JWT的登录认证与自校验原理分析

已于 2023-11-07 20:47:29 修改
阅读量359 收藏 1
点赞数 1
分类专栏: java应用 文章标签: 1024程序员节
于 2023-10-25 23:30:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66013742/article/details/134020465
版权

目录

一、JWT的概述

1.什么是JWT?

2.JWT的用户认证

3.JWT解决了什么问题?

4.关于JWT中的签名如何理解?

5.JWT的优势

二、JWT的结构

1.令牌的组成:

2.JWT的工具类

3.JWT所需的依赖

4.JWT登录生成Token的原理

三、JWT的自校验

1.什么是JWT的自校验?

一、JWT的概述

1.什么是JWT?

JWT是一个含签名并且携带用户相关信息的加密串,用户输入相关信息进行登录的时候,如果信息验证成功,会生成一个JWT(Token令牌),并且将这个token返回给前端保存到本地,当进行其他的请求api的时候,将这个Token带给后端,并且拦截器对请求进行拦截,验证这个Token,如果验证Token无误则放行这个请求,进行相应的业务逻辑处理,显示数据;有误则返回错误信息,跳转登陆界面

2.JWT的用户认证

3.JWT解决了什么问题?

授权因为JWT中包含用户的相关信息(如用户名或者用户ID),所以通过JWT的用户信息,服务可以确定用户的身份,一旦用户的身份验证成功后,系统就会授予它们一组权限来访问资源

信息交换:JWT可以签名,所以可以验证数据在传输过程中是否被篡改或伪造,这有助于去报信息的真实性和完整性

4.关于JWT中的签名如何理解?

想象一封信,在传输过程中,你希望确保这封信没有被别人篡改。为了做到这一点,你可以在信封上盖上你的个人印章(签名),这个印章只有你知道如何制作。当收信人收到信时,他可以检查印章是否有效,以确定信件没有被任何人打开或篡改过。

在网络通信中,签名密码就像这个个人印章。它是一个秘密的密钥,只有发送者和接收者知道。发送者使用签名密码对数据进行签名,生成一个数字签名,这个数字签名就像印章。接收者使用相同的密钥来验证数字签名,以确保数据在传输过程中没有被篡改或伪造。这有助于确保数据的完整性和真实性。

5.JWT的优势

1.简洁:可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快

2.自包含:负载中包含了所有用户所需要的信息,避免了多次查询数据库

3.自校验:对token可以自己校验是否过期

二、JWT的结构

1.令牌的组成:

  • 标头(Header):标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法

  • 有效载荷(Payload):设置用户自定义信息,过期时间,面向的用户 接收方签发时间

  • 签名(Signature):使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。

2.JWT的工具类

public class JWTUtils {
    //这个作为JWT的签名密钥
    private static String sign="ddz";

    //封装了创建Token的操作
    public static String createToken(Map<String,String >map){
       //1.设置超时时间、确保操作不会无限期持续下去,提高系统的安全性和效率
        Calendar calendar=Calendar.getInstance();  //创建一个calendar对象
        calendar.add(Calendar.DATE,7);    //设置JWT过期时间7天

       //2.创建JWTbuilder对象,这个对象用来构建JWT的
        JWTCreator.Builder builder= JWT.create();

        //3.通过JWTbuild对象构建Token
        String token=builder
        //        .withHeader(map) //设置标头,可以不设置有默认值
                  .withClaim("name",map.get("name"))
                  .withClaim("pwd",map.get("pwd")) //设置用户自定义信息(负载)

                  .withExpiresAt(calendar.getTime()) //设置令牌过期时间

                  .sign(Algorithm.HMAC256(sign));    //设置用户签名

        return token;    //将token令牌返回
    }

    //获取签名的方法
    public static Algorithm getSignature(){
        return Algorithm.HMAC256(sign);
    }
    
    //token的校验
    public static DecodedJWT require(String token){
        return JWT.require(getSignature()).build().verify(token);
    }
    
    //获取token中的数据
    public static Claim getPayload(String token,String key){
        return require(token).getClaim(key);
    }
}

3.JWT所需的依赖

	<dependency>
			<groupId>com.auth0</groupId>
			<artifactId>java-jwt</artifactId>
			<version>3.4.0</version>
		</dependency>

4.JWT登录生成Token的原理

当用户在登录表单输入信息后,服务端验证用户名密码正确,服务端会签发一个JWT(Token)。

JWT分为三个部分,它们之间通过.连接,第一部分是头,第二部分是负载,它们都是通过Base64编码生成字符串然后通过.连接

签发token就是通过Base64编码将标头与载荷(用户揉入的数据)生成字符串再通过签名算法与密钥生成一个签名,将这三部分通过.连接起来就是JWT令牌了

三、JWT的自校验

1.什么是JWT的自校验?

JWT的自校验其实就是因为,Base64是一种编码方式,而不是加密方式,所以通过Base64编码的数据,也可以通过Base64进行解码,因为头和载荷都是通过Base64编码的所以可以解码出来,所以客户端传入一个token,通过.分割出头和负载,然后解码,在通过这个头、负载以及签名算法和只有服务端知道的密钥生成一个签名,将这个签名与传入的token的签名做一个比对,这样就可以校验这个签名是否被篡改过,因为一旦传过来的token被篡改过,那么根据头、负载、签名算法、密钥生成的签名,就会与传过来的签名不一致,这样就保障了数据的安全性

例如:头是A    负载是B   签名算法和密钥在服务端是一样的    得到的签名是C

            所以Token是   A.B.C

一旦对这个Token进行篡改 如 A.B.D                            这个token传过去的头是A 负载是B  生成的签名是 C   发现根据传过来的头和负载生成的签名C与传过来的签名D不一致,所以则判断Token有问题

春雨燎原
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt 原理
weixin_48334703的博客
10-05 1880
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
jwt(JSON Web Token)做登陆校验
m0_64224130的博客
09-22 559
1、客户端使用用户名和密码请求登录2、服务端收到请求,验证用户名和密码3、验证成功后,服务端会签发一个token,再把这个token返回给客户端4、客户端收到token后可以把它存储起来,比如放到cookie中5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带6、服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据。
【SpringBoot篇】登录校验JWT令牌
qq_59961910的博客
12-03 235
在技术的道路上,我们不断探索、不断前行,不断面对挑战、不断突破自我。头部包含了令牌使用的加密算法信息,载荷包含了所需传输的用户信息,签名用于保证令牌的完整性和真实性,防止令牌被篡改。每次向服务器发送请求时,在请求的头部中携带该令牌,以便服务器对请求进行身份验证。服务器收到请求后,从请求头中提取JWT令牌,并进行解析和验证。用户向服务器发送登录请求,服务器进行身份验证,如果验证成功则返回一个JWT令牌给客户端。(相当于校验令牌,只要解析令牌不报错,就相当于校验jwt令牌正确)运行后发现,出现了jwt令牌。
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5124
分布式跨域认证的解决新方案
JWT令牌技术实现登录校验
fjf_666的博客
05-14 1029
介绍JWT令牌会话技术实现登录校验
登录校验解决方案JWT
记录学习,共同进步
03-26 1631
使用Jwt登录返回token,生成工具包,快速通关JWT
jwt
qq_43588771的博客
08-18 213
jwtJWT是什么实例后端前端 JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-...
JWT Token 校验登录
m0_69057918的博客
08-20 776
jwt 生成 token 校验登录的方案实现过程
JWT原理
子冉冰清的博客
09-26 6624
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
SSO单点登录实现与实现原理
07-06
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在多个相互关联的应用系统中只需要登录一次,即可访问所有...了解SSO的实现原理和源码分析,对于IT从业者来说,无论是系统设计还是故障排查,都将大有裨益。
单点登录简单实现源码
05-19
本源码包提供了SSO的简单实现,适用于学习和理解SSO的基本原理与实践。 首先,我们来看主要项目"SSOMain"。这个项目扮演了SSO系统的认证中心角色,通常被称为Identity Provider(IdP)。它负责用户的登录验证,一旦...
易语言-音遇APP登录源码
06-26
本篇文章将深入探讨“音遇APP登录源码”,揭示其在网络通信中的实现原理和技术细节。 音遇APP是一款基于音乐互动的社交应用,用户可以通过它来参与各种音乐游戏,享受音乐带来的乐趣。其登录系统是整个应用的基础,...
Java单点登录系统 JA-SIG CAS源码
05-15
Java单点登录(Single Sign-On, SSO)系统是一种允许用户通过一次登录验证即可访问多个应用系统的身份认证机制。JA-SIG CAS(Central Authentication Service)是开源社区开发的一个基于Java的SSO解决方案,广泛应用...
2024 Vue3快速上手 视频教程 下载 百度网盘链接2.zip
最新发布
06-20
│ 实战篇-27_登录优化-redis_思路分析.mp4 │ 实战篇-28_登录优化-redis_SpringBoot集成redis.mp4 │ 实战篇-29_登录优化_redis_主动失效机制实现.mp4 │ 实战篇-30_SpringBoot项目部署.mp4 │ 实战篇-31_...
JWT的结构和验证原理
SYWL的博客
07-16 713
JWT的结构和验证原理
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1699
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1503
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
JWT验证原理
qq_42499188的博客
07-16 617
1.概述 什么是JWT?JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息。 2.JWT的结构 JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。 如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信息的完整性,可靠性。 2.1 头部(Header) JWT的头部用于描述关于该JWT的最基本的信息,例如.
pyhton jwt.verify_jwt校验原理
08-30
在 Python 中,JWT(JSON Web Token)的验证过程可以使用 `jwt` 库来实现。`jwt` 库提供了一些函数和方法来进行 JWT 的验证,其中最常用的是 `jwt.decode()` 和 `jwt.verify_jwt()` 函数。 `jwt.decode()` 函数用于解码和验证 JWT,并返回 JWT 中的 payload 数据。它接受三个参数:JWT 字符串、密钥和算法。 `jwt.verify_jwt()` 函数可以进行更加详细的 JWT 验证,包括验证签名、过期时间、生效时间等。它接受两个参数:JWT 字符串和密钥。 下面是一个简单的示例代码,展示了如何使用 `jwt.verify_jwt()` 函数进行 JWT 的验证: ```python import jwt def verify_jwt(jwt_token, secret_key): try: # 验证 JWT decoded_token = jwt.verify_jwt(jwt_token, secret_key) print("JWT 验证成功!") print("Payload 数据:", decoded_token) except jwt.JWTExpired: print("JWT 已过期!") except jwt.JWTInvalidSignature: print("JWT 签名无效!") except jwt.JWTInvalid: print("JWT 无效!") # 要验证的 JWT jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" # 密钥 secret_key = "my_secret_key" verify_jwt(jwt_token, secret_key) ``` 在上面的示例中,首先定义了一个 `verify_jwt()` 函数,它接受 JWT 字符串和密钥作为参数。然后,在函数内部使用 `jwt.verify_jwt()` 函数对 JWT 进行验证。如果验证成功,将打印出 JWT 验证成功的信息以及解码后的 payload 数据;如果 JWT 过期、签名无效或无效,将会捕获相应的异常并打印出错误信息。 需要注意的是,JWT 的验证过程中需要使用正确的密钥和算法,以确保安全性和准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值