若依学习笔记04——JWT

最新推荐文章于 2023-10-02 21:15:57 发布
最新推荐文章于 2023-10-02 21:15:57 发布
阅读量1.6k 收藏 5
点赞数 1
分类专栏: 若依相关 文章标签: 学习 java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45311457/article/details/126764858
版权

JWT是个啥

        官方是这么解释的:

        JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

  • 官网地址: https://jwt.io/introduction/

        通俗一点解释就是一个令牌,用于各方面之间的数据传输,以JSON的形式,传输的过程中还可以进行数据加密或者签名啥的操作。

        有篇文章总结的挺好,抄一下描述:

————————————————

        JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
        JWT 不加密的情况下,不能将秘密数据写入 JWT。
        JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
        JWT的最大缺点:由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或更改 token 的权限。即,一旦 JWT 签发,在到期之前就会始终有效,除非服务器部署额外的逻辑。
        JWT 本身包含认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
        为减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
————————————————
版权声明:以上这段总结为CSDN博主「johnny233」的原创文章,遵循CC 4.0 BY-SA版权协议。
原文链接:https://blog.csdn.net/lonelymanontheway/article/details/107373397

JWT的结构

        三段:JWT令牌 = Header.Payload.Signature

        1.标头(Header)

        一般有两部分:令牌的类型和所用的签名算法。这部分信息用Base64编码组成JWT结构第一部分。

        Base64是一种编码,并不是加密,是可逆的,编码后可以被翻译成原来的样子,所以内容并不安全。

        2.有效载荷(Payload)

        有效负载,包含声明。声明是有关实体和其他数据的声明(一般是用户和存放用户信息的)。也是用Base64编码组成JWT第二部分。

        3.签名(Signature)

        签名需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法进行签名。签名的作用是保证JWT没有被篡改过。

        base64(header) . base64(payload) . "#**$s@8ss"(秘钥) -----> 组成 Signature
同下
        HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret); -----> 组成 Signature

        由于使用的Base64编码,是可逆的编码方式,所以JWT并不安全,不应该在负载中加入任何敏感数据。JWT还经常用于设计用户认证和授权系统,甚至实现Web应用单点登录。

JWT特点

        输出三个由.分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递,与基于XML的标准相比,更加紧凑。

        简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,数据量小,传输速度快。

        自包含(Self-contained)负载中包含了所有用户所需要的信息,避免了多次查询数据库。

JWT在若依中的应用

后端/login接口

        前端获取userName、password、code验证码 后调用接口,整体改接口做以下步骤:

        1.验证身份(账号密码验证码三位一体)

        2.生成token

        3.保存用户登录态至Spring Security

安全配置:定义了基本的配置信息
framework.config.SecurityConfig

UserDetailsServiceImpl 用户验证处理类

登录接口的服务类
framework.web.service.SysLoginService

JWT拦截器,拦截令牌并校验信息
framework.security.filter.JwtAuthenticationTokenFilter

过程:

        1.SysLoginService 中调用UserDetailsServiceImpl校验用户的密码是否匹配以及用户账户状态,校验通过后返回UserDetails实例,该实例包含了用户的基本信息和菜单权限信息。
        2.调用tokenService.createToken(loginUser)生成token。

JWT生成过程:

  1. 生成uuid随机数,这个随机数用来做rediskey存储token。
  2. 生成一个token(无时效)。
  3. 拦截到的token如果距离失效在10分钟以内(可配置)就自动刷新有效期。

过滤器进行JWT令牌校验

/**
 * token过滤器 验证token有效性
 * 
 * @author sj
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter
{
    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
        {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }
}

        过滤器拦截所有请求并对JWT进行校验和刷新,详细过程:

        1.tokenService.getLoginUser(request); 从request中获取token并校验,如果校验通过就返回LoginUser对象
        2.校验LoginUser的token,如果再刷限期内就直接刷新
        3.将LoginUser封装到SecurityContextHolder中作为全局的用户登录状态
原文链接:https://blog.csdn.net/kouryoushine/article/details/110780053

临光Official
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
普通token登录验证和OAuth2.0应用场景(简述,之后有空再详写)
suixinsuoyu12519的专栏
02-03 1169
之前2月底特地看了很多关于token机制和Oauth2.0的文章。由于3月初到现在每天都很忙,所以一直没时间整理。今天其实也还是没时间。不过现大概写一些东西。后面有空在补上吧。之前忙着发现杯的作品提交材料,最近则是忙着Netty开发。 在正式介绍Token之前,先大致回顾一下Cookie和Session。(下面介绍跨度比较大,涉及内容不止Cookie和Session) 1. Cookie ​ Cookie一般是指客户端浏览器的Cookie,别的地方有没有Cookie我就不清楚了。Cookie可以用.
Spring安全框架——jwt的集成(服务器端)
12-21
新建用户表——users,并完成数据库增删查改 一、新建表 二、持久化映射,建立模型类,添加主键生成器 //指定生成器名称 @GeneratedValue(generator = "uuid2" ) @GenericGenerator(name = "uuid2", strategy = "org.hibernate.id.UUIDGenerator" ) 三、建立Dao层 package edu.ynmd.cms.dao; import edu.ynmd.cms.model.Users; import org.springframework.data.jpa.reposi
若依vue框架学习】2.JWT的token/权限认证
bijingrui的博客
06-24 1229
JWT 权限认证 相关内容
若依SpringSecurity + JWT
weixin_45876411的博客
11-01 2536
内网项目使用RBAC权限管理模式,一个角色上挂载了多个菜单信息,用户登录时根据用户账号查询用户所拥有的菜单,将菜单信息响应给前端进行渲染。此种方式对权限控制的粒度是最粗的,用户有这个菜单即认为用户可以访问这个菜单上的所有资源,并且用户访问菜单上的接口时没有对接口进行权限验证(即此接口用户是否有权限访问)。
若依框架】登录,token,自定义session,鉴权等前后端流程解读
kouryoushine的博客
08-13 1万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录及token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
若依的使用(JWT,ry是怎么践行JWT的呢?,ry认证出现问题如何处理的?,深入认证源码过滤器链)
weixin_54048131的博客
08-18 493
文件ResourcesConfig.java​​​​​​​/*** 跨域配置*/@Bean// 设置访问源地址// 设置访问源请求头// 设置访问源请求方法// 有效期 1800秒// 添加映射路径,拦截一切请求// 返回新的CorsFilter上面的配置可以让前端请求基本上是随便跨域了。
若依】开源框架学习笔记 08 - Token 验证 (JWT
MichelleChung的星球
06-03 1万+
在上一篇文章登录认证流程当中,登录认证通过后,最后一步是生成 token 返回给前端,因此这篇文章主要是对于 token 生成的一些整理。
05 【若依框架解读】登录认证JWTtoken验证机制
热门推荐
kouryoushine的博客
12-06 1万+
背景 今天讲下若依框架对于登录认证方面的实现,这个方面若依做的不算太好,如果项目中想用的话需要参考其他框架的实现,做的更好一些。 我建议是前后端放在一起来看,单纯看后端会比较无趣。 后端部分 /login 接口 userName password code 验证码 前端获取上面三个要素后调用接口,整体改接口做了下面几件事情 验证用户身份(账号密码+验证码) 生成token 保存用户登录态到spring security中 安全配置:定义了基本的配置信息 framework.config.Securi
若依框架】集成JWT
qq_42343593的博客
06-22 2646
1.JWT的运用场景: 适用与前后端分离, 适用于对外提供接口时(比如C#要调用Java的后台接口,为了保证接口的安全性,得先拿到token,再发起请求的时候带上token) 2.集成文档说明:(该文档来自若依官方) https://doc.ruoyi.vip/ruoyi/document/cjjc.html#集成jwt实现登录授权访问 3.RuoYi 4.6.1源码:(来自gitee) https://gitee.com/y_project/RuoYi 4.JWT集成所需代码: 链接: https://p
若依根据JWTToken验证token获取用户信息
Charygus的博客
07-19 3298
若依框架学习
若依后台管理系统RuoYiv2.4
08-04
一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适自己的。于是利用空闲休息时间开始自己写一套后台系统。如此有了若依管理系统。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错效率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。 您是否在找一套合适后台管理系统。 您是否在找一套代码易读易懂后台管理
JWT学习笔记
01-21
JWT学习笔记
JWT学习笔记1
08-03
背景了解户身份认证的种式、session验证1、客户端使户名和密码请求登录2、服务端接收请求,验证信息,成功后,在当前对话(session)保存相关数据,如户、
JAVA著名免费框架若依前后端分离项目详细部署文档
08-21
若依是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。 前端采用Vue、Element UI。 后端采用Spring Boot、Spring Security、Redis & Jwt。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限...
若依RuoYi框架剖析笔记,该笔记是在学习江南一点雨所录课程再结合自己的理解所写
02-18
4、登录(JWT) 5、数据源 6、限流 7、处理幂等性的思路与防止表单重复提交 8、数据权限 9、分布式事务解决方案(Seata) 10、分布式事务总结 11、自定义注解+AOP 12、权限中的概念梳理 13、登录.授权流程梳理 14、...
从零搭建若依(Ruoyi-Vue)管理系统(13)--登录和鉴权的实现
Gang-bb的博客
07-16 7030
文章目录1. 新建相关数据表3. 登录和鉴权处理逻辑3.1 状态码3.2 新增登录用户信息类3.3 UserDetailsServiceImpl3.3 token认证过滤器 JwtAuthenticationTokenFilter3.4 跨域过滤器配置3.5 退出处理类3.6. 注入Spring Security配置文件3.7 用户权限处理service SysPermissionService4. 登录接口实现4.1 新增用户接口4.2 生成验证码接口4.3 登录接口 本章结束后对应的节选代码文件:
基于JWT的RuoYi开发框架与EMQX的系统集成方法
最新发布
dongluyang2007的博客
10-02 315
RuoYi是一款基于Spring Boot、Spring Security和MyBatis的快速开发框架,它目前在中后台管理系统开发领域拥有大量的使用者。但是它当前缺少对websocket协议双工通信信道的支持,即长链接管理这块的功能比较弱。导致像实时通知(后台服务与前端的消息推送,异步通知),实时数据可视化(后端获取数据并推送到前端)等功能不好实现。本文介绍如果结合第三方消息代理服务器EMQX实现上述功能。
Ruoyi框架学习--JWT(JSON Web Token)
qq_39367410的博客
09-06 2133
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
若依RuoYi-Vue代码学习一---若依如何基于OncePerRequestFilter【Spring Security的过滤器】验证的token与用户信息
weixin_46037781的博客
11-25 4808
文章目录一、通过token获取用户信息二、验证token过期 一、通过token获取用户信息 代码位置:com.ruoyi.framework.security.filter.JwtAuthenticationTokenFilter 直接上代码: /** * token过滤器 验证token有效性 * 每个请求过滤器一次OncePerRequestFilter * @author ruoyi */ @Component public class JwtAuthenticationTokenFil
hutool jwt
08-12
Hutool是一个Java工具库,而JWT是一用于认证和授权的标准化方法。Hutool中提供了对JWT的支持,可以方便地进行JWT的生成、解析和验证操作。 要在Hutool中使用JWT,你需要添加Hutool的依赖包到你的项目中。具体使用方法如下: 1. 添加Maven依赖(如果你使用Maven构建项目): ```xml <dependency> ***</dependency> ``` 2. 创建JWT对象并设置相关参数: ```java // 密钥 String secret = "your_secret_key"; // 创建JWT对象 Jwt jwt = JwtUtil.createJwt() .setAlgorithm(JwtAlgorithm.HS256) // 设置算法 .setSecret(secret) // 设置密钥 .setPayload("your_payload") // 设置载荷(可以是一个JSON字符串) .setExpiresAt(DateUtil.offsetMinute(new Date(), 30)); // 设置过期时间 // 生成JWT字符串 String jwtStr = jwt.generate(); ``` 3. 解析和验证JWT: ```java // 解析JWT字符串 Jwt jwt = JwtUtil.parseJwt(jwtStr); // 获取载荷信息 String payload = jwt.getPayload(); // 验证JWT是否有效 boolean isValid = jwt.validate(); ``` 这样,你就可以在Hutool中使用JWT进行认证和授权操作了。希望能对你有所帮助!如果有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值