwt
        System.out.println(c.getIssuedAt());//Mon Feb 05 20:50:49 CST 2018
        System.out.println(c.getSubject());//{id:100,name:xiaohong}
        System.out.println(c.getIssuer());//null
        System.out.println(c.get("uid", String.class));//DSSFAWDWADAS...
    }*/
}
每时每刻123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java JWT
XY02120624的博客
02-17 443
Java JWT 笔记
java jwt jar包
06-15
Java JWT(JSON Web Token)是一种安全的标准,用于在各方之间传输信息作为安全的、自包含的令牌。JWT jar包,如jjwt.jar,是Java开发人员实现JWT功能的关键依赖库。这个jar包提供了处理JWT创建、验证和解析的类和...
JWT使用
pscool的博客
11-02 3040
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
java-jwt
qq_29799655的博客
05-15 1002
目录一. JWT 基础解释二. JWT Token 组成三. JavaJWT1. java-jwt2. jjwt-root三. 实际开发JWT 的使用 一. JWT 基础解释 先了解几个问题 JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果 SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依
JavaJWT技术解析与实践:安全高效的身份认证
最新发布
Innocence_0的博客
05-30 705
什么是JWT(JSON Web Token)?JWT是一种用于身份验证和授权的开放标准(RFC7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用中进行身份验证。JWT有什么好处,能干啥?轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。
什么是JWT(JSON WEB TOKEN)
weixin_34280237的博客
11-18 275
转自于:http://www.jianshu.com/p/576dbf44b2ae 什么是JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供...
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 845
什么是JWT
登录认证功能中的会话技术
m0_72167535的博客
04-08 352
如果用户没有登录,此时就不允许他执行相关的业务操作,直接给前端响应一个错误的结果,最终跳转到登录页面,要求他登录成功之后,再来访问对应的数据。输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。接下来,在后续的每次请求时,都会将Cookie的值,携带到服务端,那服务端呢,接收到Cookie之后,会自动的根据JSESSIONID的值,找到对应的会话对象Session。
java-jwt.jar
08-27
实现Java web token JWT所需的jar包,java-jwt.3.3.0.jar,可用于登录验证
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份认证和授权标准,它允许服务端为客户端生成一个令牌,这个令牌包含了用户的相关信息,且是...
java jwt 统一认证 demo
05-07
Java JWT(JSON Web Token)统一认证Demo是一个基于Java实现的JWT认证系统示例,它包含了必要的库文件和源代码,方便开发者快速理解和应用JWT技术。JWT是一种轻量级的身份认证和授权机制,常用于分布式系统中,以...
java-jwt:JSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
java中使用JWT
男儿当自强
01-04 7067
JWT:JSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
Java中基于JWT+拦截器实现的登录
weixin_48524022的博客
06-30 700
3.为实现所有接口进行登录校验,创建全局拦截器用于校验token。2.创建基于jwt生成、解析、校验token的工具类。4、将拦截器添加到SpringMvc中。6、验证其他接口是否有权限校验。
Java Web JWT 使用教程
moments的博客
05-17 660
通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
java生成、解析JWTjava-jwt
什么都干的派森
06-06 3254
JWT是token的一种,一个JWT字符串包含三个部分头部信息,一般不需要声明,默认为 HS256 签名算法和 JWT 令牌类型 2.Payload 包含一些默认字段,还可以自定义一些私有字段,但是不要放敏感信息 3.Signature 数据签名,对上面两部分进行数据签名,Header部分和Payload部分先进行base64Url编码,然后用英文句号拼接并加上一个自定义的secret字符串盐值进行HS256对称加密【也可以用其它算法或非对称加密】 4.组合 最后将 Header、Payload、Signa
Jwt选型和实现
qq_45317823的博客
02-19 496
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
Java基础之《JWT使用》
csj50的专栏
11-07 3353
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token。
javaJWT工具类
09-26
Java是一个用于处理JSON Web Token(JWT)的Java工具类库。它提供了一组简单而强大的API,可以轻松地生成、解析和验证JWT。 使用JavaJWT,您可以轻松地创建一个JWT并将其序列化为字符串,也可以将接收到的JWT字符串解析为一个JWT对象,并验证其签名和有效性。 下面是一个使用JavaJWT创建和解析JWT的示例代码: ```java import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; // 创建JWT Algorithm algorithm = Algorithm.HMAC256("your-secret"); String token = JWT.create() .withClaim("userId", 123) .withExpiresAt(new Date(System.currentTimeMillis() + 3600 * 1000)) // 设置过期时间为1小时 .sign(algorithm); // 解析JWT DecodedJWT jwt = JWT.require(algorithm).build().verify(token); int userId = jwt.getClaim("userId").asInt(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值