JWT令牌(JSON Web Token)

已于 2024-01-25 21:41:04 修改
阅读量713 收藏 9
点赞数 14
分类专栏: SpringBoot 文章标签: java jwt spring boot 拦截器
于 2024-01-25 19:25:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71654538/article/details/135834149
版权

目录

1 前言

2 JWT令牌的组成

3 使用步骤举例

3.1 pom.xml中引入依赖

3.2 JWT生成

3.3 JWT验证

4 实践中的使用举例

4.1 拦截非法访问

4.1.1 编写为工具类

4.1.2 下发给用户

4.1.3 编写拦截器

 4.1.4 注册拦截器

4.2 获取相关数据提升效率

1 前言

在我们编写的后端程序中,如果没有进行相关处理,那么就可能出现绕过登录,直接访问相关接口的情况。因此,我们引入了JWT令牌(一段特殊的字符串)。此外,使用JWT令牌,还要如下好处:

①减少查询数据库的次数,提高性能

②防止篡改,提高安全性

2 JWT令牌的组成

hdoj1u901jd.q0hd=kd.dhiwihdih(随便弄的,演示一下)

 以.为分隔,我们可以将JWT令牌拆解成三部分

第一部分(Header/头):记录令牌类型和签名算法等

第二部分(Payload/有效载荷):携带一些自定义信息,如:id和用户名,不宜包含密码。因为JWT是依赖于Base64生成的,而Base64只是一种编码方式而非加密,携带密码就不安全

第三部分(Signature/签名):防止篡改,确保安全性,由前两部分+秘钥通过加密算法得到

3 使用步骤举例

3.1 pom.xml中引入依赖

<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>4.4.0</version>
</dependency>

3.2 JWT生成

public class JwtTest {
    @Test
    public void testGenerate() {
        Map<String, Object> claims = new HashMap<>();
        claims.put("id", 5);
        claims.put("username", "zy");
        //生成jwt的代码
        String token = JWT.create()
                .withClaim("user", claims)//添加载荷
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000*60*60*2))//添加过期时间
                .sign(Algorithm.HMAC256("test"));//指定算法,配置秘钥
        System.out.println(token);
    }
}

3.3 JWT验证

public class JwtTest {
    /**
     * JWT校验报错(失败)的两种情况:
     * 1.JWT被修改
     * 2.token过期
     */
    @Test
    public void testParse() {
        //testGenerate()生成的的字符串,模拟用户传递过来的token
        String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9" +
                ".eyJ1c2VyIjp7ImlkIjo1LCJ1c2VybmFtZSI6Inp5In0sImV4cCI6MTcwNjE3NjYxMX0" +
                ".bTpMAeawJ3u9-d2PKL2JIhynwGjTPZlkp1RIREwMDVc";
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("test")).build();

        DecodedJWT decodedJWT = jwtVerifier.verify(token);//验证token,生成一个解析后的JWT对象
        Map<String, Claim> claims = decodedJWT.getClaims();//获得载荷
        System.out.println(claims.get("user"));
    }
}

4 实践中的使用举例

4.1 拦截非法访问

4.1.1 编写为工具类

public class JwtUtil {
    //自定义秘钥
    private static final String KEY = "XXXX";
	
	//接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)//添加载荷
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 ))//设置过期时间
                .sign(Algorithm.HMAC256(KEY));//选择加密算法
    }

	//接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }

}

4.1.2 下发给用户

@RestController
@RequestMapping("/user")
public class UserController {
    @PostMapping("/login")
    public Result<String> login(String username, String password) {
            //其它代码...
            User loginUser = userService.findByUserName(username);
            Map<String, Object> claims = new HashMap<>();
            claims.put("id", loginUser.getId());
            claims.put("username", loginUser.getUsername());
            String token = JwtUtil.genToken(claims);
            return Result.success(token);
    }
    //其它代码...
}

4.1.3 编写拦截器

@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        try {
            //xxx为约定好的请求头中携带的名称
            Map<String, Object> claims = JwtUtil.parseToken(request.getHeader("xxx"));
            //放行
            return true;
        } catch (Exception e) {
            response.setStatus(401);//约定好的状态码,一般401表示未授权
            //不放行
            return false;
        }
    }
}

 4.1.4 注册拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //不拦截注册和登录接口
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login", "/user/register");
    }
}

大功告成,如果未登录访问接口,就会401。

4.2 获取相关数据提升效率

我们可以在请求头中获取有效载荷中的有效信息。

//token中包含id和username
public Result<User> func(@RequestHeader(name = "XXX") String token) {
        Map<String, Object> map = JwtUtil.parseToken(token);
        String username = (String)map.get("username");
        User user = userService.findByUserName(username);
        return Result.success(user);
}
厂里英才
关注
专栏目录
JWT令牌使用及验证
行东的bug博客笔记
02-24 817
JWT与Session的比较1、轻量且无状态: JWT是轻量级的,信息以JSON格式存储,使其易于在网络上传输。与传统的基于Session的认证相比,JWT不需要在服务器上保存会话状态,使其无状态。这意味着每个请求都包含了身份验证信息,服务器无需在存储和管理会话状态。2、跨域: JWT可以在跨域情况下安全地传递信息,因为它可以在请求头中传递,并且不受同源策略的限制。3、可扩展性: JWT的负载部分可以包含任意数量的声明,这使得它非常灵活,可以用于各种场景,如身份验证、授权和信息交换。
JWT令牌的介绍
快乐学习
08-22 3809
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
深入解析Spring Boot中的JWT令牌校验:安全身份验证与授权实践
最新发布
A_991128a的博客
07-26 1052
JWT是一种基于JSON的开放标准(RFC 7519),用于在用户和服务器之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和使用的加密算法,载荷包含要传输的信息(如用户ID、角色等),签名用于验证令牌的真实性。通过本文的介绍,我们深入了解了Spring BootJWT令牌校验的实现方法及其相关的技术细节。JWT令牌是一种安全传输信息的开放标准,通过在用户和服务器之间传递被声明的对象来安全地传输信息。
JWT令牌
qiumin的博客
07-14 3316
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
JSON Web令牌JWT
kongcheng_xq的博客
06-14 548
JSON Web令牌JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为 JSON 对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公用/专用密钥对对 JWT 进行签名。...
JSON Web令牌(JWT)详解
weixin_56069070的博客
11-18 1588
前言 今天要分享的知识是JWT 码字不易,转载请说明!!! 目录 一、JWT出现的原因及工作原理 JWT是什么 为什么使用JWT JWT的工作原理 JWT组成 传统开发对资源的访问限制利用session完成图解 ​JWT所解决的问题及机制 JWT解决不需要登录就能直接访问的问题 web.xml:解决JWT问题的过滤器 JwtFilter.java:开启jwt令牌验证功能 UserAction .java:将jwt令牌塞入响应头 未登录就不能显示内容 并且报出4...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
php实现JWT(json web token)鉴权实例详解
10-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于API的无状态认证。在PHP中实现JWT鉴权,通常涉及以下几个关键步骤和概念: 1. **JWT的结构**: JWT由三部分组成:Header、Payload和Signature。...
php-jwt:JWTJSON Web Token)生成器、解析器、验证器和验证器的 PHP 实现
05-29
PHP-JWT 是一个用 PHP 编程语言编写的包,用于编码(生成)、解码(解析)、验证和验证 JWTJSON Web 令牌)。 它提供了一个流畅、易于使用和面向对象的界面。 由确认。 文档 版本号 2.xx (LTS) 1.xx(不支持) ...
快速入门:使用Express-JWTJSON Web Token保护你的Node.js应用
01-30
在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwtjsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。
JWTJSON Web Token
m0_46364778的博客
04-02 1610
JWT
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT介绍及JWT令牌结构详解
学亮编程手记
08-03 832
是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。官网:1、jwt基于json,非常方便解析。2、可以在令牌中自定义丰富的内容,易扩展。3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。4、资源服务使用JWT可不依赖认证服务即可完成授权。1、JWT令牌较长,占存储空间比较大。
三、JWTJSON Web Tokens)令牌token
HiDaJing
03-18 3815
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
JWT令牌技术
不能再留遗憾了的博客
03-10 1599
JWT令牌技术实现用户登录信息的验证
jwttoken令牌管理机制)
weixin_52361952的博客
08-02 509
jwttoken令牌管理机制)
使用jwt令牌token
08-29
JWTJSON Web Token)是一种开放标准(RFC 7519),用于在网络应用中传输信息的令牌。它由三部分组成,包括头部(Header)、载荷(Payload)和签名(Signature)。 在使用JWT令牌时,通常的流程如下: 1. 用户通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

厂里英才

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值