JWT(Json web token)

已于 2022-12-15 18:05:54 修改
阅读量3.2k 收藏
点赞数
文章标签: json 前端 服务器
于 2022-10-23 15:09:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53957101/article/details/127475111
版权

1、什么是JWT?

官网地址: JSON Web Token Introduction - jwt.io 翻译: jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名 通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

2、JWT能做什么?

1.授权

这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

2.信息交换

JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。

注意:jwt跟session不一样,jwt存储在客户端,session存储在服务器端,服务器断电后session就没了,而jwt因为存储在客户端,所以就不会被影响,只要jwt不过期,就可以继续使用。

3、为什么是JWT呢?

1、传统的Session认证

认证方式:http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

暴露问题:1、认证之后服务端会保存session,用户增多会导致服务端开销较大。2、基于cookie来进行用户识别的,cookie被截获可能造成CSRF。3、前后端分离项目会更加痛苦。

2、JWT认证

认证流程图:

 

认证流程:

  1. 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。

  2. 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx的字符串。 token head.payload.singurater

  3. 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。

  4. 前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题) HEADER

  5. 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。

  6. 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

JWT优势:

  1. 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快

  2. 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

  3. 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。

  4. 不需要在服务端保存会话信息,特别适用于分布式微服务。

4、JWT结构是什么?

1、token组成成分

token string ====> header.payload.singnature token ​ 1、标头header ​ 2、有效载荷payload ​ 3、签名Singnature

2、标头header

header:标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法

3、有效负载Payload

令牌的第二部分是有效负载,其中包含声明。声明是有关实体 (通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分

4、签名Signature

Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过

5、简单使用JWT

步骤1.导入依赖

<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

步骤2.生成token

//加密获取token
@Test
public void testJwt() {
    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.SECOND, 90);
    //生成令牌
    String token = JWT.create()
            .withClaim("age",12)
            .withClaim("username", "张三")//设置自定义用户名
            .withExpiresAt(instance.getTime())//设置过期时间
            .sign(Algorithm.HMAC256("token!Q2W#E$RW"));//设置签名 保密 复杂
    //输出令牌
    System.out.println(token);
}

步骤3.token和签名解析数据

//根据token和签名解析
    @Test
    public void testJwt1(){
        String token="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NTkyNTE2MzgsImFn" +           "ZSI6MTIsInVzZXJuYW1lIjoi5byg5LiJIn0.vUTTBGuwZz5qUuB8UNVqHJsyd49b8REE4jb_NR1rm0c";
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(token);
        // 存的是时候是什么类型,取得时候就是什么类型,否则取不到值。
        System.out.println("用户名: " + decodedJWT.getClaim("username").asString());
        //根据你输入值的类型转化
        System.out.println("用户年龄:"+decodedJWT.getClaim("age").asInt());
        System.out.println("过期时间: "+decodedJWT.getExpiresAt());
    }

步骤4.分析常见异常

# 4.常见异常信息
SignatureVerificationException:     签名不一致异常
TokenExpiredException:              令牌过期异常
AlgorithmMismatchException:             算法不匹配异常
InvalidClaimException:          失效的payload异常

6. JWTUtils

/**
 * 令牌工具类
 */
public class TokenUtils {
​
    final static String issuer = "mga";
    final static String secret = "123456";
​
    static Algorithm algorithm = Algorithm.HMAC256(secret);    //创建一个HMAC256算法对象
​
    /**
     * 生成令牌
     * @param sign          标识
     * @param issuedTime    令牌创建时间
     * @param expiresTime   令牌过期时间
     * @return
     */
    public static String generate(Object sign, Date issuedTime, Date expiresTime) {
        String token = JWT.create()
                    .withIssuer(issuer)             //配置令牌创建者
                    .withIssuedAt(issuedTime)       //配置令牌创建时间
                    .withExpiresAt(expiresTime)     //配置令牌过期时间
                    .withClaim("sign", sign.toString())     //配置令牌携带标识
                    .sign(algorithm);               //完成签名,并生成token
​
        return token;
    }
​
​
    /**
     * 验证Token
     * @param token
     * @return 令牌携带标识,如果返回了正常的字符串,说明验证通过。如果返回null,说明验证未通过。
     */
    public static String verify(String token) {
        try {
            JWTVerifier verifier = JWT.require(algorithm).withIssuer(issuer).build();     //创建JWT验证器对象
            DecodedJWT decodedJWT = verifier.verify(token);
            String result = decodedJWT.getClaim("sign").toString();
            return result;
        } catch (Exception e) {
            System.err.println("Token '" + token + "' is not certified\t" + e.getMessage());
            return null;
        }
    }
​
}

我愿为一粒沙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
connect time out 获取token失败_springboot+jwt实现token登陆权限认证
weixin_39855796的博客
11-20 457
一 前言此篇文章的内容也是学习不久,终于到周末有时间码一篇文章分享知识追寻者的粉丝们,学完本篇文章,读者将对token类的登陆认证流程有个全面的了解,可以动态搭建自己的登陆认证过程;对小项目而已是个轻量级的认证机制,符合开发需求;更多精彩原创内容关注公主号知识追寻者,读者的肯定,就是对作者的创作的最大支持;二 jwt实现登陆认证流程用户使用账号和面发出post请求服务器接受到请求后使用私钥创建一个...
在线Base64加密
luo_fly的博客
04-28 1062
Base64加密(https://www.ffyonline.com/pageSingle/toolBase64En),好用的在线Base64加密工具,在线工具。
前端】前后端联合加密方案:让用户的数据安全不再依赖于服务商的信用
最新发布
Orthox1的博客
02-28 730
只能先暴力破解用户的原始密码,再根据原始密码和加密盐值算出加密散列,再解密用户存储在数据库里的的加密数据。4.登录成功时,用户从服务商数据库中取得加密盐值,在前端使用Bcrypt及“加密盐值”散列用户的密码,得到“加密散列”。如果使用随机(随机偏移量的CBC模式下的AES256、Bcrypt等)的加密方案,则无法确保每次生成的发送至后端的值都是相同的,导致无法验证的问题。作为服务提供者的本人也无法以除暴力破解外的方式获取用户的原始密码,这意味着一旦用户忘记密码,所有用户指定要加密的数据都无法恢复。
MyBatis中#{}和${}的不同之处是什么呢?
qq_25073223的博客
11-28 379
MyBatis中#{}和${}的区别说明
JWT : JSON Web Token & Python与Auth0与Tokens
yq&qy的博客
11-25 710
JWTJSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenJWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。。
JWT的使用
陆沉的博客
01-28 9100
概述 JSON Web TokenJWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然 JWT 可以加密以在各方之间提供保密性,但我们将专注于签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌会向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是签
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JWT-JSON Web Token實作分享1
08-08
JWT-JSON Web Token實作分享1
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
2021-11-04 jjwt(获取密钥、加密、解密)
不爱吃奶昔(zsl0)的博客
11-04 1005
jjwt(获取密钥、加密、解密)代码 代码 package com.zsl.util; import io.jsonwebtoken.*; import io.jsonwebtoken.io.Decoders; import io.jsonwebtoken.io.Encoders; import io.jsonwebtoken.security.Keys; import javax.crypto.SecretKey; import java.util.Date; import java.util.Has
使用Token进行身份验证
热门推荐
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
接收Request请求Bearer令牌参数
PHPer技术栈
06-06 4046
接收Request请求Bearer令牌参数
JWT---Json Web Token
龙梓琦的博客
04-22 1384
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
Apache ShenYu 网关JWT认证绕过漏洞 CVE-2021-37580
qq_42430287的博客
12-21 1022
payload的意思是使用了一个JWT令牌,对其进行Base64解码可得到攻击者尝试的用户为。由于服务端在使用JWT的时候,也没有校验key,导致任意能解码的JWT,并且只要用户(userName的值)存在,都能通过校验。如果攻击成功,在响应头中返回的状态码为200,且在响应体中返回字样。
jwt解密
fighting_xuan的博客
11-02 3576
String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJoYXNfbW9iaWxlIjp0cnVlLCJ2YWxpZF9tb2JpbGUiOmZhbHNlLCJjb2RlIjowLCJjaXR5IjpudWxsLCJyZWFsX25hbWUiOm51bGwsImFjY291bnRfbmFtZSI6IkUwMDAwODgwMjUiLCJuaWNrbmFtZSI6IkUwMDAwODgwMjUiLCJjb21wYW55IjpudWxsLCJvcmdfbmF
Python接口自动化之Token详解及应用
07-27 8417
在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、session应用,介绍了cookie、session原理及在自动化过程中如何利用cookie、session保持会话状态。 以下介绍Token原理及在自动化中的应用。 一、Token基本概念及原理 1、Token作用 为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 2、什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次...
SpringBoot学习:接口鉴权JWT
大小鱼鱼鱼鱼鱼
06-13 5135
import static org.apache.commons.lang3.StringUtils.defaultIfBlank; import static org.apache.commons.lang3.math.NumberUtils.toInt; import static org.apache.commons.lang3.math.NumberUtils.toLong; /** ...
JWTToken介绍
醉酒的李白、的博客
07-13 3501
JWTToken介绍 如题,先上一个token eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9.h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho JWTJson Web Token ,是由三段信息构成的,将这三段信息用.相连在一起就构成了JWT字符串 http协议无状态的,所以需要se..
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = datetime.datetime.utcnow() + datetime.timedelta(minutes=30) # 定义payload payload = { 'user_id': '123456', 'username': 'john', 'exp': expire_time } # 生成token jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') print(jwt_token) ``` 上述代码中,我们使用了 pyjwt 库来生成 JWT Token。它的 encode() 方法接收三个参数:payload、密钥和算法。payload 是一个字典,包含我们想要在 Token 中存储的信息,例如用户ID、用户名、过期时间等等。密钥是一个字符串,用于加密 Token。算法是指用于加密 Token 的算法,这里我们选择了 HS256。 3. 验证JWT Token ```python import jwt # 定义Token jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcm5hbWUiOiJqb2huIiwiZXhwIjoxNjMxMzEwMDUzfQ.XsDEjcd7jH8qC-6pZlWjZaFvDz-pT8NvQYrWb8I3-5c' # 验证Token try: decoded_token = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) print(decoded_token) except jwt.ExpiredSignatureError: print('Token已过期') except jwt.InvalidTokenError: print('无效的Token') ``` 上述代码中,我们使用了 pyjwt 库的 decode() 方法来验证 Token。它接收三个参数:Token、密钥和算法。如果 Token 有效,则返回包含信息的字典。如果 Token 过期或无效,则会引发 jwt.ExpiredSignatureError 或 jwt.InvalidTokenError 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我愿为一粒沙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值