来来来,咱们聊一下 JWT。安全验证的知识 两篇文章就够了

最新推荐文章于 2024-05-11 10:03:47 发布
最新推荐文章于 2024-05-11 10:03:47 发布
阅读量873 收藏 3
点赞数 4
分类专栏: shiro安全框架 文章标签: 安全 安全验证框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52252193/article/details/124668867
版权

目录

1. 为什么要用 JWT ?

认证

2.什么是 JWT

3. JWT 的结构

3.1 标头

3.2 载荷

3.3 签名

4. JWT 的认证流程

5. JWT 的使用

6. JWT 工具类

7. JWT 案例

7.1 用户登录

7.1.1 创建 SpringBoot 项目

7.1.2 引入依赖

7.1.3 application.yml

7.1.4 创建用户表

7.1.5 用户实体类

7.1.6 Service 和实现类

7.1.7 Dao 和 mapper.xml

7.1.8 登录接口

7.1.9 测试

7.2 登录成功访问其他资源

7.2.1 创建拦截器

7.2.2 拦截器配置类

7.2.3 测试

Shiro安全框架【快速入门】及上手应用_是小晴晴呀的博客-CSDN博客

shiro 安全框架的讲解

1. 为什么要用 JWT ?

认证

在谈起 JWT 之前,我们先了解一下什么是认证

在登录淘宝、微博等软件或者网站之前,我们需要通过填写账号和密码来校验身份。认证是用来验证用户身份合法性的一种方式。

那我们登录成功之后,网站如何记录我们的身份信息呢?

前面我们在学习 servlet 的时候,知道了传统的系统主要是通过 session 来存储用户的信息。session 将用户的信息存储在服务端。

但是随着用户数量的增多,服务端就需要存一堆用户的认证信息,这种方式会不断增加服务端的压力。

如果是分布式系统,用 session 存储用户信息就太拘束了。因为分布式系统一般都会做负载均衡,如果这次认证成功了,那么意味着下次请求必须仍要访问这台服务器才能认证成功。

如果是前后端分离的系统就更难受了,因为前端代码和后端代码放在不同的服务器上,除了会增加服务器的压力,还会产生跨域等一系列问题,有点得不偿失。

那有没有一种工具能帮我们解决这些认证问题?

  1. 服务端不需要存储用户的认证信息
  2. 避免跨域
  3. 保证数据的安全性

JWT闪亮登场。

2.什么是 JWT

JWT 简称: JSON Web Token,又叫做 web 应用中的令牌。它可以帮助我们完成用户的认证、存储信息、加密数据等功能。

那什么是令牌呢?令牌就相当于古代的虎符。

古代将军要想调兵遣将,必须手持虎符。

而用户要想访问系统中的某些页面,在发起的请求中必须携带使用 JWT 生成的令牌。令牌校验通过了,方可访问系统。这里的令牌简称为 token

3. JWT 的结构

注:这里所说的 JWT 的结构,指的是用 JWT 生成令牌的结构,也就是 token 的结构。

令牌的结构组成:

    1. 标头(Header)
    1. 载荷(Payload)
    1. 签名(Signature)

令牌最终的样子是由这三部分组成的字符串:

Header.Payload.Signature

例如:

hjYGH1dajUU.dajhjksfiu2h27jjghg2.kjbhjkf982bhh2lk2

3.1 标头

标头是使用 Base64 编码将令牌类型签名算法经过加工后生成的一段字符串

标头包含两部分:

  • 令牌的类型:JWT(一般是默认的)
  • 签名算法:例如 SHA256、HMAC等
{
  "alg": "HS256",
  "typ": "JWT"
}

3.2 载荷

载荷主要存储一些自定义信息。它也是使用 Base64 编码加工后生成的一段字符串。

3.3 签名

签名是通过一个秘钥和标头中提供的算法再将标头和载荷进行加工后生成的一段字符串。例如:

4. JWT 的认证流程

  1. 用户点击登录,后台接收用户请求并根据账号和密码从数据库查询用户信息。用户若存在,则使用 JWT 生成 token 并返回给前台。用户若不存在,则返回错误信息。
  2. 前端在请求其他资源时将 token 放到请求头中。
  3. 后台从请求头中获取 token 信息,如果 token 校验失败,则返回错误信息。如果校验成功,就将业务数据返回给前端。

5. JWT 的使用

1.引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>
最低0.47元/天 解锁文章
是小晴晴呀
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT 简单使用
qq_45874216的博客
02-22 863
token 简单使用(常用于用户接口访问携带的请求头)
JWT的使用方法
Q36_524的博客
07-18 2563
欢迎各位大神给小弟指点指点,嘻嘻 内容说的不对还望指出来,一定及时改正! 1. JWT的使用 为什么使用JWT,而不使用session? 根据我的了解(大白话),传统session是保存在服务器中,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存,使用session的话用户每次访问都会携带sessionId去服务器中找它对应的session,找的到就验证成功,找不到就失败,证明没有登录,跳转到登录页面。 使用JWT的话,由于它是保存在浏览器本地的,不会占用服务器的内存,这是一点好处(.
推荐使用:jwt-decode - 简单易用的JWT解码库
最新发布
gitblog_00038的博客
05-11 812
推荐使用:jwt-decode - 简单易用的JWT解码库 项目地址:https://gitcode.com/auth0/jwt-decode 在现代Web开发中,JSON Web Tokens(JWTs)被广泛用于身份验证和授权,以确保数据的安全传输。为此,我们强烈推荐一个轻量级、易于使用的JavaScript库——jwt-decode。这个库能帮助你在浏览器环境中轻松解码Base64Url编码...
SpringBoot集成JWT实现token验证
qq_52178957的博客
03-26 674
1.token工具类 package com.zsy.util; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import com.zsy.pojo.User; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component
JWT学习
bluelimon的博客
05-20 310
什么是JWT JWT就是javawebtoken,JWT的主要作用是被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 流程: 1.用户通过账号密码访问服务器 2.服务器验证账号密码 2.服务器生成Token,并发送给浏览器 3.储存Token,并且每次请求都附加上Token 4.服务器验证Token,并返回数据 JWT的组成: JWT分为三个部分:head..
JWT简单介绍
weixin_51971817的博客
11-16 1463
JWT简单的介绍和使用
新闻文章E鹰新闻发布系统-eyingnews.zip
03-10
让我们深入探讨一下这个系统可能包含的关键知识点。 1. **新闻发布系统架构**:一个新闻发布系统通常由前端展示层、后端处理层和数据库组成。前端负责用户交互,展示新闻内容;后端处理数据请求,执行业务逻辑;...
jwt-auth-server
05-06
"mern-auth-jwt 使用JWT和刷新令牌编写有关身份验证的博客文章的代码" 描述了项目的核心功能。这里提到的"MERN-auth-jwt"可能是一个具体的项目或者教程,它利用JWT来处理用户认证,并且涉及到了刷新令牌。刷新令牌是...
商业编程-源码-多讯文章管理系统 v1.1.zip
06-23
同时,考虑到安全性,系统可能采用了身份验证(Authentication)和授权(Authorization)机制,如OAuth2.0或JWT,来保护用户数据和资源。 在部署和运维方面,系统可能支持云服务集成,如AWS或Azure,利用容器化技术...
商业编程-源码-明博静态新闻文章发布系统源码.zip
06-23
5. **权限与安全**:商业系统通常会涉及用户身份验证和授权机制,如OAuth、JWT(JSON Web Tokens)等,以确保只有授权的用户可以访问或修改数据。 6. **静态化技术**:考虑到“静态新闻”这一特性,系统可能使用了...
Python-awesomesafetycritical这是编写安全关键软件编程实践的资源列表
08-10
首先,我们要理解什么是安全关键软件。这类软件在运行时如果出现故障,可能导致严重后果,如医疗设备、航空航天系统或核电站控制系统。因此,它们的设计和实现必须遵循极其严格的标准和最佳实践。 在Python中,开发...
常用工具类之jwt的学习使用
weixin_53998054的博客
10-22 1158
jwt的使用
JWT的基本使用
年少不知曲中意,再听已是曲终人
05-12 511
文章目录一、jwt的第一个程序1、引入jwt依赖2、生成token3、根据令牌和签名解析数据4、常见异常信息二、jwt的工具类封装 一、jwt的第一个程序 1、引入jwt依赖 <!--jwt依赖--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</versio
JWT的简介和在Springboot中使用JWT进行加密+++=>工具类
m0_65041486的博客
08-21 1327
JWT简介+使用
JWT生成token以及验证token
CKQ_me的博客
06-06 3270
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 JWT的构成 jwt由三个部分组成 第一部分:头部(header),第二部分:playload(称为载荷),第三部分:signature(签证) ...
JWT使用及原理
weixin_47801020的博客
07-10 425
JWT原理及其使用
JWT Token 自动续期的解决方案
孤独的大佬
09-24 3669
后端 在登录接口中 如果校验账号密码成功 则根据用户id和用户类型创建jwt token(有效期设置为-1,即永不过期),得到A 更新登录日期(当前时间new Date()即可)(业务上可选),得到B 在redis中缓存key为ACCESS_TOKEN:userId:A(加上A是为了防止用户多个客户端登录 造成token覆盖),value为B的毫秒数(转换成字符串类型),过期时间为7天(7 * 24 * 60 * 60) 在登录结果中返回json格式为{“result”:“success”,“token”
JWT教程
u010913170的博客
05-19 935
jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名
Spring Security使用JWT验证用户的身份和权限
04-07
Spring Security是一个强大的安全框架,它提供了许多功能来保护应用程序。其中一个重要的功能是身份验证和授权。 JSON Web Token(JWT)是一种轻量级的身份验证和授权方案,它使用基于JSON的令牌来传输信息。JWT由...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是小晴晴呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值