JWT使用和讲解(保姆级)

最新推荐文章于 2024-05-12 11:01:38 发布
最新推荐文章于 2024-05-12 11:01:38 发布
阅读量820 收藏 18
点赞数 14
分类专栏: 后端功能 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53930044/article/details/135416200
版权

JWT使用和讲解(保姆级)

JWT

jwt的定义

JWT(JSON Web Token)是一种用于在网络上传递信息的开放标准(RFC 7519)。它是一种轻量级,自包含的令牌,常被用于在客户端和服务器之间传递身份信息。JWT可以通过数字签名验证,确保信息的完整性,并且由于其简洁性,易于在URL、HTTP头部以及HTTP请求参数中传递。

结构

JWT由三部分组成:

  • Header(头部)
  • Payload(载荷)
  • Signature(签名)

这三部分使用点(.)进行分隔,形成一个紧凑的字符串。

  1. Header(头部):包含令牌的源数据,签名算法(HMAC SHA256或RSA等)和令牌类型(JWT)。

    示例:

    {
  "alg": "HS256",
  "typ": "JWT"
}

    这段json数据将由Base64进行加密。

    Jwts.builder()
	.setHeader()		//一种是Header接口的实现,一种是Map
	.setHeaderParam() 	//向Header追加参数
	.setHeaderParams()	//向Header追加参数

  2. Payload(载荷):包含需要传递的信息,分为注册声明(registered claims)、公共声明(public claims)和私有声明(private claims)。注册声明包含了一些预定义的字段,如iss(签发者)、exp(过期时间)、sub(主题)等。公共声明包含了一些标准的字段,而私有声明则是用户自定义的字段。最终也会由Base64加密

    示例:

    {
  "sub": "1234567890",	// 注册声明
  "name": "John Doe",	// 公共声明
  "admin": true			// 私有声明
}

    registered claims(注册声明)

    这些是一组预定义的声明,它们并非强制性,而是推荐的,以提供一组有用的、可互操作的声明 。

    ​ 例子

    标准声明的字段有:
iss (issuer)		该声明的内容是JWT的签发者,标识谁签发了这个令牌。
sub (subject)		该声明的内容是JWT所面向的用户,标识该JWT所代表的主题。
aud (audience)		该声明的内容是JWT的受众,表示这个JWT预期的接收对象。
exp (expiration time)该声明的内容是JWT的过期时间,标识JWT令牌的有效期限。
nbf (not before)	该声明的内容是JWT的生效时间,表示在此时间之前JWT无效。
iat (issued at)		该声明的内容是JWT的签发时间,标识JWT的生成时间。
jti (JWT ID)		该声明的内容是JWT的唯一标识符,用于区分其他令牌。

    Jwts.builder()
	.setIssuer()	//jwt签发者
	.setSubject()	//jwt所面向的用户
    .setAudience()	//接收jwt的一方
    .setExpiration()//jwt的过期时间,这个过期时间必须要大于签发时间
    .setNotBefore()	//定义在什么时间之前,该jwt都是不可用的
    .setIssuedAt()	//jwt的签发时间
   	.setId()		//jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

    public claims(公共声明)

    公共声明,名称可以被任意定义。为了防止重复,任何新的Claim名称都应该被定义在IANA JSON Web Token Registry中或者使用一个包含不易重复命名空间的URI。

    private claims(私有声明)

    私有声明,是在团队中约定使用的自定义Claims,既不属于Registered也不属于Public。

    Jwts.builder()
	.setClaims()	//用于设置 JWT 的声明(Claims)部分,设置自定义的声明信息到 JWT 中。

    注意:对于已签名的Token,这些信息虽然受到保护,不会被篡改,但任何人都可以阅读。除非加密,否则不要将机密信息放在 JWT 的有效负载或头元素中

  3. Signature(签名):通过将头部载荷secret使用指定的算法进行加密生成的签名。签名用于验证消息的完整性,确保它没有被篡改。其中secret是存储在服务器端,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和验证,请勿泄露。

    示例:

    HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

JWT的使用

创建一个新项目,引入jwt包

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

JWT工具类:

public class JwtUtil {

    // 令牌秘钥
    private static final String secret = "secret";

    // 令牌有效期(默认60分钟)
    private static final Long expiration = 60 * 60L;

    /**
     * 随机码
     */
    public static String getUUID(){
        return UUID.randomUUID().toString().replaceAll("-","");
    }

    /**
     * 生成token
     * @param
     * @return
     */
    private static String getJwtBuilder(String subject) {
        SecretKey secretKey = generalKey();
        return Jwts.builder()									//这里其实就是new一个JwtBuilder,设置jwt的body
                .setSubject(subject)							//sub(Subject):代表这个JWT的主体,即它的所有人,是一个json字符串
                .setId(getUUID())								//设置jti(JWT ID):是JWT的唯一标识,根据业务需要
                .signWith(SignatureAlgorithm.HS256, secretKey)	//设置签名使用的签名算法和签名使用的秘钥
                .setExpiration(getExpirationDate())				//设置过期时间
                .compressWith(CompressionCodecs.GZIP)			//用于在创建 JWT 时启用 Gzip 压缩。这可以帮助减小
                												  JWT 字符串的大小,从而在传输过程中减少网络开销。
                .compact();
    }

    /**
     * 生成token的过期时间
     * @return
     */
    private static Date getExpirationDate(){
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 解析
     * @param token
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String token) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(token)
                .getBody();
    }
    
    /**
     * 生成加密后的秘钥 secretKey
     *
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(secret);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 获取当前token的用户信息
     * @param token
     * @return
     */
    public String getUsernameFromToken(String token){
        String username;
        try {
            Claims claims = parseJWT(token);
            username = claims.getSubject();
        }catch (Exception e){
            username = "";
        }
        return username;
    }

    /**
     * 根据用户信息生成token
     */
    public static String generateToken(User user) {
        return getJwtBuilder(JSON.toJSONString(user));
    }

    /**
     * 刷新token
     */
    public String refreshToken(String token) throws Exception {
        SecretKey secretKey = generalKey();
        String subject = Jwts
                .parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(token)
                .getBody().getSubject();

        // 验证用户信息
        User user = JSONObject.parseObject(subject,User.class);
        if (StringUtils.isEmpty(user)){
            return "";
        }
        return getJwtBuilder(JSON.toJSONString(user));
    }

}

在这里插入图片描述

在这里插入图片描述

下列是token

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ7XCJwYXNzd29yZFwiOlwiMTIzNDU2XCIsXCJ1c2VySWRcIjoxLFwidXNlcm5hbWVcIjpcImFkbWluXCJ9IiwiZXhwIjoxNzA0NDU0NTE0fQ.vSUc6NhZPHrH2mVz_6MdrvDHnAesuPZlQbOviF_atv4

img-vpdya7NQ-1704452110368)]

下列是token

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ7XCJwYXNzd29yZFwiOlwiMTIzNDU2XCIsXCJ1c2VySWRcIjoxLFwidXNlcm5hbWVcIjpcImFkbWluXCJ9IiwiZXhwIjoxNzA0NDU0NTE0fQ.vSUc6NhZPHrH2mVz_6MdrvDHnAesuPZlQbOviF_atv4

最后,在真实的项目中,一般是存放在请求头的Authorization,并加上Bearer标注最后是JWT(格式:Authorization: Bearer <token>)

三熙
关注
  • 14
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT使用
m0_60385807的博客
11-17 6234
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt的介绍 1、jwt是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2、为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3、JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Ad
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的...基于JWT.NET的使用详解,JWT是一种优秀的身份验证和授权的方式,可以广泛应用于web开发中。
JWT的基本使用
weixin_45081813的博客
03-04 1万+
什么是JWT
JWT 使用教程
weixin_43320796的博客
05-12 582
JSON Web Token (JWT)是一个开放标准(RFC 7519) ,它定义了一种紧凑和自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。此信息可以进行验证和信任,因为它是经过数字签名的。JWT 可以使用机密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。虽然可以对 JWT 进行加密,以便在各方之间提供保密性,但是我们将关注已签名的Token。签名Token可以验证其中包含的声明的完整性,而加密Token可以向其他方隐藏这些声明。
JWT(json web token)
努力学习,努力爱你!
07-22 1121
JWT,全称是JsonWebToken,是JSON风格轻量的授权和身份认证规范,可实现无状态、分布式的Web应用授权;https//jwt.iohttps我们最终可以利用jwt实现无状态登录在Web应用中,别再把JWT当做session使用,绝大多数情况下,传统的cookie-session机制工作得更好。...
JWT详解及使用
qq_59395271的博客
01-26 841
JWT通常用于在身份验证和信息交换方面进行安全的传输,例如在用户登录后生成一个JWT作为身份验证凭证,在客户端和服务器之间进行安全的信息交换。access token: 用于验证用户在系统中的身份和权限,并且在用户进行请求时,服务器会使用access token来验证用户的身份和权限,从而决定是否允许用户的请求。总之,JWT作为一种安全的传输方式,可以在各方之间传递信息并验证信息的真实性和完整性,因此在身份验证、授权和信息交换方面得到广泛应用。(主题):用于标识JWT的主体,即JWT所面向的用户。
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4200
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
详解JWT token心得与使用实例
10-16
JWT token 在现代 web 应用程序中广泛用于身份验证和授权,因为它提供了一种轻量的机制,可以在客户端和服务端之间交换信息。 1. **JWT Token 的组成**: - **头部(Header)**:包含两个主要部分,类型(typ)...
Django rest framework jwt使用方法详解
09-18
2. 存储和使用 JWT:客户端保存 JWT,并在后续请求中将其放入 `Authorization` 头部,如 `Authorization: Bearer <JWT>`。 3. 验证 JWT:服务器接收到请求后,验证 JWT 的签名,确认其有效性,然后处理请求。 ...
在SpringBoot中使用JWT的实现方法
08-26
在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是一种基于 token 的身份验证机制,可以...
jwt_obj:使用JWT声明创建对象的高混合
02-04
总的来说,`jwt_obj` 是 Crystal 开发者处理 JWT 的强大工具,它简化了 JWT 的创建、解码和验证过程,使得在 Crystal 应用中实现身份验证和授权变得更加便捷。通过熟练掌握这个库,你可以在构建安全、高效的 Web ...
JWT使用
pscool的博客
11-02 3014
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
JWT使用
m0_48114733的博客
07-28 460
JSON Web Token简称JWT,用于对应用程序上用户进行身份验证的标记。使用 JWTS 之后不需要保存用户的 cookie 或其他session数据,同时可保证应用程序的安全。JWT是经过加密处理与校验处理的字符串,形式为:A.B.C–A由JWT头部信息header加密得到–B由JWT用到的身份验证信息JSON数据加密得到–C由A和B加密得到,是校验部分–官方测试网站://生成token //1、准备数据 Map map = new HashMap();
JWT介绍及基本使用
weixin_60872974的博客
02-29 2629
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
jwt使用详解
u013029883的博客
08-10 1876
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
JWT全面解读、使用步骤
qq_32534441的博客
05-07 806
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。虫虫今天给大家介绍JWT的原理和用法。1.跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。1.用户向服务器发送用户名和密码。2.验证服务器后,相关...
JWT 详解与使用方法
weixin_74895237的博客
10-25 655
身份验证授权机制。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
drf中jwt使用和原理
最新发布
05-18
Django Rest Framework(DRF)是一种基于 Django 的 Web 应用程序开发框架,它提供了许多工具和库,使得开发 Web API 更加容易。JWT 是一种基于 JSON 的 Web Token,它用于在网络应用程序和服务器之间传递声明以使身份验证和授权更加安全。在 DRF 中使用 JWT 可以使得 API 更加安全。 JWT 由三个部分组成:头部、载荷和签名。头部通常包含算法和令牌类型的信息,载荷通常包含用户标识信息和令牌的过期时间,签名则是根据头部、载荷和密钥生成的。 DRF 支持 JWT 验证,可以使用第三方库 djangorestframework-jwt 来实现。实现方式如下: 1. 安装 djangorestframework-jwt ``` pip install djangorestframework-jwt ``` 2. 添加 JWT 相关配置到 settings.py 中 ``` REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ], } JWT_AUTH = { 'JWT_SECRET_KEY': SECRET_KEY, 'JWT_ALGORITHM': 'HS256', 'JWT_VERIFY_EXPIRATION': True, 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=30), } ``` 3. 在 urls.py 中添加 JWT 相关路由 ``` from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token urlpatterns = [ url(r'^api-token-auth/', obtain_jwt_token), url(r'^api-token-refresh/', refresh_jwt_token), url(r'^api-token-verify/', verify_jwt_token), ] ``` 4. 在需要验证的视图中添加 @jwt_authentication_classes 装饰器 ``` from rest_framework.decorators import api_view, permission_classes, jwt_authentication_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) @jwt_authentication_classes def my_view(request): content = {'message': 'Hello, World!'} return Response(content) ``` 以上是 DRF 中使用 JWT 的简单介绍,JWT 的原理是将用户标识信息和过期时间等信息进行编码,生成一个安全的 token,并将其传递给客户端。客户端在后续的请求中携带这个 token,在服务端进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值