JWT令牌登入

最新推荐文章于 2024-08-10 10:16:26 发布
最新推荐文章于 2024-08-10 10:16:26 发布
阅读量1k 收藏 4
点赞数
分类专栏: 笔记 文章标签: http java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/resst/article/details/120315501
版权

一、JWT令牌

1、什么是JWT令牌

JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。
JWT的使用场景:

  • 一种情况是webapi,类似之前的阿里云播放凭证的功能
  • 另一种情况是多web服务器下实现无状态分布式身份验证
    • JWT官网有一张图描述了JWT的认证过程
      在这里插入图片描述

JWT的作用:

  • JWT 最重要的作用就是对 token信息的防伪作用

JWT的原理:

  • 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希
  • 最后由这三者组合进行base64编码得到JWT

2、JWT令牌的组成

典型的,一个JWT看起来如下图:
https://jwt.io/
在这里插入图片描述

该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。

每一个子串表示了一个功能块,总共有以下三个部分:JWT头、有效载荷和签名

Base64URL算法

如前所述,JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。

作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/“和”=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法。

注意:base64编码,并不是加密,只是把明文信息变成了不可见的字符串。但是其实只要用一些工具就可以把base64编码解成明文,所以不要在JWT中放入涉及私密的信息。

3、JWT的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。

当跨域时,也可以将JWT放置于POST请求的数据主体中。

二、JWT问题和趋势

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用该令牌再次对其进行加密。

2、当JWT未加密时,一些私密数据无法通过JWT传输。

3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。

5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行身份验证。

6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

三、落地实现

1. 基本依赖

   <!-- JWT -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.0</version>
    </dependency>

2.在application.yaml文件中添加jwt相关的配置

jwt:
  secret: tuling-portal #服务端私钥
  expiration: 86400 #过期时间 60*60*24 = 一天
  tokenHead: Bearer #jwt规范  #告诉客户端jwt令牌开头需要加的一个字符串
  tokenHeader: Authorization #告诉客户端你要在请求头里面传什么参数名字

secure:
  ignored:
    urls: #安全路径白名单
      - /swagger-ui.html
      - /swagger-resources/**
      - /swagger/**
      - /**/v2/api-docs
      - /**/*.js
      - /**/*.css
      - /**/*.png
      - /**/*.ico
      - /webjars/springfox-swagger-ui/**
      - /actuator/**
      - /druid/**
      - /error
      - /login/**
      - /register/**
      - /user/**

3. 添加jwt加密解密 工具类

package cn.ecut.lrj.web.util;

import cn.ecut.lrj.web.uns.model.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * JwtToken生成的工具类
 * JWT token的格式:header.payload.signature
 * header的格式(算法、token的类型):
 * {"alg": "HS512","type": "JWT"}
 * payload的格式(用户名、创建时间、生成时间):
 * {"sub":"wang","created":1489079981393,"exp":1489684781}
 * signature的生成算法:
 * HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
 */
@Component
public class JwtTokenUtil2 {
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil2.class);
    private static final String CLAIM_KEY_USERNAME = "user_name";
    private static final String CLAIM_KEY_CREATED = "created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;
    @Value("${jwt.tokenHead}")
    private String tokenHead;
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;


    /**
     * 根据负责生成JWT的token
     */
    private String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            LOGGER.info("JWT格式验证失败:{}",token);
        }
        return claims;
    }

    /**
     *  生成token的过期时间
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 解密: 从token中获取登录用户名(项目中使用)
     */
    public String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username =  claims.get(CLAIM_KEY_USERNAME,String.class);
        } catch (Exception e) {
            username = null;
        }
        return username;
    }
    /**
     * 加密:根据用户信息生成token(项目中使用)
     */
    public String generateToken(String userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails);
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    /**
     * 验证token是否还有效
     *
     * @param token       客户端传入的token
     * @param userDetails 从数据库中查询出来的用户信息
     */
    /*public boolean validateToken(String token, User userDetails) {
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getLoginAct()) && !isTokenExpired(token);
    }*/

    /**
     * 判断token是否已经失效
     */
    public boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }



    /**
     * 判断token是否可以被刷新
     */
    public boolean canRefresh(String token) {
        return !isTokenExpired(token);
    }

    /**
     * 刷新token
     */
    public String refreshToken(String token) {
        Claims claims = getClaimsFromToken(token);
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }
}

4. 客户端发起登入请求

axios.post(
          'http://localhost:8989/user/login',
          {
            "loginAct": this.user.loginAct,
            'loginPwd': this.user.loginPwd
          },{headers: {'Content-Type': 'application/json'}})
          .then((res)=>{

		  })

5. 服务端验证成功后加密token,把token返回给客户端

在controller层验证登入成功后进行加密

package cn.ecut.lrj.web.uns.controller;


import cn.ecut.lrj.web.api.CommonResult;
import cn.ecut.lrj.web.uns.model.User;
import cn.ecut.lrj.web.uns.service.UserService;
import cn.ecut.lrj.web.util.JwtTokenUtil2;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;

import java.util.HashMap;
import java.util.Map;

@RestController
@RequestMapping("/user")
@CrossOrigin
public class UserController {

    @Autowired
    private UserService userService;

    @Autowired
    private JwtTokenUtil2 jwtTokenUtil2;

    @Value("${jwt.tokenHead}")
    private String tokenHead; //#jwt规范  #告诉客户端jwt令牌开头需要加的一个字符串

    @Value("${jwt.tokenHeader}") //#告诉客户端你要在请求头里面传什么参数名字
    private String tokenHeader;


    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public CommonResult login(@RequestBody User user) {
       
        User login = userService.login(user.getLoginAct(), user.getLoginPwd());
        if (login == null) {
            return CommonResult.validateFailed("用户名或密码错误");
        }


        //jwt加密
        Map<String, String> tokenMap = new HashMap<>();
        String token = jwtTokenUtil2.generateToken(login.getLoginAct());
        tokenMap.put("token",token);
        tokenMap.put("tokenHead",tokenHead);
        tokenMap.put("tokenHeader",tokenHeader);
        return CommonResult.success(tokenMap);
    }


}

6.客户端接收拼接tokenHead+ jwt 存入cookie

axios.post(
          'http://localhost:8989/user/login',
          {
            "loginAct": this.user.loginAct,
            'loginPwd': this.user.loginPwd
          },{headers: {'Content-Type': 'application/json'}})
          .then((res)=>{

            console.log(res.data.data)
            let result = res.data.data
           /* this.$cookie.set('token',result.tokenHead+' '+result.token,{expires:'1M'});*/

            setCookie("token",result.tokenHead+' '+result.token,{expires:'1M'}) //cookie自己定义(安装一个cookie库,或定义)

            // 拿到payloader 解码

            var tokenStr= decodeURIComponent(escape(window.atob(result.token.split('.')[1])));

            // 转换为json对象
            let username = JSON.parse(tokenStr).user_name;
            setCookie("username",username,120);


            this.$router.push("/success")


          })

setcookie(),getcookie()定义

export function setCookie(name,value)
{
    var Days = 30;
    var exp = new Date();
    exp.setTime(exp.getTime() + Days*24*60*60*1000);
    document.cookie = name + "="+ escape (value) + ";expires=" + exp.toGMTString();
}
export function getCookie(name)
{
    var arr,reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)");
    return (arr=document.cookie.match(reg))?unescape(arr[2]):null;
}
export function delCookie(name)
{
    var exp = new Date();
    exp.setTime(exp.getTime() - 1);
    var cval=getCookie(name);
    if(cval!=null)
        document.cookie= name + "="+cval+";expires="+exp.toGMTString();
}

7. 后续客户端所有的axios请求都需要携带cookie中token放入请求头Authorization中

// axios的拦截器   jwt+spring security
axios.interceptors.request.use(config => {
  // jwt令牌
  var token= getCookie("token");
  window.console.log(token);
  if (token !=undefined) {
    config.headers['Authorization'] = token; // 让每个请求携带自定义token 请根据实际情况自行修改
  } 
  return config
}, error => {
  // Do something with request error
  Promise.reject(error)
})

8. 服务器拦截到请求头中的Authorization 解密jwt .从而拿到username 查询 是否存在用户

  • 在拦截器中进行验证token是否正确、失效
  • 拦截器配置文件
package cn.ecut.lrj.web.config;

import cn.ecut.lrj.web.Interceptor.AuthInterceptor;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthInterceptorConfig implements WebMvcConfigurer {

    /**
     * 该拦截器主要是为了权限验证
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor()).addPathPatterns("/**");
    }


    /**
     * 
     * @return
     */
    @Bean
    @ConfigurationProperties(prefix = "secure.ignored")//获取配置文件中的白名单urls
    public AuthInterceptor authInterceptor(){
        return new AuthInterceptor();
    }


}
  • 拦截器
package cn.ecut.lrj.web.Interceptor;

import cn.ecut.lrj.web.api.ResultCode;
import cn.ecut.lrj.web.exception.ApiException;
import cn.ecut.lrj.web.uns.model.User;
import cn.ecut.lrj.web.uns.service.UserService;
import cn.ecut.lrj.web.util.JwtTokenUtil2;
import cn.hutool.core.util.StrUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;
@Slf4j
public class AuthInterceptor  implements HandlerInterceptor {

    private List<String> urls;

    @Autowired
    private JwtTokenUtil2 jwtTokenUtil2;

    @Autowired
    private UserService userService;


    @Value("${jwt.tokenHead}")
    private String tokenHead;

    @Value("${jwt.tokenHeader}")
    private String tokenHeader;


    public List<String> getUrls() {
        return urls;
    }

    public void setUrls(List<String> urls) {
        this.urls = urls;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1、不需要登录就可以访问的路径——白名单
        // 获取当前请求   /admin/login
        log.info("拦截开始");
        String requestURI = request.getRequestURI();
        log.info("requestURI-->"+requestURI);
        // Ant方式路径匹配 /**  ?  _
        PathMatcher matcher = new AntPathMatcher();
        for (String ignoredUrl : urls) {
            if(matcher.match(ignoredUrl,requestURI)){
                return  true;
            }
        }
        //拿到jwt令牌
        String jwt = request.getHeader(tokenHeader);

        System.out.println("jwt令牌: "+jwt);

        //判断是否存在 判断开头是否加了tokenHead
        if (StrUtil.isBlank(jwt) || !jwt.startsWith(tokenHead)){
            throw new ApiException(ResultCode.UNAUTHORIZED);
        }
        //存在就进行解密
        jwt=jwt.substring(tokenHead.length());
        String userName = jwtTokenUtil2.getUserNameFromToken(jwt);


        if (StrUtil.isBlank(userName)){
            throw new ApiException(ResultCode.UNAUTHORIZED);
        }

        /*//将userName存入ThreadLocal中(方便下面获取当前用户)
        JwtTokenUtil2.currentMember.set(userName);*/

        //得到userName就进行查询用户是否存在和 token是否过期
        User member = userService.getAdminByUsername(userName);

        boolean result = jwtTokenUtil2.isTokenExpired(jwt);

        if (!result){
            throw new ApiException(ResultCode.UNAUTHORIZED);
        }



        return true;

    }
}
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT 实现单点登入
Aron的博客
02-04 253
maven <!-- JWT --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.3</version> </dependency> <dependency> <groupId>io.jsonwebtoken&
JWT令牌在登录中的应用
weixin_42931818的博客
03-23 557
前言 最近在写小程序登录功能时用到了JWT生成令牌,所以今天就在这做一下总结与记录。 什么是JWT? 给大家推荐一片文章:JWT简介,简单的来说JWT就是用来生成token的,里面包含了用户的自定义信息.还具有校验这个token的功能.这次我用这个保存用户的信息,完成登录功能。 保存用户信息的几种方式 1.前端将用户信息发送给后端,后端进行相应的处理并把保存到session中,在将session_...
JavaEE进阶】用户登录场景中的令牌技术(JWT令牌)
最新发布
m0_73648729的博客
08-10 1060
JWT全称: JSON Web Token官网:JSON Web Token(JWT) 是一个开放的行业标准(RFC 7519), 用于客户端和服务器之间传递安全可靠的信息.其本质是一个token, 是一种紧凑的URL安全方法.
JWT 实现登录
Dailyblue的专栏
06-24 8712
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。
NetCore JWT LogIn
farmwang的专栏
03-22 291
<form action="/Home/logIn" method="post"> @Html.AntiForgeryToken() <div class="container"> ...
SSO 、JWT令牌登录
awodwde的博客
02-19 489
单点登录SSO: 全称Single Sign On,简称就是SSO 在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统 同域名下的SSO: 一个企业一般情况下只有一个域名,通过二级域名区分不同的系统。 以京东为例: 这是jd的主页: jd.com 这是jd的帮助中心服务 help.jd.com 这是京东会员页面: vip.jd.com sso登录以后,可以将Cookie的域设置为顶域,即.a.com,这样所有子域的系统都可以访问到顶域的cookie。我们在.
SpringBoot+JWT登录校验,以及JWT刷新机制
Slience Wind
08-15 7958
接上篇博客,继续讲解JWT的使用。 本部分内容主要是SpringBoot项目中具体使用JWT的代码实现,包括了登录创建Token,后续请求验证Token,并且加入了JWT刷新机制等等。 本文大纲: 1.JWT的引入 2.JWT工具类的实现 3.登录申请Token 4.请求验证Token 5.JWT刷新机制的实现 注意:本文注重使大家理解JWT如何在SpringBoot项目中集成和使...
登录检验-JWT令牌
weixin_43866613的博客
05-20 338
全程:JSON Web Token定义了一种简介的、自包含的格式,用于在通信双方已json数据格式安全的传输信息。由于数字签名的存在,这额信息是可靠的组成第一部分:Header(头),激励令牌类型、签名算法等第二部分:Payload(有效载荷),鞋带一些自定义信息、默认信息等第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。场景:登录认证登陆成功后,生成令牌
login-sign-up-and-logout-RESTful-API-s:该项目由Rest API的内置node-js组成,该节点使用express和mongo-DB进行登录,注册以及显示用户的个人资料,然后最终注销用户。创建,这里用户只需提供他的电子邮件和密码,您可以根据需要在用户模式中进行更改,一个电子邮件只能注册一次,如果他尝试再次注册,则会显示身份验证失败,然后进行登录必须提供正确的登录凭据,如果两件事中的任何一个是错误的,他将无法登录,那么我在这里生成一个jwt令牌,该令牌仅在该人注销后才会
05-10
一个电子邮件只能注册一次,如果他尝试再次注册,则会显示身份验证失败,那么在登录时,他必须提供正确的登录凭据,如果两件事中有任何错误他将无法登录,那么我在这里生成了一个jwt令牌,该令牌仅在该人注销后才会...
JWT 令牌
种一颗十年前的树
02-20 332
JWT 1.1 微服务鉴权 1.2 JWT介绍 JWT --> JSON Web Token 1). 为什么在项目的微服务鉴权中引入JWT令牌 ? 2). JWT令牌的构成 header , payload , signature ; -------> jwt = header.payload.signature JSON Web Token(JWT)是一个非常轻巧的规范。这...
登录令牌JWT — JSON WEB TOKEN
Java厂长
01-20 2236
登录令牌JWT — JSON WEB TOKEN 关于作者 作者介绍 ???? 博客主页:作者主页 ???? 简介:JAVA领域优质创作者????、一名在校大三学生????、在校期间参加各种省赛、国赛,斩获一系列荣誉???? ???? 关注我:关注我学习资料、文档下载统统都有,每日定时更新文章,励志做一名JAVA资深程序猿????‍???? JWT简介 1、概述 传统的Web应用中,使用session来存在用户的信息,每次用户认证通过以后,服务器需要创建一条记录 保存用户信息,通常是在内存中。
登录认证 (一)JWT令牌
m0_62244553的博客
06-03 1059
会话字面意思就是谈话、交谈,在web开发中,浏览器与服务器之间的一次连接我们就称为一次会话。举个例子,我们打开浏览器访问服务器资源(浏览器不能关,服务器不能断)第一次:访问登录接口第二次:访问药品接口第三次:访问员工接口只要浏览器不关,以上三次请求属于一次会话中完成的。听完这些我们对会话技术有了一定的了解,接下来我们在了解一下会话跟踪。会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
JWT令牌实现登录认证
xianyu4625的博客
02-05 528
JWT令牌实现登录认证
使用Jwt令牌做单点登陆
qq_42059426的博客
08-21 279
使用Jwt令牌做单点登陆 使用Springboot搭建后台,集成JWT令牌,作为token 导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 配置文件 jwt: #jwt配置,提供个JwtUtil
JWT令牌技术实现登录校验
fjf_666的博客
05-14 1178
介绍JWT令牌会话技术实现登录校验
ajax获取jwt token,【编程】jwt认证生成后的token如何传回后端并解析的详解
weixin_31075273的博客
08-06 1429
jwt认证生成后的token后端解析一.首先前端发送tokentoken所在的位置headers{'authorization':token的值',Content-Type':application/json}在ajax写//只展示headers部分代码headers:{"authorization":this.$cookies.get("token")}//token值一般是放在cookies里...
JWT令牌
m0_46351336的博客
05-03 225
JWT令牌 概念:JSON Web Token ​ json:三部分组成,头部、载荷与签名 ​ 1 Header:{“typ”:“JWT”,“alg”:“HS256”} =》base64 ​ 2 playload:{“sub”:“1234567890”,“name”:“John Doe”,“admin”:true} =》base64 ​ 3 signature:将前两部分用”.“链接后使用算法加密...
JWT 登录
从零开始的博客
10-21 796
JWT 使用、封装的工具类。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值