JWT入门与实践

已于 2023-08-28 10:30:15 修改
阅读量80 收藏
点赞数
文章标签: 开发语言
于 2023-08-28 10:29:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66498950/article/details/132533664
版权

认识JWT

JSON Web Tokens - jwt.io

​ JWT(JSON Web Token)是一种用于在网络上安全传输信息的开放标准。它由三个部分组成:头部载荷签名。头部包含加密算法令牌类型等信息,载荷包含用户信息和其他元数据,签名则通过使用密钥对头部和载荷进行加密来验证令牌的真实性和完整性。JWT 可以被用于身份验证授权,因为它可以帮助验证请求是否来自可信的源,并且可以将用户信息权限信息嵌入到令牌中,从而避免了每次请求都需要进行数据库查询的情况。

​ 下面是一个JWT样例,头部、载荷、签名都用.进行分隔

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

下面是对于一个JWT的解析过程:

  1. 将JWT字符串按照点号(.)分成三个部分:头部载荷签名
  2. 解码头部,得到加密算法令牌类型等信息。
  3. 解码载荷,得到JWT中存储的信息
  4. 验证签名,确保JWT没有被篡改过。具体验证方式取决于使用的加密算法。
  5. 如果验证成功,则可以信任JWT中的信息。

需要注意的是,JWT只是一种基于文本的令牌,因此它不提供加密功能,只提供了签名功能。如果需要加密数据,可以将JWT作为一个整体进行加密

使用JWT

以下是一些JWT的具体使用例子:

  1. 身份验证:当用户成功登录时,服务器可以生成一个JWT并将其返回给客户端。客户端可以在后续请求中将该JWT作为身份验证凭据发送到服务器。服务器可以验证JWT的签名并确定用户是否有权访问所请求的资源。

  2. 单点登录:当用户成功登录到一个应用程序时,服务器可以生成一个JWT并将其返回给客户端。客户端可以在后续请求中将该JWT作为身份验证凭据发送到其他应用程序。其他应用程序可以验证JWT的签名并确定用户是否有权访问所请求的资源。

  3. 授权:当用户请求访问某个受保护的资源时,服务器可以检查JWT中包含的声明以确定用户是否有权访问该资源。例如,服务器可以检查JWT中是否包含特定的角色或权限声明。

  4. 信息交换:两个服务之间可以使用JWT来安全地交换信息。一个服务可以生成一个JWT并将其发送到另一个服务。接收方可以验证JWT的签名并提取其中包含的信息。

  5. 重置密码:当用户请求重置密码时,服务器可以生成一个包含重置令牌的JWT并将其发送到用户的电子邮件地址。用户可以使用该令牌来验证其身份并设置新密码。

以下是基于Vue+SpringBoot的一个简单例子:

// 导入所需的包
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.web.bind.annotation.*;

import java.util.Date;

@RestController
@RequestMapping("/api")
public class AuthController {

    // 用户登录接口
    @PostMapping("/login")
    public String login(@RequestBody User user) {
        // 验证用户身份
        if (authenticate(user)) {
            // 生成JWT令牌
            String token = Jwts.builder()
                    .setSubject(user.getUsername())
                    .setExpiration(new Date(System.currentTimeMillis() + 3600000))
                    .signWith(SignatureAlgorithm.HS512, "secret")
                    .compact();
            return token;
        } else {
            return "Invalid credentials";
        }
    }

    // 单点登录接口
    @PostMapping("/sso")
    public String sso(@RequestHeader("Authorization") String token) {
        // 验证JWT令牌
        if (validate(token)) {
            return "Success";
        } else {
            return "Unauthorized";
        }
    }

    // 授权接口
    @GetMapping("/protected")
    public String protectedResource(@RequestHeader("Authorization") String token) {
        // 验证JWT令牌中是否包含特定的角色或权限声明
        Claims claims = Jwts.parser()
                .setSigningKey("secret")
                .parseClaimsJws(token.replace("Bearer ", ""))
                .getBody();
        if (claims.get("role").equals("admin")) {
            return "Access granted";
        } else {
            return "Access denied";
        }
    }

    // 信息交换接口
    @PostMapping("/exchange")
    public String exchange(@RequestBody String data, @RequestHeader("Authorization") String token) {
        // 验证JWT令牌
        if (validate(token)) {
            // 处理数据并返回结果
            return "Processed data: " + data;
        } else {
            return "Unauthorized";
        }
    }

    // 重置密码接口
    @PostMapping("/reset-password")
    public String resetPassword(@RequestBody User user) {
        // 生成包含重置令牌的JWT令牌并发送到用户的电子邮件地址
        String token = Jwts.builder()
                .setSubject(user.getUsername())
                .setExpiration(new Date(System.currentTimeMillis() + 600000))
                .claim("reset", true)
                .signWith(SignatureAlgorithm.HS512, "secret")
                .compact();
        // 发送电子邮件
        sendEmail(user.getEmail(), token);
        return "Email sent";
    }

    // 验证用户身份
    private boolean authenticate(User user) {
        // TODO: 实现用户身份验证逻辑
        return true;
    }

    // 验证JWT令牌
    private boolean validate(String token) {
        try {
            Jwts.parser().setSigningKey("secret").parseClaimsJws(token.replace("Bearer ", ""));
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    // 发送电子邮件
    private void sendEmail(String email, String token) {
        // TODO: 实现发送电子邮件逻辑
    }

}

下面的代码是一个Vue.js组件,提供了各种身份验证和授权相关操作的用户界面。该组件包含一个用户登录表单,该表单使用用户的凭据向服务器发送POST请求。如果登录成功,服务器将响应一个JWT(JSON Web Token),该JWT存储在组件的token属性中。sso方法发送一个POST请求到服务器,以使用Authorization头中的JWT启动单点登录过程。protectedResource方法发送一个GET请求以访问受保护的资源,再次使用Authorization头中的JWT。exchangeData方法使用表单输入的数据和Authorization头中的JWT发送一个POST请求以与服务器交换数据。最后,resetPassword方法使用表单中输入的电子邮件发送一个POST请求以重置用户的密码。该组件使用Axios库向服务器发出HTTP请求。该库提供了一个简单和一致的API来发出HTTP请求,并支持拦截器来处理请求和响应。

<template>
  <div>
    <h2>Login</h2>
    <form @submit.prevent="login">
      <div>
        <label for="username">Username:</label>
        <input type="text" id="username" v-model="user.username" required>
      </div>
      <div>
        <label for="password">Password:</label>
        <input type="password" id="password" v-model="user.password" required>
      </div>
      <button type="submit">Login</button>
    </form>
    <hr>
    <h2>Single Sign-On</h2>
    <button @click="sso">SSO</button>
    <hr>
    <h2>Protected Resource</h2>
    <button @click="protectedResource">Access Protected Resource</button>
    <hr>
    <h2>Exchange Data</h2>
    <form @submit.prevent="exchangeData">
      <label for="data">Data:</label>
      <input type="text" id="data" v-model="data">
      <button type="submit">Exchange Data</button>
    </form>
    <hr>
    <h2>Reset Password</h2>
    <form @submit.prevent="resetPassword">
      <div>
        <label for="email">Email:</label>
        <input type="email" id="email" v-model="user.email" required>
      </div>
      <button type="submit">Reset Password</button>
    </form>
  </div>
</template>

<script>
import axios from 'axios';

export default {
  name: 'App',
  data() {
    return {
      user: {
        username: '',
        password: '',
        email: '',
      },
      token: '',
      data: '',
    };
  },
  methods: {
    login() {
      axios.post('/api/login', this.user)
        .then(response => {
          this.token = response.data;
          console.log(this.token);
        })
        .catch(error => {
          console.error(error);
        });
    },
    sso() {
      axios.post('/api/sso', null, { headers: { Authorization: `Bearer ${this.token}` } })
        .then(response => {
          console.log(response.data);
        })
        .catch(error => {
          console.error(error);
        });
    },
    protectedResource() {
      axios.get('/api/protected', { headers: { Authorization: `Bearer ${this.token}` } })
        .then(response => {
          console.log(response.data);
        })
        .catch(error => {
          console.error(error);
        });
    },
    exchangeData() {
      axios.post('/api/exchange', this.data, { headers: { Authorization: `Bearer ${this.token}` } })
        .then(response => {
          console.log(response.data);
        })
        .catch(error => {
          console.error(error);
        });
    },
    resetPassword() {
      axios.post('/api/reset-password', this.user)
        .then(response => {
          console.log(response.data);
        })
        .catch(error => {
          console.error(error);
        });
    },
  },
};
</script>

注意

在项目中使用JWT时,需要注意以下几点:

  1. 安全性:JWT令牌是基于密钥签名的,因此确保在使用时使用强大的加密算法和安全的密钥管理。

    以下是一些强大的加密算法:

    • AES (Advanced Encryption Standard) - 对称加密算法,用于加密数据传输和存储。

    • RSA (Rivest–Shamir–Adleman) - 非对称加密算法,用于数字签名和密钥交换。

    • HMAC (Hash-based Message Authentication Code) - 基于哈希函数的消息认证码,用于验证数据完整性和真实性。

    • SHA-256 (Secure Hash Algorithm 256-bit) - 哈希函数,用于生成固定长度的摘要,常用于密码学应用中。

    • ECDH (Elliptic Curve Diffie-Hellman) - 椭圆曲线密钥交换协议,用于在两个参与者之间安全地共享密钥。

  2. 过期时间:为了防止令牌被滥用,应该设置适当的过期时间,并定期更新令牌。

    要为Spring Boot中的JWT令牌设置过期时间,我们可以使用以下代码:

    import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.Date;

public class JwtUtil {
    private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    private static final long expirationTimeInMs = 3600000; // 1 hour
		// 生成JWT令牌
    public static String generateToken(String subject) {
        Date now = new Date();
        Date expiration = new Date(now.getTime() + expirationTimeInMs);

        return Jwts.builder()
                .setSubject(subject)
                .setIssuedAt(now)
                .setExpiration(expiration)
                .signWith(key)
                .compact();
    }
		// 验证JWT令牌
    public static boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(key).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    public static String getSubjectFromToken(String token) {
        Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        return claims.getSubject();
    }
}

    ​ 要定期更新JWT令牌,我们可以实现一个定时任务,在当前令牌过期之前生成一个新令牌。我们可以使用Spring的@Scheduled注释来安排任务。这是一个例子:

    import org.springframework.scheduling.annotation.Scheduled;

public class TokenScheduler {
    private final JwtUtil jwtUtil;
    private String currentToken;

    public TokenScheduler(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
        this.currentToken = jwtUtil.generateToken("user123");
    }

    public String getCurrentToken() {
        return currentToken;
    }
		// 使用Spring的@Scheduled注释来安排任务
    @Scheduled(fixedRate = 1800000) // 30 minutes
    public void updateToken() {
        currentToken = jwtUtil.generateToken("user123");
    }
}

  3. 数据隐私:不要将敏感数据存储在JWT令牌中,因为它们可以通过解码令牌来访问。

  4. 令牌刷新:在某些情况下,可能需要刷新JWT令牌,例如用户更改密码权限等。在这种情况下,需要重新颁发新的令牌。

  5. 跨站点请求伪造(CSRF)攻击:为了防止CSRF攻击,应该在JWT令牌中包含CSRF令牌,并在每个请求中验证它。

CSRF攻击是一种利用用户已经登录的身份来进行恶意操作的攻击方式。攻击者会在第三方网站上放置一个恶意代码,当用户访问该网站时,代码会自动向目标网站发送请求,利用用户的登录状态进行操作。为了防止CSRF攻击,可以在JWT令牌中包含CSRF令牌,并在每个请求中验证它。在每个请求中,服务器会验证请求头请求参数中的CSRF令牌是否与JWT令牌中的CSRF令牌一致,如果不一致则拒绝该请求。

  1. 滥用检测:监控系统以检测任何异常活动,如频繁的登录尝试或使用同一JWT令牌进行多个请求。该系统跟踪用户行为并标记任何偏离正常模式的活动,有助于防止未经授权的访问并保护系统免受攻击
// 导入必要的包
${INSERT_HERE}

// 为滥用检测系统定义一个类
public class AbuseDetectionSystem {

    // 定义必要的变量和数据结构
    ${INSERT_HERE}

    // 监视用户活动并检测任何可疑行为的方法
    public void monitorUserActivity(User user, Request request) {
        // 检查用户活动是否在正常模式内
        if (!isActivityWithinNormalPatterns(user, request)) {
            // 如果不是,则标记为可疑活动
            flagSuspiciousActivity(user, request);
            // 处理滥用或可疑行为
            handleAbuse(user, request);
        }
        // 更新用户活动历史记录
        updateActivityHistory(user, request);
    }

    // 标记任何偏离正常模式的活动的方法
    private void flagSuspiciousActivity(User user, Request request) {
        // 标记用户的活动为可疑
        ${INSERT_HERE}
    }

    // 更新用户活动历史记录的方法
    private void updateActivityHistory(User user, Request request) {
        // 将用户的活动添加到历史记录中
        ${INSERT_HERE}
    }

    // 检查用户的活动是否在正常模式内的方法
    private boolean isActivityWithinNormalPatterns(User user, Request request) {
        // 检查用户的活动是否在正常模式内
        ${INSERT_HERE}
    }

    // 处理任何检测到的滥用或可疑行为的方法
    private void handleAbuse(User user, Request request) {
        // 处理滥用或可疑行为
        ${INSERT_HERE}
    }
}
fmt.print()
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt入门:Json Web令牌(JWT)及其相关的JWKJWS安全性交换入门的示例和参考
02-17
JWT示例当我们寻求更好的端到端验证时,分布式系统可能会带来新的挑战。 其中之一是如何验证来自系统的消息确实来自该授权系统。...获得帮助如果您不熟悉所需的服务类型,请找专家,或者在Twitter 与我,我很乐意为您提
JWT最佳入门实践
GitChat
09-12 155
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。 在本场 Chat 中,会讲到如下内容: JWT是什么及使用场景 JWT语法及特点 JWT工作流程 身份认证比较 JWT使用及安全 适合人群: 对JWT有兴趣的技术人员 ...
JWT快速入门
STATICHIT静砸的博客
07-25 293
通过数字签名的方式,以JSON对象为载体,在不同的服务器终端之间安全的传输信息。
JWT入门实践 ——抛开shiro框架做一个登录认证
全场梦游c的博客
05-18 690
JTW官网:https://jwt.io/introduction/ 一、JWT基本介绍 1、什么是JWT JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,作为 JSON 对象在各方之间安全的传递信息。这个信息可以通过数字签名进行验证并信任。JWTs 可以使用密钥(结合 HMAC 算法)或者 使用 RSA 、 ECDSA 加密的公钥私钥对进行签名。 2、什么时候使用 JWT 授权:这是 JWT 最普遍的使用场景。当用户登录之后,每次请求中.
JWT快速入门与使用nimbus-jose-jwt
特别享受思考问题的过程
12-01 3461
文章目录JWT(JSON Web Token)的使用前言JWT的作用和基本格式基本格式为什么需要签名?JWT相关的库nimbus-jose-jwt和jsonwebtoken的选择nimbus-jose-jwt使用JWSHMAC加密算法使用HMAC的场景生成使用HMAC加密算法的jwt解析HMAC加密算法的jwtRSA加密算法使用RSA的场景在线生成RSA公钥和私钥生成使用RSA加密算法的jwt解析RAS加密算法的jwtJWE使用RSA对内容进行加密JWS + JWE关于RSA的一些解释备注 JWT(JSON
mean-master-jwt
05-11
这个想法是通过连接那些框架来解决常见问题,建立一个强大的框架来支持日常开发需求,并帮助开发人员在使用流行JavaScript组件时使用更好的实践。在你开始之前在开始之前,我们建议您阅读有关组装MEAN.JS应用程序的...
express-seed-project:一个ES6ES7 Express.js RESTful API入门项目,遵循最佳实践和Airbnb javascript样式指南,具有基于JWT的身份验证,Socket.io实时更新,multer文件上传和nodemailer电子邮件通知集成
05-16
种子项目一个ES6 / ES7 Express.js RESTful API入门项目,遵循最佳实践和Airbnb javascript样式指南,并具有基于JWT的身份验证,Socket.io实时更新,multer文件上传和nodemailer电子邮件通知集成。技术: Node.js v9...
express-rest-api:Express RESTful API入门
02-03
适用于NodeJS的REST API样板,它使用以下基本实践的集合:Auth,Security,RESTful资源,API文档,Testing and Logging。 使用MongoDB作为其数据库,并使用Passport进行(jwt)身份验证。 使用的库和工具 ,, ...
login_push:vue + koa2 + jwt实现单点登录+ todolist增删改查
02-04
Vue + Koa2使用jwt实现单点登录 :wrapped_gift: 2018-12-17 本次更新README主要是把挂掉的图连接补上 从我个人角度来说,我还是蛮喜欢这样的全栈项目的,实践性很足,不一定要看我的代码,完全可以直接去写一个类似...
从需求角度介绍PasteSpider(K8S平替部署工具适合于任何开发语言)
05-14 1616
Kubernetes的强大毋庸置疑,但是你有问自己这么个大杀器真的适合你么?这里推荐一款更加小巧的容器部署工具,集报表,发布,环境,通知于一身的PasteSpider! 支持git/svn发布,支持平滑升级,支持环境隔离,支持用户隔离,支持运行变量设定等,关键易上手!
Python_从合成数据代码和模型中学习.zip
05-24
Python_从合成数据代码和模型中学习
基于Javascript的enroll微信小程序报名设计源码
05-24
本项目是基于Javascript的enroll微信小程序报名设计源码,包含35个文件,其中包括8个JSON文件、7个JavaScript文件、6个WXSS文件、5个WXML文件、3个JPG图片文件、3个PNG图片文件、1个Gitignore文件、1个Markdown文件和1个ICO文件。这个项目是一个微信小程序报名设计,旨在通过Javascript和微信小程序技术栈实现,为用户提供便捷的报名服务。
ALINX黑金AX7020 PYNQ3.0.1镜像
最新发布
05-24
编译好的黑金AX7020 PYNQ3.0.1镜像,功能已验证。 芯片ZYNQ7020,具体型号xc7z070clg400-2 受网盘单文件大小限制,使用分卷压缩的方式上传 注意!请自行下载所有的分卷后再解压
lol r3nzskin
05-24
lol skin move it to lol gamed dir
Python处理Excel数据原表保存.rar
05-24
Python处理Excel数据原表保存Python处理Excel数据原表保存
8种电弧模型的matlab实现的模型amb2.zipamb2_.zip
05-24
8种电弧模型的matlab实现的模型amb2.zipamb2_
成事全在细节里:可口可乐的成功图像.pdf
05-24
成事全在细节里:可口可乐的成功图像
F​P​G​A​时​序​概念和约​束
05-24
F​P​G​A​时​序​概念和约​束
jwt 公钥与私钥怎么用
07-14
使用 JWT(JSON Web Token)的公钥和私钥,主要涉及生成签名(签发令牌)和验证签名(验证令牌)两个过程。 1. 生成签名(签发令牌): - 使用私钥对 JWT 的头部和载荷进行数字签名,以确保令牌的完整性和真实性。 - 将签名后的结果添加到 JWT 的头部或载荷中,形成最终的 JWT。 2. 验证签名(验证令牌): - 获取 JWT 中的头部和载荷,并提取签名部分。 - 使用公钥对头部和载荷进行验证,以确认令牌是由合法的签发者签名的。 - 如果验证成功,则说明令牌是有效的。 在实际应用中,生成签名和验证签名的具体实现细节会根据编程语言和库的不同而有所差异。以下是一个示例,使用 C# 和 System.IdentityModel.Tokens.Jwt 库来生成和验证 JWT 的过程: ```csharp using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using Microsoft.IdentityModel.Tokens; public class JwtHelper { public static string GenerateToken(string privateKey) { var securityKey = new SymmetricSecurityKey(Convert.FromBase64String(privateKey)); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); var tokenHandler = new JwtSecurityTokenHandler(); var tokenDescriptor = new SecurityTokenDescriptor { Subject = new ClaimsIdentity(new Claim[] { new Claim("userId", "123") }), Expires = DateTime.UtcNow.AddDays(1), SigningCredentials = credentials }; var token = tokenHandler.CreateToken(tokenDescriptor); return tokenHandler.WriteToken(token); } public static bool ValidateToken(string token, string publicKey) { var tokenHandler = new JwtSecurityTokenHandler(); var validationParameters = new TokenValidationParameters { ValidateIssuerSigningKey = true, IssuerSigningKey = new SymmetricSecurityKey(Convert.FromBase64String(publicKey)), ValidateIssuer = false, // 可选,如果需要验证签发者,请将其设置为 true,并提供有效的 Issuer ValidateAudience = false // 可选,如果需要验证受众,请将其设置为 true,并提供有效的 Audience }; try { // 验证令牌 tokenHandler.ValidateToken(token, validationParameters, out _); return true; } catch (Exception) { // 令牌验证失败 return false; } } } ``` 上述代码中,`GenerateToken` 方法用于生成 JWT,其中传入私钥 `privateKey` 用于生成签名。在 `tokenDescriptor` 中,我们设置了 JWT 的主题(Subject)、过期时间(Expires)等信息,并使用私钥进行签名。 `ValidateToken` 方法用于验证 JWT,其中传入公钥 `publicKey` 用于验证签名。在 `validationParameters` 中,我们设置了验证签名的密钥(IssuerSigningKey)和其他可选的验证参数(如验证签发者和受众)。 请注意,上述示例中使用的是对称加密算法(HMAC),密钥是以 Base64 编码的字符串。如果使用非对称加密算法(如 RSA),则需要使用公钥和私钥对,并且相应的密钥格式和库的使用可能会有所不同。 总之,通过使用 JWT 的公钥和私钥,你可以生成签名并签发令牌,也可以验证令牌的签名的真实性和完整性。具体的实现方法会根据你所使用的编程语言和库而有所差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值