SpringBoot学习笔记(十三:JWT )

最新推荐文章于 2024-03-07 08:39:19 发布
最新推荐文章于 2024-03-07 08:39:19 发布
阅读量3.6k 收藏 52
点赞数 6
分类专栏: SpringBoot 文章标签: JWT SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_40770656/article/details/105474020
版权

文章目录


在这里插入图片描述

一、JWT简介

JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。


1、JWT认证

传统的session认证一般是这样的流程:

  • 1、用户向服务器发送用户名和密码。

  • 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。

  • 3、服务器向用户返回一个 session_id,写入用户的 Cookie。

  • 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

  • 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。


session认证流程

在这里插入图片描述

这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。

一种解决方案是 session共享,将session持久化或者存入缓存。各种服务收到请求后,都向持久层或缓存请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层或者缓存万一挂了,就会认证失败。

另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。

JWT认证流程:

  • 1、 用户使用账号和密码发出post请求;
  • 2、 服务器使用私钥创建一个jwt;
  • 3、 服务器返回这个jwt给浏览器;
  • 4、 浏览器将该jwt串在请求头中像服务器发送请求;
  • 5、 服务器验证该jwt;
  • 6、 返回响应的资源给浏览器。


jwt认证流程

在这里插入图片描述


2、JWT的组成


JWT信息

在这里插入图片描述

从上图可以看到,JWT含有三部分:头部(header)、载荷(payload)、签名(signature)。

2.1、头部(header)

JWT的头部有两部分信息:

  • 声明类型,这里是JWT
  • 声明加密的算法,通常直接使用HMAC SHA256

头部示例如下:

{
  "alg": "HS256",
  "typ": "JWT"
}

头部一般使用base64加密(该加密是可以对称解密的),构成了第一部分:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2.2、载荷(payload)

这部分一般存放一些有效的信息。JWT的标准定义包含五个字段:

  • iss:该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的

载荷示例如下:

{
    "iss": "kkjwt",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "kk"
}

2.3、签名(signature)

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。


    HMACSHA256(
      base64UrlEncode(header) + "." +
      base64UrlEncode(payload),
      secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。


4、JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。


二、SpringBoot整合JWT

1、依赖

引入jwt的依赖

        <!--jwt-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.2</version>
        </dependency>

2、工具类

Jwt工具类进行token的生成和认证:

/**
 * JWT工具类
 * 用于生成和校验token
 */

public class JwtUtil {
    private static final Logger logger = LoggerFactory.getLogger(JwtUtil.class);
    /**
     * 秘钥
     */
    private static final String SECRET = "my_secret";

    /**
     * 过期时间
     **/
    private static final long EXPIRATION = 1800L;//单位为秒

    /**
     * 生成用户token,设置token超时时间
     */
    public  static String createToken(User user){
        //过期时间
        Date expireDate = new Date(System.currentTimeMillis() + EXPIRATION * 1000);
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        String token= JWT.create()
                .withHeader(map)                //添加头部
                //可以把数据存在claim中
                .withClaim("id",user.getId())      //userId
                .withClaim("name",user.getName())
                .withClaim("userName",user.getUserName())
                .withExpiresAt(expireDate)          //超时设置,设置过期的日期
                .withIssuedAt(new Date()) //签发时间
                .sign(Algorithm.HMAC256(SECRET)); //SECRET加密
        return token;
    }

    /**
     * 检验token并解析token
     */
    public static Map<String, Claim> verifyToken(String token){
        DecodedJWT jwt=null;
        try {
            JWTVerifier verifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt=verifier.verify(token);
        }catch (Exception e){
            logger.error(e.getMessage());
            logger.error("解析编码异常");
        }

        return jwt.getClaims();
    }
}

3、过滤器

JWT过滤器中进行token的校验和判断,,token不合法直接返回,合法则解密数据并把数据放到request中供后续使用。

为了使过滤器生效,需要在启动类添加注解@ServletComponentScan(basePackages = “edu.hpu.filter”):

@WebFilter(filterName = "jwtFilter",urlPatterns = "/secure/*")
public class JwtFilter implements Filter{
    private final Logger logger = LoggerFactory.getLogger(JwtFilter.class);


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpServletResponse response = (HttpServletResponse) servletResponse;

        response.setCharacterEncoding("UTF-8");
        //获取header里的token
        String token=request.getHeader("authorization");
        if ("OPTIONS".equals(request.getMethod())) {              //除了 OPTIONS请求以外, 其它请求应该被JWT检查
            response.setStatus(HttpServletResponse.SC_OK);
            filterChain.doFilter(request, response);
        }else {
            if (token == null) {
                response.getWriter().write("没有token!");
                return;
            }
        }

        Map<String, Claim> userData = JwtUtil.verifyToken(token);

        if (userData==null){
            response.getWriter().write("token不合法!");
            return;
        }
        Integer id = userData.get("id").asInt();
        String name = userData.get("name").asString();
        String userName = userData.get("userName").asString();
        //拦截器 拿到用户信息,放到request中
        request.setAttribute("id", id);
        request.setAttribute("name", name);
        request.setAttribute("userName", userName);
        filterChain.doFilter(servletRequest,servletResponse);

    }

    @Override
    public void destroy() {

    }
}

4、控制层

  • 登录Controller进行登录操作,登录成功后生产token并返回:
/**
 * 登录Controller
 */

@RestController

public class LoginController {
    private final Logger logger = LoggerFactory.getLogger(LoginController.class);

    //模拟数据库
    static Map<Integer, User> userMap = new HashMap<>();
    static {
        User user1 = new User(1, "zhangsan", "张三", "123456");
        userMap.put(1, user1);
        User user2 = new User(2, "lisi", "李四", "123123");
        userMap.put(2, user2);
    }

    /**
     * 模拟用户登录
     */

    @RequestMapping("/login")
    public String login(User user){
        for (User dbUser : userMap.values()) {
            if (dbUser.getName().equals(user.getName()) && dbUser.getPassword().equals(user.getPassword())) {
                logger.info("登录成功!生成token!");
                String token = JwtUtil.createToken(dbUser);
                return token;
            }
        }
        return "";
    }
}

  • SecureController中的请求会被JWT过滤器拦截,合法后才能访问:
**
 * 需要登录后才可访问
 */
@RestController
public class SecureController {
    private final Logger logger = LoggerFactory.getLogger(SecureController.class);

    /**
     * 查询用户信息,登录后才可访问
     */

    @RequestMapping("/secure/getUserInfo")
    public String getUserInfo(HttpServletRequest request){
        Integer id = (Integer) request.getAttribute("id");
        String name = request.getAttribute("name").toString();
        String userName = request.getAttribute("userName").toString();
        return "当前用户信息id=" + id + ",name=" + name + ",userName=" + userName;
    }
}

三、测试

测试时先访问登录接口,根据用户名和密码生成token,再将token放在请求头里,去访问需要登录才能访问的接口。


1、访问登录接口

直接访问登录接口:http://localhost:8080/login?name=zhangsan&password=123456

登录成功则返回token:

在这里插入图片描述

2、访问需要登录的接口

访问http://localhost:8080/secure/getUserInfo,请求头里需要携带token:

在这里插入图片描述

成功获取用户信息。



本文为学习笔记类博客,学习资料来源见参考!


参考:

【1】:《SpringBoot Vue 全栈开发实战》
【2】:一分钟带你了解JWT认证!
【3】:SpringBoot集成JWT实现权限认证
【4】:使用 JWT 来保护你的 SpringBoot 应用
【5】:基于jwt的token验证
【6】:前后端分离之JWT用户认证
【7】:JSON Web Token 入门教程
【8】:傻傻分不清之 Cookie、Session、Token、JWT

三分恶
关注
  • 6
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ABP VNext 集成JwtBearer(JWTJwtDemo.Api
07-22
ABP VNext 集成JwtBearer DEMO 简单版本安装依赖包 Microsoft.AspNetCore.Authentication.JwtBearer,亲测可以使用。最后在对应控制器或者方法加上加特性Authorize,然后可以通过postman调用,401即验证成功
jwt简单的介绍和了解
10-27
就是json web token JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。 cookie+session这种模式通常是保存在内存中,而且服务从单服务到多服务会面临的session共享问题,随着用户量的增多,开销就会越大。而JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。 1、因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。 2、JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。 3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
Spring Boot 生成与解析Jwt
最新发布
记录开发日常
03-07 573
/</</</
JWT 基础概念详解
m0_53157173的博客
10-19 629
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
JWT详解
qq_52030824的博客
03-17 3411
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1729
SpringBoot+Mybatis-plus+Mysql+JWT
JWT
m0_46487331的博客
12-14 759
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
如何在springboot项目中使用JWT
weixin_51496936的博客
06-27 3526
开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。该信息可以被验证和信任,因为它是数字签名的。
SpringbootJWT
沉迷写代码的程序猿的博客
03-22 3068
文章目录SpringbootJWT一、JWT简介1、JWT的优势2、JWT的结构2.1、标头(Header)2.2、有效负荷(Payload)2.3、签名(Signature)二、SpringBoot整合JWT SpringbootJWT 一、JWT简介 JWT,是指JSON Web Token,也就指通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 1、JWT的优势 在JavaWeb阶段,经常使用ses
springboot进阶】jwt在前后端分离的最佳实践方式(二)
06-07 1043
使用拦截器对jwt进行校验,并解密出jwt附带的字段信息,并进行封装成自定义的bean,最后通过自定义参数解析器,将bean注入到controller控制器。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
springboot-jwt-server:样本JWT服务器
04-19
样本JWT服务器 终点 用于验证用户 注册新用户 怎么跑 java -jar app-0.0.1-SNAPSHOT.jar JWT到期配置 app : jwt : jwtSecret : attgroup jwtExpiration : 10000 # in milliseconds
springboot-jwt-demo:测试JWT转载
03-05
springboot-jwt-demo 简介 这是一个使用了springboot + springSecurity + jwt实现的基于令牌的权限管理的一个演示 具体说明可以看 使用 更改一下application.properites的数据库的一些配置信息,然后就可以运行了 ...
springboot-jwt:Spring Boot JWT示例
04-11
Spring Boot JWT示例 该项目演示了如何使用JSON Web令牌(JWT)保护Spring Boot应用程序。 检阅文章: :
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
JWT简介及使用
weixin_43994244的博客
09-07 3110
JWT认证使用
JWT介绍
luoyueliushuang的博客
02-26 1782
1 什么是JWT JWT,全称 JSON Web Token,是一个开发标准(rfc7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或者使用RSA或ECDSA的公钥/私钥对进行签名。 通俗来讲,就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密,签名等相关处理。 2 JWT认证流程 1.前端通过Web表单将自己
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 8495
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
springboot前后端分离如何实现jwt单点登录
06-08
要在Spring Boot前后端分离中实现JWT单点登录,您可以按照以下步骤进行: 1. 后端实现JWT认证和授权 在后端,您需要使用Spring Security和JWT实现认证和授权。当用户登录成功时,使用JWT生成一个token并将其返回给前端。在后续请求中,前端需要将token作为Authorization Header发送到后端验证用户的身份和权限。 2. 在前端存储JWT token 在前端,您需要将JWT token存储在客户端。您可以使用localStorage或sessionStorage来存储JWT token。 3. 实现单点登录 当用户访问其他资源(另一个前端应用或后端API)时,前端需要检查本地存储的JWT token是否存在。如果存在,则将其发送到后端进行验证。如果JWT token有效,则用户已经登录,可以访问资源。如果JWT token无效,则用户需要重新登录。 4. 共享JWT secret 要实现单点登录,您需要使用相同的JWT secret在所有应用程序之间共享JWT token。秘密应该足够强大,以防止未经授权的访问。 5. 解决JWT token过期问题 JWT token有一个过期时间,当过期时,用户需要重新登录。要解决这个问题,您可以使用refresh token或者每次用户访问时都重新生成一个新的JWT token。 以上是实现Spring Boot前后端分离的JWT单点登录的大致步骤。实现单点登录需要考虑安全性、性能和用户体验等方面的问题。因此,您需要根据实际情况进行自定义和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三分恶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值