Jwt-应用实践

最新推荐文章于 2024-08-19 10:07:46 发布
最新推荐文章于 2024-08-19 10:07:46 发布
阅读量212 收藏
点赞数
分类专栏: 服务端技术 文章标签: java jwt spring boot 安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanduo112/article/details/105575618
版权

Jwt应用实践

Jwt应用实践

1、概述(what)

1.1 定义
	JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs  can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。
1.2 如何构造
JWT包含了三部分,分别使用'.'分割:
	Header(头信息)
	Payload(载荷,或者说数据)
	Signature(签名,附属信息)
JWT的标准样式:
	xxxxx.yyyyy.zzzzz
1.2.1 header
	The header typically consists of two parts: the type of the token, which is JWT, and the signing algorithm being used, such as HMAC SHA256 or RSA.

头信息包含两部分:
	(1) token,也就是 JWT,是Base64编码的Url	
	(2) 加密算法(如 HMAC SHA256 or RSA)
举例:
	{
      "alg": "HS256",
      "typ": "JWT"
	}
1.2.2 payload
	The second part of the token is the payload, which contains theclaims. Claims are statements about an entity (typically, the user) and additional data. There are three types of claims: registered, public, and private claims.

这部分主要是声明,内容如下:
	标准的实体信息,如用户
	附加信息
声明分为三种:
	注册式声明
	公开声明
	私有声明
	
示例:
	{
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
    }
 Base64 编码
 注意:
	  请注意,对于已签名的令牌,此信息尽管可以防止篡改,但任何人都可以读取。除非将其加密,否则请勿将机密信息放入JWT的有效负载或报头元素中。输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,与基于XML的标准(例如SAML)相比,它更紧凑。
  • Registered claims
	These are a set of predefined claims which are not mandatory but recommended, to provide a set of useful, interoperable claims. Some of them are: iss (issuer), exp (expiration time), sub (subject), aud (audience), and others.

	这些是一组非强制性的但建议使用的预定义要求,以提供一组有用的,可互操作的要求。 其中一些是:iss(发行者),exp(到期时间),sub(主题),aud(受众)等。
  • Public claims
	These can be defined at will by those using JWTs. But to avoid collisions they should be defined in the IANA JSON Web Token Registry or be defined as a URI that contains a collision resistant namespace.
	JWT使用者可以随意定义声明。 但是为避免冲突,应在IANA JSON Web令牌注册表中定义它们,或将其定义为包含抗冲突名称空间的URI。
  • Private claims
	These are the custom claims created to share information between parties that agree on using them and are neither registered or public claims.
这些是自定义声明,旨在使用者之间共享信息,既不是注册声明也不是公共声明。
1.2.3 signature
	To create the signature part you have to take the encoded header, the encoded payload, a secret, the algorithm specified in the header, and sign that.
	要创建签名部分,您必须获取编码的标头,编码的有效载荷,机密,标头中指定
的算法,并对其进行签名。
如,如果要使用HMAC SHA256算法,则将通过以下方式创建签名:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

	签名用于验证消息在此过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。

2、工作机理(why)

	在身份验证中,当用户使用其凭据成功登录时,将返回JSON Web令牌。 由于令牌是凭据,因此必须格外小心以防止安全问题。 通常,令牌的保留时间不应超过要求的时间。
	由于缺乏安全性,您也不应该将敏感的会话数据存储在浏览器中。
	每当用户想要访问受保护的路由或资源时,用户代理通常应使用承载模式在授权标头
中发送JWT。 标头的内容应如下所示:
Authorization: Bearer <token>
2.1 特点
 - 优势:

(1)让我们谈谈与简单Web令牌(SWT)和安全性声明标记语言令牌(SAML)相比,JSON Web令牌(JWT)的好处。	
(2)由于JSON不如XML冗长,因此在编码时JSON的大小也较小,从而使JWT比SAML更为紧凑。 这使得JWT是在HTML和HTTP环境中传递的不错的选择。
(3)在安全方面,只能使用HMAC算法由共享机密对SWT进行对称签名。 但是,JWT和SAML令牌可以使用X.509证书形式的公用/专用密钥对进行签名。 与签名JSON的简单性相比,使用XML数字签名对XML进行签名而不引入模糊的安全漏洞是非常困难的。
(4)JSON解析器在大多数编程语言中都很常见,因为它们直接映射到对象。 相反,XML没有自然的文档到对象映射。 与SAML断言相比,这使使用JWT更加容易。
(5)关于用法,JWT是在Internet规模上使用的。 这强调了在多个平台(尤其是移动平台)上对JSON Web令牌进行客户端处理的简便性。

3、应用场景(who\where\when)

JWT的使用场景

 	授权:这是使用JWT的最常见方案。 一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。 单一登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

	信息交换:JSON Web令牌是在各方之间安全传输信息的一种好方法。 因为可以对JWT
	进行签名(例如,使用公钥/私钥对),所以您可以确定发件人是他们所说的人。 此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。

4、实战(how)

4.1、引入依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
4.2、给application.yml 添加配置
jwt:
  config:
    key: saas_hrm
    ttl: 3600000
    secret-key: secretKey
4.3、添加配置类 JwtUtils
   import io.jsonwebtoken.Claims;
    import io.jsonwebtoken.Jws;
    import io.jsonwebtoken.Jwts;
    import io.jsonwebtoken.SignatureAlgorithm;
    import lombok.Getter;
    import lombok.Setter;
    import org.springframework.boot.context.properties.ConfigurationProperties;
    import org.springframework.context.annotation.Configuration;
    
    import java.util.Date;
    import java.util.Map;
    
    /**
     * @author 三多
     * @Time 2020/3/24
     */
    @Getter
    @Setter
    @ConfigurationProperties(prefix = "jwt.config")
    @Configuration
    public class JwtUtils {
        /**签名私钥*/
        private String key;
        /**签名的失效时间*/
        private Long ttl;
        /**签名的失效时间*/
        private String secretKey;
    
        /**
         * 解析token获取claims
         */
        public  Claims parseJwt(String token) {
            Jws<Claims> parseClaimsJws = Jwts.parser()
                    //私钥
                    .setSigningKey(secretKey)
                    .parseClaimsJws(token);
            Claims claims = parseClaimsJws.getBody();
            return claims;
        }
    
        /**
         * 创建token
         *      id:登录用户id
         *      subject:登录用户名
         *  步骤:
         *      1. 设置失效时间
         *      2. 创建jwtBuilder
         *      3. 根据map 设置claims
         *      4.创建token
         */
        public String createJwt(String id,String name,Map<String,Object> params) {
            //1. 设置失效时间
            Long  now  = System.currentTimeMillis();
            long  exp = now + ttl;
            //4.创建token
            return Jwts.builder().setId(id)
                    //2. 创建jwtBuilder
                    .setSubject(name)
                    //签发时间
                    .setIssuedAt(new Date())
                    .setExpiration(new Date(exp))
                    .signWith(SignatureAlgorithm.HS512, secretKey)
                    //3. 根据map 设置claims
                    .addClaims(params)
                    .compact();
        }
    
    
    }
4.4、工具包
4.4.1、ResultCode
 import lombok.AllArgsConstructor;
    import lombok.Getter;
    
    /**
     * 公共返回码
     *
     * @author 三多
     * @Time 2020/3/10
     */
    @Getter
    @AllArgsConstructor
    public enum ResultCode {
        SUCCESS(true, 10000, "操作成功!"),
        /************************系统错误返回码:1XXX***************************/
        FAIL(false, 10001, "操作失败!"),
        UN_AUTHENTICATED(false, 10002, "您还未登录!"),
        UN_AUTHORISE(false, 10003, "没有访问权限!"),
        SERVER_ERROR(false, 99999, "抱歉系统繁忙,请稍后重试!"),
        /************************用户操作返回码:2XXX***************************/
        MOBILE_ERROR_OR_PASSWORD_ERROR(false, 20001, "用户名或者密码错误!");
        /************************企业操作返回码:3XXX***************************/
        /************************权限操作返回码: 4XXX***************************/
        /************************其他操作返回码: 5XXX***************************/
    
        /**
         * 操作是否成功
         */
        boolean success;
        /**
         * 操作代码
         */
        int code;
        /**
         * 提示信息
         */
        String message;
    
    }
4.4.2、BusinessException
 import com.hrm.common.entity.ResultCode;
    import lombok.Getter;
    import lombok.Setter;
    import org.springframework.http.HttpStatus;
    
    import java.io.Serializable;
    
    /**
     * @author 三多
     * @Time 2020/3/13
     */
    public class BusinessException extends RuntimeException implements Serializable {
    
        @Setter
        @Getter
        private int code=HttpStatus.INTERNAL_SERVER_ERROR.value();
    
        @Setter
        @Getter
        private String message;
        public BusinessException(String message) {
            super(message);
            this.message = message;
        }
        public BusinessException(ResultCode resultCode) {
            super(resultCode.getMessage());
            this.message = resultCode.getMessage();
        }
        public BusinessException(String message,Throwable throwable) {
            super(message,throwable);
            this.message = message;
        }
    
        /**
         *
         * @param message 消息
         * @param code 状态码
         */
        public BusinessException(String message, int code) {
            super(message);
            this.code = code;
            this.message = message;
        }
        public  BusinessException(int code,String message ,Throwable throwable){
            super(message,throwable);
            this.code = code;
        }
    }
4.5、自定义拦截器
 import com.hrm.common.entity.ResultCode;
    import com.hrm.common.exception.BusinessException;
    import com.hrm.common.utils.JwtUtils;
    import io.jsonwebtoken.Claims;
    import org.apache.commons.lang3.StringUtils;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Component;
    import org.springframework.web.bind.annotation.DeleteMapping;
    import org.springframework.web.method.HandlerMethod;
    import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
    
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.util.Objects;
    
    /**
     * 自定义拦截器:
     *     继承:
     *     HandlerInterceptorAdapter
     *      preHandle:进入到控制器之前执行的内容
     *          boolean:
     *              true:可以继续执行控制器方法
     *              false:拦截控制器方法
     *      postHandle:执行控制器方法之后执行的内容
     *      afterCompletion:响应结束之后执行的内容
     * @author 三多
     * @Time 2020/3/26
     */
     @Component
    public class JwtIntercept extends HandlerInterceptorAdapter {
    
        @Autowired
        private JwtUtils jwtUtils;
    
        /**
         * 1、通过拦截器获取token
         *      统一的用户权限校验(是否登录)
         *         a. 通过request获取token信息
         *         b. 从token中获取claims
         *         c. 将claims 绑定到request域中
         * 2、判断当前用户是否具有当前访问接口的权限
         */
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            //a. 通过request获取token信息
            String authorization = request.getHeader("Authorization");
            //判断请求头是否为空,或者以Bearer开头
            if(! StringUtils.isEmpty(authorization)&& authorization.startsWith("Bearer")){
                //获取token
                String token = authorization.replace("Bearer ", "");
                //解析token 获取 claims
                Claims claims = jwtUtils.parseJwt(token);
                if(Objects.nonNull(claims)){
                    /**
                     * 获取当前用户可访问的API权限字符串,
                     *      a. 获取handlerMethod
                     *      b. 获取注解
                     *      c. 获取注解的名称
                     *      d. 判断是否包含
                     *          包含就赋权
                     *          否则提示没有权限
                     */
                    //获取当前用户可访问的API权限字符串
                    String apis = String.valueOf(claims.get("apis"));
                    if(handler instanceof HandlerMethod) {
                        HandlerMethod handlerMethod = (HandlerMethod) handler;
                        DeleteMapping methodAnnotation = handlerMethod.getMethodAnnotation(DeleteMapping.class);
                        String name = methodAnnotation.name();
                        if(apis.contains(name)){
                            request.setAttribute("user_claims",claims);
                            return true;
                        }else{
                            throw new BusinessException(ResultCode.UN_AUTHORISE);
                        }
                    }
                }
            }
            throw new BusinessException(ResultCode.UN_AUTHENTICATED);
    
        }
    
    }
4.6、注册拦截器
package com.hrm.system.config;

import com.hrm.common.intercept.JwtIntercept;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.orm.jpa.support.OpenEntityManagerInViewFilter;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author 三多
 * @Time 2020/3/27
 */
@Configuration
public class SysConfig implements WebMvcConfigurer {
    @Autowired
    private JwtIntercept jwtIntercept;

    /**
     * 添加拦截器配置
     *      1. 添加自定义拦截器
     *      2. 指定拦截器的URL地址
     *      3. 指定不拦截器的URL地址
     *  造成问题:
     *      延迟加载no session
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //1. 添加自定义拦截器
        registry.addInterceptor(jwtIntercept)
                //2. 指定拦截器的URL地址
                .addPathPatterns("/**")
                //3. 指定不拦截器的URL地址
                .excludePathPatterns("/system/login","/frame/register/**");
    }

    /**
     * jpa EntityManager 懒加载:解决no session
     * 防止 session失效
     *
     * 延迟关闭session到 view 层
     * @return
     */
    @Bean
    public OpenEntityManagerInViewFilter openEntityManagerInViewFilter(){
        return new OpenEntityManagerInViewFilter();
    }
}
4.7、源码地址

github源码地址

5、参考

  1. JWT官网参考文档
  2. 10分钟了解JSON Web令牌(JWT)
  3. RFC 定义
sanduo112
关注
专栏目录
JWT-auth的原理以及laravel中tymon/jwt-auth的安装使用
caozhennan824的博客
06-20 1万+
引言 最近后端准备用laravel来编写一个微信小程序的后端,那么首先涉及到的就是用户登录授权访问后端api的逻辑实现,之前还自己封装点token验证的类来处理登录状态,但是一接触laravel,就知道了tymon/jwt-auth的鼎鼎大名。那就必须来探究和学习一下了。 一.JWT auth知识及原理 想在laravel中使用tymon/jwt-auth之前,有些概念我们必须要学习。下面我将用自己的语言来描述一下。 1.什么是所谓的token? 我们都知道http协议是无状态的协议,unstate,这
JWT技术分析及应用实践
weixin_44265089的博客
08-03 168
背景 传统的单服务器登录系统采用cookie存储sessionId的方式实现登录,第一次登录时,服务端创建session,存储用户信息,并将这个session赋予一个sessionId传给客户端,客户端将它存储到cookie中,下次访问时,携带本域下的cookie访问服务器端,实现免登录.但是在分布式系统中,客户端每次访问只能携带本域下的cookie值,所以不能实现单点登录的效果,所以使用其他的方法来实现登录信息的保存. 概念 JWT是借助json格式数据作为web应用请求的标准令牌,进行数据的自.
04-JWT技术分析及应用实践
雨田说码
07-22 5481
JWT简介 背景 在传统的有状态服务应用中,服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。例如登录:用户登录后,我们把用户的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步有浏览器自动完成),我们就能识别到对应session,从而找到用户的信息。这种方式目前来看最方便,但在分布式应用中,由服务端保存用户状态不是一种很好的选择,因此JWT诞生
JwtUtiles 生成token工具类
hwt1070359898的博客
11-15 837
package com.sense.fircloud.common.util; import com.sense.fircloud.common.exception.BusinessException; import com.sense.fircloud.common.result.RespCode; import io.jsonwebtoken.*; import org.springframework.util.StringUtils; import javax.crypto.spec.Secre.
Springboot 使用jwt验证常见异常
weixin_53658826的博客
12-08 5911
Springboot jwt验证常见异常
laravel 5.7 安装 jwt-auth,jwt-auth 文档翻译
beyond__devil的博客
11-07 2286
laravel 5.7 安装 jwt-auth(默认安装的是 0.5.12 版本) github 地址: https://github.com/tymondesigns/jwt-auth 旧版文档: https://github.com/tymondesigns/jwt-auth/wiki 新版文档: https://jwt-auth.readthedocs.io/en/develo...
Flask-JWT-Extended 使用教程
最新发布
gitblog_00691的博客
08-19 957
Flask-JWT-Extended 使用教程 flask-jwt-extended An open source Flask extension that provides JWT support (with batteries included)!项目地址:https://gitcode.com/gh_mirrors/fl/flask-jwt-extended 项目介绍 Flask-JWT-...
Laravel开发-jwt-auth
08-28
JWT是一种开放标准(RFC 7519),用于在网络应用之间安全地传输信息。它通过数字签名来确保数据完整性,可以用来在不依赖会话的情况下验证用户身份。每个JWT由三部分组成:头部、负载和签名,这些部分通过点分隔。 ...
cpp-jwt:C ++的JSON Web令牌库
02-05
在使用JWT时,确保遵循最佳安全实践: - 使用强密钥来签名JWT,防止被破解。 - 不要在JWT中存储敏感信息,因为它们可以在网络上明文传输。 - 设置合理的过期时间,避免长时间有效的JWT导致安全风险。 - 考虑使用刷新...
AngularJS 授权示例:Express-JWT-AUTH 实践指南
express-jwt-auth是一个用于Node.js的中间件,它可以帮助我们在使用express框架的Web应用程序中实现JWT(JSON Web Tokens)的授权。在这个示例中,express-jwt-auth被用来在express服务器上实现JWT的验证。 知识点3...
flask-jwt-auth-test:Flask-JWT测试项目
05-04
总的来说,"flask-jwt-auth-test"项目为我们提供了一个学习和实践Flask应用JWT身份验证的好例子。通过这种方式,开发者可以构建更安全、更高效的Web服务,保护用户的敏感信息,并防止未经授权的访问。
JWT 在前后端分离中的应用实践
u012925172的博客
09-18 550
本文主要介绍JWT(JSON Web Token)授权机制在前后端分离中的应用实践,包括以下三部分: JWT原理介绍 JWT安全性 React.js+Flux架构下的实践(React-jwt example) 0 关于前后端分离 前后端分离是一个很有趣的议题,它不仅仅是指前后端工程师之间的相互独立的合作分工方式,更是前后端之间开发模式与交互模式的模块化、解耦化。计算机世界的经...
JWT应用及配置
qq_15832329的博客
11-27 819
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外
全网最详细教程:前后端分离项目JWT解决方案
qq_14853853的博客
12-30 2048
目录前言:1.JWT介绍1.1什么是JWT1.2结构解析headerpayloadSignature1.3小结2.环境搭建2.1引入依赖2.2工具类2.3后端主要代码讲解2.4前端主要代码3.总结 前言: 本文主要讲解谷歌浏览器80版本session不一致问题的解决方案二,方案一大家可以看看这篇文章,是基于session的方式传送门。 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 1.JWT介绍 1.1什么是
SpringBoot 启动配置文件加载和参数配置修改问题
天雨流芳
02-16 5731
Springboot 配置文件加载机制、以及配置覆盖机制
springcloud-alibaba-组件库
天雨流芳
01-27 2027
架构选型技术选型包格式公共配置Springcloud Alibaba 简介概述下载,安装nacos下载手册安装配置 MySQL 数据库启动集群防火墙访问升级nacos1.x 到 2.x防火墙nginx 安装grpc配置nacos2.0 nginx 配置nginx配置完整版Seata 安装下载地址配置参考工程目录组件实战参考 技术选型 技术选型: 1、Spring Boot 2.2.5.RELEASE、Spring CLoud Hoxton.SR3、 Springcloud Alibaba 2.2.0.RE
springboot 的yaml配置文件加密
天雨流芳
05-31 1931
Spring Boot应用开发中,利用Jasypt对YAML配置文件实施加密是一种保障敏感数据安全的关键措施。首先,通过在项目构建文件中引入Jasypt Spring Boot Starter依赖来集成该工具。随后,设定一个强大的加密密钥作为环境变量或系统属性。在配置文件中,将敏感信息如数据库密码采用ENC()标记进行加密存储。Jasypt在应用启动时自动解密这些配置,确保数据在使用前恢复为明文,过程中无须手动干预。此外,还能进一步自定义加密算法等高级设置以增强安全性。
系统架构师:面试题-1
天雨流芳
10-10 1913
系统架构师:架构、性能、系统
SpringBoot 2.x Prometheus + Grafana 整合 Consul实现微服务监控
天雨流芳
05-16 1568
1、搭建基础环境 安装Consul Docker安装 Prometheus Grafana实现应用可视化监控 配置的 prometheus.yml global: scrape_interval: 10s scrape_timeout: 10s evaluation_interval: 10m scrape_configs: - job_name: prometheus # 直接连...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值