JWT的基础介绍

最新推荐文章于 2024-04-07 15:42:31 发布
最新推荐文章于 2024-04-07 15:42:31 发布
阅读量337 收藏 1
点赞数
分类专栏: 编程 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45443879/article/details/125594618
版权

前言

JWT主要是用于用户登录鉴权,传统的方法就是session认证。

http是无状态的协议,当有用户向系统使用账户名称和密码进行用户认证之后,下一次请求还要再一次用户认证才行。因为我们不能通过http协议知道是哪个用户发出的请求,所以如果要知道是哪个用户发出的请求,那就需要在服务器保存一份用户信息(保存至session),然后在认证成功后返回cookie值传递给浏览器,那么用户在下一次请求时就可以带上cookie值,服务器就可以识别是哪个用户发送的请求,是否已认证,是否登录过期等等。

session认证的缺点其实很明显,由于session是保存在服务器里,所以如果分布式部署应用的话,会出现session不能共享的问题,很难扩展。

JWT的介绍

JWT:Json Web Token 它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

 流程:

  • 用户使用账号、密码登录应用,登录的请求发送到Authentication Server。
  • Authentication Server进行用户验证,然后创建JWT字符串返回给客户端。
  • 客户端请求接口时,在请求头带上JWT。
  • Application Server验证JWT合法性,如果合法则继续调用应用接口返回结果

用户信息是保存在客户端,关键在于生成JWT和解析JWT。

JWT的数据结构

JWT一般是这样的字符串,分为三个部分,以"."隔开。

xxxxx.yyyyy.zzzzz

Header:第一部分是头部分,描述JWT元数据的Json对象

{
    "alg": "HS256",
    "typ": "JWT"
}

 alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256),typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

Payload:第二部分是Payload,也是一个Json对象,除了包含需要传递的数据,还有七个默认的字段供选择。

分别是,iss:发行人、exp:到期时间、sub:主题、aud:用户、nbf:在此之前不可用、iat:发布时间、jti:JWT ID用于标识该JWT。

如果自定义字段,可以这样定义:

{
    //默认字段
    "sub":"主题123",
    //自定义字段
    "name":"java技术爱好者",
    "isAdmin":"true",
    "loginTime":"2021-12-05 12:00:03"
}

JSON对象也使用Base64 URL算法转换为字符串保存。

Signature:第三部分是签名。是这样生成的,首先需要指定一个secret,该secret仅仅保存在服务器中,保证不能让其他用户知道。然后使用Header指定的算法对Header和Payload进行计算,然后就得出一个签名哈希。

JWT的优点:

  • json格式的通用性,所以JWT可以跨语言支持,比如Java、JavaScript、PHP、Node等等。
  • 可以利用Payload存储一些非敏感的信息。
  • 便于传输,JWT结构简单,字节占用小。
  • 不需要在服务端保存会话信息,易于应用的扩展。

使用JWT 

导入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

创建工具类,用于创建jwt字符串和解析jwt


import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;

import java.util.Date;

/**
 *
 * @description JWT:令牌token生成
 */
public class TokenUtil {

    // token有效期
    private static final long EXPIRATION = 86400L;//1day = 86400L

    /**
     *
     * @description 创建token工具方法
     */
    public static String createToken(User user) {
        JwtBuilder builder = Jwts.builder();
        builder.setAudience(user.getUserCode()) // 这个user.getUserCode()是我后续需要的参数
                .setIssuer("xxx")
                .claim("userId", user.getId()) // userId 是我自己后续需要的参数,这个根据自己的需求进行设置
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION * 1000));
        String accessToken = builder.compact();
        return accessToken;
    }

    /**
     * 
     * @description 验证token返回用户code
     */
    public static String validateToken(String token) {
        Claims claims = Jwts.parserBuilder().build().parseClaimsJwt(token).getBody();
        String userCode = claims.getAudience();
        return userCode;
    }

    /**
     * 
     * @description 验证token返回用户ID
     */
    public static String getUserIdFromToken(String token) {
        Claims claims = Jwts.parserBuilder().build().parseClaimsJwt(token).getBody();
        String userId = claims.get("userId", String.class);
        return userId;
    }
}

有些微修改,我这里没有使用到第三部分。
链接:https://www.zhihu.com/question/485758060/answer/2257869896

小朋友哈哈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java基础之《JWT使用》
csj50的专栏
11-07 3274
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token。
JWT基础学习知识
wangjingyuing的博客
11-04 240
JWT基础知识学习
有了阿里技术官的加持,我终于做到一问说清微服务JWT鉴权了
最新发布
2401_83411843的博客
04-07 300
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims。创建测试类,并设置测试方法:创建token:@Test//当前时间.setId(“888”) //设置唯一编号.setSubject(“雄哥666”)//设置主题 可以是JSON数据.setIssuedAt(new Date())//设置签发日期.setExpiration(date)//设置过期时间。
JWT快速入门
随便起个不重复的名字
09-21 2509
1.什么是JWT     Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源, 也可以增加一些额外的其它业务逻辑所必须的声明信
JWT快速入门及理论知识
孤星的博客
04-14 1351
什么是JWT规范? JWT规范将一个token分为3部分,分别是标头(header)、载荷(payload)、签名(verify signature)三部分并以.进行分割,也就是说一个符合JWT规范所生成的token格式应当如下: xxxxx.yyyyy.zzzzz tip:JWT官网:https://jwt.io/ 标头(header) 标头首先是一个JSON,通常包含两部分。分别是代表令牌类型和所使用的签名的加密算法的typ和alg, 例: { "alg": "HS256", "typ": "J
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3787
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
jwt 及springboot实现
身体,灵魂,技术。总要有一个在前进
03-25 1063
什么是JWT JSON Web Token 通过数字签名的方式,以json对象为载体,在不同服务中端之间安全的传递信息。 JWT作用 JWT最常见的场景是授权登录,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都会先进行JWT安全验证,通过之后再进行处理,例如公司进出时的工牌 JWT的组成 JWT总共由三部分组成,并用.拼接 例如 sakakhvhhjasvx5as6xsaxxs51a6.xasyjxsvaxsa6545sx6asxbahvxshsx1a+saxsxn
基于Token的身份验证之JWT基础教程
10-18
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准...下面这篇文章主要给大家介绍了关于基于Token的身份验证之JWT基础相关资料,文中通过示例代码的非常详细,需要的朋友可以参考下
layuimini-token:layuimini集成jwt实现token
04-30
layuimini集成jwt实现token介绍本项目是在layuimini项目的基础上增加jwt的token,感觉也挺多人用token的,注意项目只实现了iframe v2版集成token。原项目地址:解码jwt项目地址:拉取代码:iframe v2多tab版:git ...
Node.js的Koa实现JWT用户认证方法
01-02
本文介绍了Node.js的Koa实现JWT用户认证方法,分享给大家,具体如下: 一、前置知识 基于Token的身份验证 Koajs 中文文档 Koa 框架教程 二、环境 Microsoft Visual Studio 2017集成开发环境 Node.js v8.9.4...
ASP.NET程序设计基础
05-02
1. **身份验证**:ASP.NET支持多种身份验证方式,如Windows身份验证、Forms身份验证和基于Token的身份验证(如OAuth、JWT),确保只有经过验证的用户才能访问特定资源。 2. **授权**:通过角色和权限控制,ASP.NET...
jwt-api-server:使用节点5,Express和Waterline的参考JWT认证的API服务器
04-27
如果您想了解更多信息,我写了介绍JWT与基于cookie的会话相比如何工作;)配置代码就个人而言,我不喜欢我的应用程序具有太多魔力,并且更喜欢代码而不是配置。 我宁愿查看发生了什么,也不必遍历大量
JWT技术的简单使用
m0_58615792的博客
07-04 317
JWT介绍: JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 ​ 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在
详解 JWT 规范
一土宁的博客
05-26 3106
1 概述 JSON Web Token (JWT) 是一种用于在两个系统之间传输声明(Claims)的方式,它具有紧凑、URL 安全的特点。所谓“紧凑”,是指它本身教小,适用于空间受限的环境,如 HTTP 授权头和 URI 查询参数。 Claims 在JWT中被编码为一个JSON对象,作为 JSON Web Signature (JWS)结构的有效载荷 或 JSON Web Encryption (JWE) 结构的文本信息。 JWS/JWE 使用 MAC( Message Authentication Co
JWT简单介绍与使用
weixin_51980047的博客
07-27 2182
JWT简单介绍与使用
基于JWT的Token认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
JWT令牌前缀是什么
weixin_35751412的博客
02-15 434
JWT(JSON Web Token)令牌的前缀是 "Bearer"。Bearer令牌是OAuth 2.0授权协议的一种类型,用于授权访问受保护的资源,通常与JWT一起使用。Bearer令牌是作为HTTP协议头的Authorization字段的一部分发送的,例如: Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIi...
JWT简介
weixin_39268351的博客
12-17 117
Json Web Token(JWT)是一种比较流行的用于解决跨域身份验证的解决方案。 在服务器完成身份验证以后,会发送给客户端一个Json对象。在客户端再次和服务器端通信时,会将这个Json对象传给服务器,服务器依据Json对象进行身份验证。 为了防止信息泄漏和被篡改,这个Json对象是要做加密和签名的。 一个JWT,主要包含三个部分,用.分隔。 一、JWT头 元数据区,通常包含如...
初步理解JWT并实践使用
热门推荐
小山半白的博客
01-12 11万+
  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因...
JWT Token验证技术介绍
03-03
它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 JWT 使用的签名算法信息,例如 HMAC SHA256 或 RSA。载荷包含需要传输的信息,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值