JWT的使用流程

最新推荐文章于 2024-06-26 09:39:26 发布
最新推荐文章于 2024-06-26 09:39:26 发布
阅读量3.2k 收藏 5
点赞数 3
分类专栏: 随笔 文章标签: JWT 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shmely/article/details/85915044
版权

什么是JWT 

     Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

传统的 session 流程

  1. 浏览器发起请求登陆
  2. 服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie
  3. 浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器
  4. 服务器发现 Cookie 中有身份信息,验明正身
  5. 服务器返回该用户的用户资料

JWT 流程

  1. 浏览器发起请求登陆
  2. 服务端验证身份,根据算法,将用户标识符打包生成 token, 并且返回给浏览器
  3. 浏览器发起请求获取用户资料,把刚刚拿到的 token 一起发送给服务器
  4. 服务器发现数据中有 token,验明正身
  5. 服务器返回该用户的用户资料

区别

  1. session 存储在服务端占用服务器资源,而 JWT 存储在客户端
  2. session 存储在 Cookie 中,存在伪造跨站请求伪造攻击的风险
  3. session 只存在一台服务器上,那么下次请求就必须请求这台服务器,不利于分布式应用
  4. 存储在客户端的 JWT 比存储在服务端的 session 更具有扩展性

弊端

JWT中设置过期时间后必须等过期时间到后失效并不能随着登出失效,不过可以结合Redis进行使用,将Token存储在Redis中,设置Redis的过期时间

使用demo

一、引入包(其他诸如redis的包这边没列出)

 <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.1.0</version>
    </dependency>

二、编写类JwtHelper

package com.zhanghf.jwt;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.google.common.collect.Maps;
import org.apache.commons.lang3.time.DateUtils;

import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.Map;

public class JwtHelper {
  
  private static final String  SECRET = "session_secret";  //生成token的前缀
  
  private static final String  ISSUER = "heaven_token";  //定义发布者
  

  //生成token
  public static String genToken(Map<String, String> claims){
    try {
      Algorithm algorithm = Algorithm.HMAC256(SECRET);  //tocken生成的算法
      JWTCreator.Builder builder = JWT.create().withIssuer(ISSUER).withExpiresAt(DateUtils.addDays(new Date(), 1)); //设置过期时间为1天
      claims.forEach((k,v) -> builder.withClaim(k, v));  //将claims存储到token中
      return builder.sign(algorithm).toString();  //签名并且返回token
    } catch (IllegalArgumentException | UnsupportedEncodingException e) {
      throw new RuntimeException(e);
    }
  }

  //验证token
  public static Map<String, String> verifyToken(String token)  {
    Algorithm algorithm = null;
    try {
      algorithm = Algorithm.HMAC256(SECRET);
    } catch (IllegalArgumentException | UnsupportedEncodingException e) {
      throw new RuntimeException(e);
    }
    JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
    DecodedJWT jwt =  verifier.verify(token);
    Map<String, Claim> map = jwt.getClaims();
    Map<String, String> resultMap = Maps.newHashMap();
    map.forEach((k,v) -> resultMap.put(k, v.asString()));
    return resultMap;
  }

}

上述中的SECRET和ISSUER分别为生成token的前缀和定义发布者,可自行修改。genToken方法里面设置过期时间为1天,也可自己定义。

三、登录、鉴权、登录代码

package com.zhanghf.jwt;

import com.google.common.collect.ImmutableMap;
import redis.clients.jedis.Jedis;

import java.time.Instant;
import java.util.Map;

/**
 * Created by YQ11053 on 2019/1/5 0005.
 */
public class JwtDemo {

   static Jedis jedis = new Jedis("127.0.0.7",6379);

    public static void main(String[] args){
//        String token = auth("test@qq.com","123456");
//        String token = getLoginedUserByToken("eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtb29jX3VzZXIiLCJuYW1lIjoiNDQxMzM5OTA1QHFxLmNvbSIsImV4cCI6MTU0NjgyNzEyNywiZW1haWwiOiIxMjM0NTYiLCJ0cyI6IjE1NDY3NDA3MjcifQ.yAunUJCDP_szq5wQbsoCAlga-FFzwLWiI-IETSXGwCc");
//        System.out.println("token:"+token);
        invalidate("eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtb29jX3VzZXIiLCJuYW1lIjoiNDQxMzM5OTA1QHFxLmNvbSIsImV4cCI6MTU0NjgyNzEyNywiZW1haWwiOiIxMjM0NTYiLCJ0cyI6IjE1NDY3NDA3MjcifQ.yAunUJCDP_szq5wQbsoCAlga-FFzwLWiI-IETSXGwCc");
    }

    /******************************登录*************************************************/

    /**
     * 校验用户名密码、生成token并返回用户对象
     * @param email
     * @param passwd
     * @return
     */
    public static String auth(String email, String passwd) {
        String token =  onLogin(email,passwd);
        return token;
    }

    //生成token方法
    private static String onLogin(String userName,String email) {
        String token =  JwtHelper.genToken(ImmutableMap.of("email", email, "name", userName,"ts", Instant.now().getEpochSecond()+""));
        renewToken(token,email);
        return token;
    }

    //通过redis存储token,就可以随时修改token失效时间,不然只能在jwtHelper中设置的1天过期
    private static  String renewToken(String token, String email) {
        jedis.set(email,token);
        jedis.expire(email,300);
        return token;
    }

    /******************************鉴权*************************************************/

    public static String getLoginedUserByToken(String token) {
        Map<String, String> map = null;
        try {
            map = JwtHelper.verifyToken(token);
        } catch (Exception e) {
           System.out.println("错误");
        }
        String email =  map.get("email");
        Long expired = jedis.ttl(email);
        if (expired > 0L) {
            renewToken(token, email);
        }
        return token;
    }

    /******************************鉴权*************************************************/
    //登出设置token失效的方法
    public static void invalidate(String token) {
        Map<String, String> map = JwtHelper.verifyToken(token); //校验token
        jedis.del(map.get("email"));
    }

}

 

Heaven丶
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JWT使用方法
weixin_49596018的博客
03-31 193
一、加密算法 //salt文件 // 该文件包含一些加密的信息 // 会导出一个对象 const crypto = require('crypto'); // 加密方法包,里面包含了各种加密的方法 const MD5_SUFFIX = 'F71_salt'; // 加密后缀,也就是除了加密我们要加密的数据以外,我们在要加密的数据后面加一个后缀,增加安全性 module.exports = { secretKey : 'F71_key', // 密钥 // 可以对传入数据进行一个加密
JWT使用流程解析
weixin_69554846的博客
08-04 849
JWT加密到解码的过程解析总结及使用方法
探索Laravel JWT Helper:简化你的API安全之旅
最新发布
gitblog_00012的博客
06-26 392
探索Laravel JWT Helper:简化你的API安全之旅 项目地址:https://gitcode.com/stechstudio/laravel-jwt 在当今的Web开发世界中,JSON Web Tokens(JWT)作为一种高效的身份验证和授权机制,已经成为连接应用与用户的桥梁。对于那些构建在Laravel框架上的应用程序来说,stechstudio/laravel-jwt这个开源项...
jwt流程
zjcyixi的博客
05-06 972
jwt json web token,接口安全验证 session cookie 客户端向服务端发起请求-》服务端生成jsessionid,同时生成一个session文件放到服务器-》jsessionid返回客户端-》客户端存在cookie中-》下次请求的时候携带jsessionid-》服务端通过jsessionid查询文件-》能找到成功-》找不到失败 用户量非常大的时候一台服务器不能满足,负载均衡。 客户端存储,自认证,节约服务器资源,适合做单点登录 jwt三部分构成的:头部,载和,签证 生成:..
asp.net JWT用户认证方法
sunlibo111111的专栏
10-07 945
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串。 后端将J...
jwt工作流程
qq_46497604的博客
03-21 343
登录的时候向服务器发送用户密码,服务器验证通过后返回给一个token也就是所谓的令牌,然后用户在做每一个请求操作时都会带上这个令牌发给服务器,服务器一看令牌就返回数据了
JWT认证流程
xyx107的博客
02-14 2188
1.JWT是什么 JWT(JSON Web Token)是基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利 2.JWT认证流程 在前后端分离的项目中:前端将用户的登录信息发送给服务器;服务器接受请求后为用户生成独一无二的认真信...
Django rest framework jwt使用方法详解
09-18
使用 JWT流程通常包括以下步骤: 1. 用户登录:客户端发送用户名和密码,服务器验证成功后,生成 JWT 并返回给客户端。 2. 存储和使用 JWT:客户端保存 JWT,并在后续请求中将其放入 `Authorization` 头部,如 `...
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT?...使用 JwtHelper 工具类可以简化 JWT 的生成和验证过程。
详解JWT token心得与使用实例
10-16
例如,`{"typ": "JWT", "alg": "HS256"}` 表示这是一个JWT,并使用HS256算法进行签名。 - **有效载荷(Payload)**:包含了实际的数据,比如用户ID(userid)、签发者(iss)、签发时间(iat)和过期时间(exp)等...
springboot中使用jwt
03-06
这个过程确保了只有持有有效JWT的用户才能访问受保护的API资源,从而提高了系统的安全性。同时,由于JWT的无状态特性,它也适用于分布式系统,简化了会话管理。 注意,实际开发中可能还需要考虑其他因素,如刷新JWT...
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity来使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
JWT业务流程(未完)
m0_58229468的博客
07-25 149
1.当用户发送请求(request)访问服务器,例如登入操作的时候,会从cotroller里访问 /login方法,根据用户输入的用户和密码,认证用户是否可以登录,并且返回响应response和令牌token. 2.响应response是服务器向客户端传递响应的对象(如对象的格式,内容及编码), PrintWriter out=response.getWriter(); out.println(jsonStr); 将要传递的对象以json串格式写入客户端. 令牌token是将输入的密码进行加...
jwt的认证流程使用案例(session和token两种方式)
健康平安的活着的专栏
06-25 2923
传统session是保存在服务器内存中的,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存
JWT学习流程使用
m0_62356399的博客
07-19 702
然而,Session 是在服务器端的,而 JWT 是在客户端的。因为 JWT 可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。单点登录是现在广泛使用JWT 的一个特性,因为它的开销很小,而且可以轻松地跨域使用JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT,即 JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。
JWT认证原理,流程
weixin_45557544的博客
11-06 4450
JWT1,什么是jwt官网翻译:通俗解释:2,JWT能做什么2.1,授权 1,什么是jwt 官网 翻译: jsonwebtoken(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/秘钥对进行签名 通俗解释: JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息
JWT( 原理+流程+实例 )
m0_60708917的博客
10-28 1010
Autowired/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");
【2023/2/1】JWT 学习、实操一个简易的登录流程
qq_43774264的博客
02-01 971
token
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
gin jwt 使用
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和授权功能。JWT是一种用于在网络应用间传递信息的安全方法,它由三部分组成:header、payload和signature[^1]。 下面是在Gin框架中使用JWT的示例代码[^2]: 1. 导入所需的包: ```go import ( "github.com/gin-gonic/gin" "github.com/dgrijalva/jwt-go" ) ``` 2. 定义JWT的密钥: ```go var jwtKey = []byte("your_secret_key") ``` 3. 创建一个JWT的Claims结构体,用于存储用户的信息: ```go type Claims struct { Username string `json:"username"` jwt.StandardClaims } ``` 4. 创建一个处理登录请求的路由: ```go func login(c *gin.Context) { var loginData LoginData if err := c.ShouldBindJSON(&loginData); err != nil { c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid request"}) return } // 验证用户名和密码 if loginData.Username == "admin" && loginData.Password == "password" { // 创建JWT的Claims claims := &Claims{ Username: loginData.Username, StandardClaims: jwt.StandardClaims{ ExpiresAt: time.Now().Add(time.Hour * 24).Unix(), // 设置过期时间 }, } // 创建JWT token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims) tokenString, err := token.SignedString(jwtKey) if err != nil { c.JSON(http.StatusInternalServerError, gin.H{"error": "Failed to generate token"}) return } // 返回JWT给客户端 c.JSON(http.StatusOK, gin.H{"token": tokenString}) } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid credentials"}) } } ``` 5. 创建一个需要身份验证的路由: ```go func protectedRoute(c *gin.Context) { // 从请求头中获取JWT authHeader := c.GetHeader("Authorization") if authHeader == "" { c.JSON(http.StatusUnauthorized, gin.H{"error": "Missing authorization header"}) return } // 解析JWT tokenString := authHeader[7:] // 去除Bearer前缀 claims := &Claims{} token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) { return jwtKey, nil }) if err != nil { if err == jwt.ErrSignatureInvalid { c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid token signature"}) return } c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid token"}) return } if !token.Valid { c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid token"}) return } // 验证通过,继续处理请求 c.JSON(http.StatusOK, gin.H{"message": "Protected route"}) } ``` 6. 在路由中注册处理函数: ```go func main() { r := gin.Default() r.POST("/login", login) r.GET("/protected", protectedRoute) r.Run(":8080") } ``` 以上代码演示了在Gin框架中使用JWT进行身份验证和授权的基本流程。用户可以通过发送登录请求获取JWT,然后在需要身份验证的路由中将JWT放入请求头中进行验证。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值