JWT的学习笔记

已于 2022-04-07 23:27:14 修改
阅读量273 收藏 1
点赞数 1
文章标签: JWT
于 2022-04-07 23:21:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49137582/article/details/124029544
版权

认识JWT

官网:https://jwt.io/introduction

JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间以 JSON 对象的形式安全传输信息。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

为什么不用session

session对于分布式系统来说弊端过多,不方便集群应用。

  1. 所有的session都在服务端进行保存,当用户量不断增大的时候服务器的开销也会随之增大。
  2. 在一个应用的服务器有多台的情况下,针对一个用户,就必须在每台服务器上都维护一个相同的session,或者引入Redis等中间件对session进行统一的管理。

JWT认证流程

  • 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一 过程般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议) ,从而避免敏感信息被嗅探。
  • 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload (负载) , 将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同111. zzz . xxx的字符串。token head . payload. singurater
  • 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStor age或sessionStorage上,退出登录时前端删除保存的JWT即可。
  • 前端在每次请求时将JWT放入HTTP Header中的Authorization位。 (解决XSS和XSRF问题) HEADER
  • 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

JWT优势

  • 简洁(Compact): 可以通过URL, POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  • 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库
  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
  • 不需要在服务端保存会话信息,特别适用于分布式微服务。

JWT结构

令牌组成

  1. 标头(Header)

    • 标头通常由两部分组成:令牌的类型(即JWT) 和所使用的签名算法,例如HMAC SHA256或RSA。 它会使用Base64 编码组成JWT结构的第一部分。
    • 注意:Base64是- -种编码, 也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。
    {
    "alg": "HS256",
    "typ": "JWT"
}

  2. 有效载荷(Payload)

    • 令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用Base64编码组成JWT结构的第二部分

      {
    "sub": "1234567890",
    "name": "JoHn Doe",
    "admin": true
}

  3. 签名(Signature)

    • 前面两部分都是使用Base64 进行编码的,即前端可以解开知道里面的信息。Signature需要使用编码后的header 和payload以及我们提供的一个密钥,然后使用header 中指定的签名算法(HS256) 进行签名。签名的作用是保证JWT没有被篡改过
      如:
      HMACSHA256 (base64UrlEncode(header) + “.” + base64Ur1Encode(payload) , secret);
    • 签名目的
      最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再
      进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一 样的。
      如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不-样的。

  4. 因此JWT通常如下所示:xxxxx.yyyyy.zzzzz Header.Payload.Signature

    image-20220407145244728

  5. 放在一起

    • 输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,与基于XML的标准(例如SAML) 相比,它更
      紧凑。
    • 简洁(Compact)
      可以通过URL,POST参数或者在HTTP header 发送,因为数据量小,传输速度快
    • 自包含(Self-contained)
      负载中包含了所有用户所需要的信息,避免了多次查询数据库

    image-20220407145350084

JWT中的全部异常

  • JwtException 总异常
  • ClaimJwtException 获取Claim异常
  • ExpiredJwtException token过期异常
  • IncorrectClaimException token无效
  • MalformedJwtException 密钥验证不一致
  • MissingClaimException JWT无效
  • RequiredTypeException 必要类型异常
  • SignatureException 签名异常
  • UnsupportedJwtException 不支持JWT异常

简单使用JWT

官网查看:https://jwt.io/libraries

github仓库:https://github.com/auth0/java-jwt

image-20220407145634460

  1. 引入依赖

    <!-- java-jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

  2. 生成JWT令牌

    @Test
void contextLoads() {
    HashMap<String, Object> map = new HashMap<>();

    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.SECOND,200);//设定为200秒

    //生成令牌
    String token = JWT.create()
            .withHeader(map)//header 头有默认值,一般不需要改动
            .withClaim("userId", 21)//playload 设置用户id、用户名等
            .withClaim("username", "xiaochen")
            .withExpiresAt(instance.getTime())//指定令牌过期时间
            .sign(Algorithm.HMAC256("!qwe@[wef"));//签名
    //输出令牌
    System.out.println(token);
}

    image-20220407152635696

  3. 验证令牌

    @Test
    public void test(){
        //创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!qwe@[wef")).build();
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NDkzMTYyMTYsInVzZXJJZCI6MjEsInVzZXJuYW1lIjoieGlhb2NoZW4ifQ.2-9ihc9BELVNTU2iRwe1Ye8MHVBXoKlcQbCb3WNC8x4");
        
        System.out.println(verify.getClaim("userId").asInt());//获取userId
        System.out.println(verify.getClaim("username").asString());//获取username
        System.out.println("过期时间:"+verify.getExpiresAt());//获取过期时间
//        System.out.println(verify.getClaims().get("userId").asInt());
//        System.out.println(verify.getClaims().get("username").asString());
    }

    image-20220407152729518

封装JWT工具类

public class JWTUtils {
    private static final String SIGN="!qwe@[wef";//后面从数据库中获取

    /**
     * 生成token header.payload.sign
     * 由于header有默认值,所以我们可以不需要设置,如果有需要可以进行设置
     */
    public static String getToken(Map<String,String> map){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);//默认7天过期
        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();
        //playload
        map.forEach((k,v)->{builder.withClaim(k,v);});

        String token = builder.withExpiresAt(instance.getTime())//令牌过期时间
                .sign(Algorithm.HMAC256(SIGN));//签名

        return token;
    }

    /**
     * 验证token合法性,并返回DecodedJWT对象
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);

    }

//    /**
//     * 获取token信息方法
//     */
//    public static DecodedJWT getTokenInfo(String token){
//        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
//        return verify;
//    }
}

整合SpringBoot

基本原理

  1. 创建项目

  2. 引入依赖

    <!--        mybatis-->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>
<!--        druid-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.2.8</version>
        </dependency>
<!--        mysql-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

  3. 编写yml配置文件

    spring:
  # 数据库配置
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/jwt?useSSL=false&useUnicode=true&characterEncoding=utf-8&serverTimezone=Asia/Shanghai
    username: root
    password: root
    type: com.alibaba.druid.pool.DruidDataSource
# mybatis-plus配置
mybatis:
  mapper-locations: classpath:mapper/*.xml
  type-aliases-package: com.lzj.entity

logging:
  level:
    com:
      lzj:
        mapper:
          debug

  4. 新建jwt数据库

    image-20220407155956777

  5. 编写实体类、mapper、mapper.xml、service、serviceImpl、Controller等

    @Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private Integer id;
    private String name;
    private Integer password;
}

    @Mapper
public interface UserMapper {
    User login(User user);
}

    <?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.lzj.mapper.UserMapper">
    <select id="login" resultType="User" parameterType="User">
        select * from user where name=#{name} and password=#{password}
    </select>

</mapper>

    public interface UserService {
    User login(User user);
}

    @Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public User login(User user) {
        //根据接收用户名密码查询数据库
        User login = userMapper.login(user);
        if (login!=null){
            return login;
        }
        throw new RuntimeException("登陆失败");
    }
}

    @RestController
public class UserController {
    @Autowired
    private UserService userService;

    @RequestMapping("/user/login")
    public Map<String,Object> login(User user){
        System.out.println("用户名:"+user.getName());
        System.out.println("密码:"+user.getPassword());
        HashMap<String, Object> map = new HashMap<>();
        try {
            User userDb = userService.login(user);
            map.put("state",true);
            map.put("msg","认证成功");
        }catch (Exception e){
            map.put("state",false);
            map.put("msg",e.getMessage());
        }
        return map;
    }
}

  6. 测试下是否能够正常访问

    数据需要自己先去数据库中添加

    http://localhost:8080/user/login?name=lzj&password=123

    image-20220407163000225

  7. 编写controller,测试生成和验证token

    @RestController
public class UserController {
    @Autowired
    private UserService userService;

    @RequestMapping("/user/login")
    public Map<String,Object> login(User user){
        System.out.println("用户名:"+user.getName());
        System.out.println("密码:"+user.getPassword());
        HashMap<String, Object> map = new HashMap<>();
        try {
            User userDb = userService.login(user);

            HashMap<String, String> payload = new HashMap<>();
            payload.put("id", String.valueOf(userDb.getId()));
            payload.put("name", userDb.getName());
            //生成JWT的令牌
            String token = JWTUtils.getToken(payload);

            map.put("state",true);
            map.put("msg","认证成功");
            map.put("token",token);//响应token
        }catch (Exception e){
            map.put("state",false);
            map.put("msg",e.getMessage());
        }
        return map;
    }

    @RequestMapping("/user/test")
    public Map<String,Object> test(String token){
        HashMap<String, Object> map = new HashMap<>();
        System.out.println("当前token为:"+token);
        try {
            DecodedJWT verify = JWTUtils.verify(token);//验证令牌
            map.put("state",true);
            map.put("msg","请求成功");
            return map;
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","token算法不一致");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效");
        }
        map.put("state",false);
        return map;
    }
}

image-20220407164724345

由于使用上述方式,每次都要传递token的数据,代码太冗余了,所以我们使用拦截器进行优化,分布式的系统中在网关中优化

使用拦截器进行优化

  1. 创建一个interceptors包

  2. 创建JWTInterceptor类

    注:这里是获取请求头中的token

    public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        HashMap<String, Object> map = new HashMap<>();
        //获取请求头中的令牌
        String token = request.getHeader("token");//所以前端需要将token放到请求头中
        
        try {
            JWTUtils.verify(token);//验证令牌
            return true;
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","token算法不一致");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效");
        }
        map.put("state",false);//设置状态
        //将map转为json 使用jackson
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(json);
        return false;
    }
}

  3. 创建拦截器配置类InterceptorConfig

    @Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")//对所有路径进行拦截
                .excludePathPatterns("/user/login");//这些路径放行
    }
}

  4. 在controller等层中如何获取token中的数据

    1.使用request获取请求头中的token

    2.使用我们封装好的JWTUtil工具类来获取DecodeDJWT对象

    3.获取token中我们存储的值

    @RequestMapping("/user/test")
public Map<String,Object> test(HttpServletRequest request){
    HashMap<String, Object> map = new HashMap<>();
    String token = request.getHeader("token");
    DecodedJWT verify = JWTUtils.verify(token);
    System.out.println(verify.getClaim("id").asString());
    System.out.println(verify.getClaim("name").asString());
    map.put("msg","请求成功");
    return map;
}

    image-20220407175350722

  5. 测试进行访问

    由于我们是获取请求头的数据,所以无法在游览器上进入(反正我是不知道该怎么访问),我们可以下载Postman来进行访问

    生成token

    image-20220407175556573

    测试访问

    image-20220407175707170

爱学习的大雄
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JWT学习笔记
dingwen
05-31 347
文章目录一、简介二、功能2.1 授权2.2 信息交换2.3与`Session`比较三、基于`Session`的认证3.1 方式3.2 流程3.3带来的问题四、基于`JWT`的认证4.1 流程4.2 优势五、`JWT`组成六、常见异常信息七、API八、案例8.1编写`JWT`工具类8.2 登录接口8.3 拦截器九、测试9.1 登录失败9.2 登录成功返回令牌9.3不携带令牌请求9.4携带错误令牌请求9.5正确令牌请求 一、简介 JWT是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在
jwt学习笔记
qq_63980959的博客
09-20 148
JSON网络令牌(JWT)是用于在系统之间发送加密签名的JSON数据的标准化格式。理论上,它们可以包含任何类型的数据,但最常用于发送关于用户的信息(“声明”),作为身份验证、会话处理和访问控制机制的一部分。与传统的会话令牌不同,服务器需要的所有数据都存储在JWT本身的客户端。这使得JWT成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。
JWT学习笔记1
08-03
背景了解户身份认证的种式、session验证1、客户端使户名和密码请求登录2、服务端接收请求,验证信息,成功后,在当前对话(session)保存相关数据,如户、
fe-note:前端学习笔记
05-03
前端学习笔记HTMLCSSJavaScriptECMAScriptWeb APIIndexedDBWebWorkerWebSocketVueVue 学习基础Vue 框架原理Vue 最佳实践VuexReactReact 基础React HooksTypeScriptTypeScript 基础浏览器BrowserDOMEventTarget微信...
若依RuoYi框架剖析笔记,该笔记是在学习江南一点雨所录课程再结合自己的理解所写
02-18
4、登录(JWT) 5、数据源 6、限流 7、处理幂等性的思路与防止表单重复提交 8、数据权限 9、分布式事务解决方案(Seata) 10、分布式事务总结 11、自定义注解+AOP 12、权限中的概念梳理 13、登录.授权流程梳理 14、...
Tingyu-Notes:一套开发级JAVA设计语言学习笔记。所有笔记已更新于微信公众号
05-13
A Wonderful learning-Java-Blog一套开发级JAVA设计语言学习笔记。所有笔记已更新于微信公众号<汀雨笔记>:red_heart:资源较多已同步到gitee: 2021-1-29 |:sparkles: 特性:rainbow: 鉴权-安全:gear: 操作系统:...
Jwt学习笔记
weixin_52064390的博客
06-10 108
JWT学习笔记一、概述二、JWT构成 一、概述 ①早期:使用单一的服务器使用Session 缺点:单点性能压力,无法扩展 ②中间:应用WEB集群,Sesssion共享的方式 Session共享指不同服务之间的SessionID对应的信息放在Session的共享的数据【一般都放在Redis数据库】是一致,从而使在服务A【登录用户信息的话】,那么在之后访问服务B同样也能【登录用户】。 ③后来:分布式,SSO(single sign on)模式 JWT就是专门使用算法来对Token加密解密。 二、JWT构成 下
JWT学习笔记(一)
信阳农夫的专栏
03-01 241
JWT介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
token-JWT学习笔记
程序猿劝退师的博客
12-02 574
目录 1. 常见的认证机制 2.基于 JWT 的 Token 认证机制实现 2.1.什么是 JWT 2.2JWT 组成 头部(Header) 载荷(playload) 签证(signature) 完整jwt 3.Java 的 JJWT 实现 JWT 3.1目录结构 3.2pom.xml文件引入 3.3项目中使用 JWTDemo JwtDemo2 JwtDemo3...
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
06-02
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
pd27.py1111111111111
最新发布
06-02
pd27.py1111111111111
234_基于微信小程序的车位预约系统的设计与实施-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯.txt
06-02
蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯
ipython-0.13.1-py2.7.egg
06-01
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
hutool jwt
08-12
Hutool是一个Java工具库,而JWT是一用于认证和授权的标准化方法。Hutool中提供了对JWT的支持,可以方便地进行JWT的生成、解析和验证操作。 要在Hutool中使用JWT,你需要添加Hutool的依赖包到你的项目中。具体使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱学习的大雄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值