JWT安全令牌在Web上的应用

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量3.1k 收藏
点赞数 22
文章标签: 安全 spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52592145/article/details/134542449
版权

JWT可以被用于在网络上安全地传输和验证信息,提供了一种简单而有效的方式来管理用户身份和权限。

在Web登录的时候,在Header上会携带自定义的字段。在后端上通过实现

HandlerInterceptor接口

重写preHandle方法
String token =  request.getHeader("Authoriztion");通过这个获取token

别忘了把拦截器注入到IOC容器里面交给spring管理

那么我们该如何生成密钥以及解密呢

下面是生成密钥的代码

void contextLoads() {
        Map<String, Object> claims = new HashMap<>();
        claims.put("id",1);
        claims.put("username","张三");
        String token =  JWT.create()
                .withClaim("user",claims)//添加载荷
                .withExpiresAt(new Date(System.currentTimeMillis()+1000*60*60*12))  //添加过期时间
                .sign(Algorithm.HMAC256("lgl.key"));//指定算法,配置密钥
        System.out.println(token);

    }

下面是解密的代码

void testParse(){
        String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MDA0MDE3MDN9.z2cTlo9NMGFwNwgGlLCqfd64txubM1UeNog0-8AxDFQ";

        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("lgl.key")).build();

        DecodedJWT decodedJWT = jwtVerifier.verify(token);  //验证token,生成一个解析后的JWT对象
        Map<String, Claim> claims =  decodedJWT.getClaims();
        System.out.println(claims.get("user"));
        //三种失败的原因:1.第一部分和第二部分被篡改 2.密钥不对 3.token过期
    }

我们生成的代码:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MDA0MDE3MDN9.z2cTlo9NMGFwNwgGlLCqfd64txubM1UeNog0-8AxDFQ

注意这里面有三个点,分别是

头部、有效载荷、签名

其中头部记录了令牌信息、签名算法等

有效载荷记录了携带的信息!!这部分没有进行加密,是可以被破解的,不要把重要信息放在里面

最后一部分是签名,是为了防止篡改,保证JWT的安全性,会加入第一和第二部分以及密钥通过签名算法得到。如何检测到被篡改或者token不对以及token过期,JWT都会抛出异常 

白日做梦0.0
关注
  • 22
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.NET Core 生成JWT令牌源码
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
jwt身份令牌数据处理 前后端分离式开发
Bugxiu_fu的博客
10-15 2035
jwt入门 jwt的理解 和基本使用控制用户登陆后台与前台分离部分实例
JWT令牌
weixin_41636858的博客
02-26 1434
JWT
SpringBoot篇】登录校验 — JWT令牌
小吉妙妙屋
11-29 8829
头部包含了令牌使用的加密算法信息,载荷包含了所需传输的用户信息,签名用于保证令牌的完整性和真实性,防止令牌被篡改。每次向服务器发送请求时,在请求的头部中携带该令牌,以便服务器对请求进行身份验证。服务器收到请求后,从请求头中提取JWT令牌,并进行解析和验证。用户向服务器发送登录请求,服务器进行身份验证,如果验证成功则返回一个JWT令牌给客户端。(相当于校验令牌,只要解析令牌不报错,就相当于校验jwt令牌正确)运行后发现,出现了jwt令牌
登录令牌JWT — JSON WEB TOKEN
Java厂长
01-20 2087
登录令牌JWT — JSON WEB TOKEN 关于作者 作者介绍 ???? 博客主页:作者主页 ???? 简介:JAVA领域优质创作者????、一名在校大三学生????、在校期间参加各种省赛、国赛,斩获一系列荣誉???? ???? 关注我:关注我学习资料、文档下载统统都有,每日定时更新文章,励志做一名JAVA资深程序猿????‍???? JWT简介 1、概述 传统的Web应用中,使用session来存在用户的信息,每次用户认证通过以后,服务器需要创建一条记录 保存用户信息,通常是在内存中。
Web-登录功能实现(含JWT令牌
y_k_j_c的博客
07-15 687
就是你比如复制一个url用一个未曾登陆对应url系统的浏览器访问他会先进入登陆页面登陆校验就是实现这个功能简而言之,就是不能让你直接访问内部数据,要先登陆才可以首先http协议是无状态的每次请求都是独立的而我们浏览器和web服务器之间就是http协议实现思路存一个登陆标记每个请求前有if判断对应队列标记登陆就正常执行,没有登陆就去登陆界面但是:这样太繁琐了所以我们使用统一拦截来做对应技术主要介绍登陆标记(会话技术)和统一拦截呗三部分之间用.隔开。
JSON Web 令牌JWT)攻击
weixin_42451330的博客
07-30 722
1.1 生成密钥:首先,需要生成一个密钥(secret key),这个密钥只有发送方和接收方知道。1.2 签名:在JWT中,要对头部和有效载荷进行签名,首先将头部和有效载荷进行Base64编码,得到两个字符串,分别记为header_base64和payload_base64。
JSON Web令牌(JWT)详解
weixin_56069070的博客
11-18 1133
前言 今天要分享的知识是JWT 码字不易,转载请说明!!! 目录 一、JWT出现的原因及工作原理 JWT是什么 为什么使用JWT JWT的工作原理 JWT组成 传统开发对资源的访问限制利用session完成图解 ​JWT所解决的问题及机制 JWT解决不需要登录就能直接访问的问题 web.xml:解决JWT问题的过滤器 JwtFilter.java:开启jwt令牌验证功能 UserAction .java:将jwt令牌塞入响应头 未登录就不能显示内容 并且报出4...
JWT令牌技术
不能再留遗憾了的博客
03-10 1160
JWT令牌技术实现用户登录信息的验证
一篇文章让你学会JWT令牌认证
Java是世界上最好的语言
12-18 1884
用户每次访问后台的时候,如果是一些需要认证的链接,都需要识别用户身份,比如用户抢单、用户中心等,在传统项目中用的是Session,但在微服务中不建议使用Session,使用JWT令牌。 1. 初识JWT JWT简称JSON Web Token ,也就是通过json形式作为web应用令牌,用在各方之间安全的将信息作为json对象传输,在数据传输过程中还可以完成数据加密,签名相关处理 。 JWT令牌作用: 身份授权:这是使用jwt的最常见方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该领牌
springboot-jwt-security:Spring Boot示例应用程序,使用JWT(Json Web令牌安全性身份验证来保护Rest Web Services
05-18
springboot-jwt-security Spring Boot示例应用程序,使用JWT(Json Web令牌安全性身份验证来保护Rest Web Services 登录(获取令牌) 访问Echo API 访问用户API 越权存取
JWT_tutorial:Json Web令牌教程
05-11
Json Web令牌教程 参见 已将Node NPM和Express与Postman一起使用。 文件结构: 应用程序/ ....楷模/ ..... user.js confing.js package.json server.js 使用以下方法创建您的软件包: npm初始化 将...
jwt:JWT CLI 和用于编码、解码和使用 JWT 令牌应用程序
07-24
还包括: 用于快速解码 JWT 令牌的单个 html 文件 Web 应用程序:可在在线您可以在获取 html 文件 - 使用安装从下载适用于您的操作系统的可执行文件适用于大多数平台:Windows、iOS、Linux 等替代安装(使用 Go):...
jwt:用于验证JSON Web令牌的Koa中间件
02-24
JWT身份验证中间件使用JWT令牌对调用方进行身份验证。 如果令牌有效, ctx.state.user设置ctx.state.user (默认情况下),并解码JSON对象,以供以后的中间件用于授权和访问控制。 检索令牌 令牌通常在HTTP标头( ...
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 135
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 364
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 401
Web应用防火墙的重要性
annotion用于jwt获取令牌
07-28
关于JWT的使用,它通常用于向Web应用传递一些非敏感信息,并且经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。在JWT中,不应该在负载中加入任何敏感的数据,因为JWT是可以被Base64解码的,如果敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值