基于JWT的Token认证机制(一)

最新推荐文章于 2024-03-05 15:46:17 发布
最新推荐文章于 2024-03-05 15:46:17 发布
阅读量3.2k 收藏 5
点赞数
分类专栏: 初入架构

简介

          JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。

JWT的组成

      一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature)。
      拼接形式为:  Header.Payload.Signature

头部(Header)

     JWT的头部用户描述关于该JWT的最基本信息,例如其类型以及签名所使用的算法等。这个可以被表示成一个JSON对象,比如下面类型就是JWT,使用的算法是HS256。
[plain] view plain copy
  1. {  
  2.   "typ": "JWT",  
  3.   "alg": "HS256"  
  4. }  

   上面的内容用Base64进行编码,编码后的字符串如下:
[plain] view plain copy
  1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9  

载荷(Payload)

  Payload里面是Token的具体内容,也就是Token的数据声明(Claim),这些内容里面有一些是标准字段,也可以添加其他需要添加的内容,如userId,email等。
   
[plain] view plain copy
  1. {  
  2.   "iss": "why",   
  3.   "iat": 1416797419,   
  4.   "exp": 1448333419,   
  5.   "aud": "www.example.com",   
  6.   "sub": "taobao.com",   
  7.   
  8. }  
  • iss: 该JWT的签发者,是否使用是可选的;
  • sub: 该JWT所面向的用户,是否使用是可选的;
  • aud: 接收该JWT的一方,是否使用是可选的;
  • exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;
  • iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;
  • nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟;,是否使用是可选的;
 上面的json内容,经过Base64编码后就成为如下内容:
[plain] view plain copy
  1. ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd  
  2. 3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9  

签名(Signature)

     签名就是对头部及载荷内容进行签名,如果有人截取了Token信息并对Token信息进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密时用的密钥的话,得出来的签名也一定是不一样的。
     签名的过程是这样的:采用header中声明的算法,接受三个参数:base64编码的header、base64编码的payload和秘钥(secret)进行运算。签名这一部分如果你愿意的话,可以采用RSASHA256的方式进行公钥、私钥对的方式进行。在下面的代码中,我们将介绍使用的签名方式。
   将上面的两个编码后的字符串都用句号连接在一起(头部在前),就形成了:
[plain] view plain copy
  1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd  
  2. 3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9  
  我们将上面拼接完的字符串用HS256算法进行加密,在加密的时候,提供一个密钥(secret),然后对上面的字符串进行加密后得到签名
[plain] view plain copy
  1. 6OcLdX38eKWn1gCyJ6RNwsAvIvXxYq1CGBkFWgiTsyc  
最后,将将这一部分也用句号拼接在字符串后面,就形成了
[plain] view plain copy
  1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd  
  2. 3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9.6OcLdX38eKWn1gCyJ6RNwsAvIvXxYq1CGBkFWgiTsyc  
 

JWT的工作流程
    
 如上图所示:
     1. 用户导航到登录页,输入用户名和密码,进行登录
     2. 服务器对登录用户进行认证,如果认证通过,根据用户的信息和JWT的生成规则生成JWT Token
     3. 服务器将该Token字符串返回
     4. 客户端得到Token信息,将Token存储在localStorage、sessionStorage或cookie等存储形式中。
     5. 当用户请求服务器API时,在请求的Header中加入 Authorization:Token。
     6. 服务端对此Token进行校验,如果合法就解析其中内容,根据其拥有的权限和自己的业务逻辑给出响应结果,如果不通过,返回HTTP 401。
     7. 用户进入系统,获得请求资源

JWT的JAVA实现

       1.JWT的组成已经在上面详细的介绍过了,所以如果自己写生成方法的话也是可以的,就是先将Header信息和Payload信息分别进行Base64编码,用英文句号隔开,然后用HMACSHA256算法进行签名,再把签名组合起来的过程。
       2. 这里我们重点说下使用JJWT的开源库;JJWT实现了JWT、JWS、JWE和JWA RFC规范,下面将简单举例说明如何使用:

生成Token码
 
[java] view plain copy
  1. package why.test;  
  2.   
  3. import io.jsonwebtoken.Claims;  
  4. import io.jsonwebtoken.JwtBuilder;  
  5. import io.jsonwebtoken.Jwts;  
  6. import io.jsonwebtoken.SignatureAlgorithm;  
  7.   
  8. import javax.crypto.spec.SecretKeySpec;  
  9. import javax.xml.bind.DatatypeConverter;  
  10. import java.security.Key;  
  11. import java.util.Date;  
  12.   
  13. /** 
  14.  * @Author: 王洪玉 
  15.  * @Decsription: 生成Token的工具类 
  16.  * @Create: 2017/11/12 20:06 
  17.  * @Modified By: 
  18.  */  
  19. public class TokenUtil {  
  20.     private static final String APP_KEY = "why_key"//进行数字签名的私钥,一定要保管好,不能和我一样写到博客中。。。。。  
  21.   
  22.     private TokenUtil(){  
  23.   
  24.     }  
  25.   
  26.     /** 
  27.      * 一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature) 
  28.      * @param id 当前用户ID 
  29.      * @param issuer 该JWT的签发者,是否使用是可选的 
  30.      * @param subject 该JWT所面向的用户,是否使用是可选的 
  31.      * @param ttlMillis 什么时候过期,这里是一个Unix时间戳,是否使用是可选的 
  32.      * @param audience 接收该JWT的一方,是否使用是可选的 
  33.      * @return 
  34.      */  
  35.     public static String createJWT(String id,String issuer,String subject,long ttlMillis, String audience){  
  36.   
  37.   
  38.         SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;  
  39.   
  40.         long nowMillis = System.currentTimeMillis();  
  41.         Date now = new Date(nowMillis);  
  42.   
  43.         byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(APP_KEY);  
  44.   
  45.         Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());  
  46.   
  47.         JwtBuilder jwtBuilder = Jwts.builder()  
  48.                 .setId(id)  
  49.                 .setSubject(subject)  
  50.                 .setIssuedAt(now)  
  51.                 .setIssuer(issuer)  
  52.                 .setAudience(audience)  
  53.                 .signWith(signatureAlgorithm,signingKey);  
  54. <span style="white-space:pre;"> </span>//设置Token的过期时间  
  55.         if(ttlMillis >=0){    
  56.             long expMillis = nowMillis + ttlMillis;  
  57.             Date exp = new Date(expMillis);  
  58.             jwtBuilder.setExpiration(exp);  
  59.         }  
  60.   
  61.         return jwtBuilder.compact();  
  62.   
  63.     }  
  64.   
  65.     //私钥解密token信息  
  66.     public static Claims getClaims(String jwt) {  
  67.         return Jwts.parser()  
  68.                 .setSigningKey(DatatypeConverter.parseBase64Binary(APP_KEY))  
  69.                 .parseClaimsJws(jwt).getBody();  
  70.     }  
  71.   
  72. }  
生成Token信息并解密
[java] view plain copy
  1.     @Test  
  2.     public void testCreateToken(){  
  3.         String userId = "WKSH121321KKsdfk";  
  4.         String issuer = "http://whytfjybj.com";  
  5.         String subject = "师范学院";  
  6.         long ttlMillis = 1000 * 60;  
  7.         String audience = "schoolNo";  
  8.         String token = TokenUtil.createJWT(userId,issuer,subject,ttlMillis,audience);  
  9.         //打印出token信息  
  10.         System.out.println(token);  
  11.   
  12.   
  13. //        解密token信息  
  14.         Claims claims = TokenUtil.getClaims(token);  
  15.         System.out.println("---------------------------解密的token信息----------------------------------");  
  16.         System.out.println("ID: " + claims.getId());  
  17.         System.out.println("Subject: " + claims.getSubject());  
  18.         System.out.println("Issuer: " + claims.getIssuer());  
  19.         System.out.println("Expiration: " + claims.getExpiration());  
  20.   
  21.     }  

总结: JWT本身的实现非常简单,虽然很高效的完成了用户认证,但网站的安全性问题是一个非常重要且关键的问题,通过上面的JWT生成过程我们可以很清楚的知道,JWT本身没有做加密处理,都是通过Base64进行编码后方便通过HTTP传输而已,Header和Payload信息都是可以通过Base64解码进行查看的。简单的安全措施是:
  1. 为保证用户密、密码验证过程的安全性,敏感信息需要在网络中传输,Token信息也会在Request请求信息中看到,因此,这个过程建议将网站进行SSL加密传输,采用HTTPS协议,以确保通道的安全性。
  2.在Payload中尽量少带敏感性信息,只带ID等无关网站安全的信息。
总之,网站安全又是另一个非常重要的话题了,涉及到的方方面面都很广,要防范的攻击也很多,我们就不做讨论了。


原文来自:https://blog.csdn.net/why15732625998/article/details/78534711

SnakeMoving
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 基于jwt实现认证机制流程解析
01-19
1.jwt的优缺点 jwt的优点: 1. 实现分布式的单点登陆非常方便 2. 数据实际保存在客户端,所以我们可以分担数据库或服务器的存储压力 jwt的缺点: 1. 数据保存在了客户端,我们服务端只认jwt,不识别客户端。 2. ...
验证令牌jwt_token
weixin_43704734的博客
06-04 665
1.创建maven项目 2.导入依赖 3.写测试类
登录认证(二)—— jwt封装token与解析
qq_38895905的博客
11-23 2446
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 这几天在学jwt,首先介绍一下关于jwt的定义及其优缺点,有人美玉在前我就直接发链接了。 什么是 JWT -- JSON WEB TOKEN——https://www.jianshu.com/p/576dbf44b2ae 在项目中加入jwt 首先在jar包中加入依赖 <..
Jwt认证
最新发布
weixin_44727617的博客
03-05 872
jwt认证、拦截器、token过期时间
JwtTokenUtil
qq_37377082的博客
02-27 2548
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.c
JWT 验证之 SignatureAlgorithm.HS256 报错问题解决方案
热门推荐
qq_33695124的博客
07-10 1万+
// 使用SHA256withDSA加密算法 SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; 缺包的情况下使用快捷键导入的包会解决SignatureAlgorithm 的错误,但是import导入的包是没有 .HS256 的,会报错; 所以需要在pom文件导入下面的jar包,这个是 SignatureAlgorithm.HS256 加密 用到的,当然里面还有很多其他的加密方式,都在下面的jar包里面 <de..
JWT的学习与使用
sinat_34241861的博客
07-12 628
JWT介绍 JWT是Json Web Token的缩写。它是基于RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据使用了数字签名,所以是可信任和安全的。 JWT的结构 JWT使用 . 分隔成三部分: Header 头部,包含了两部分:token类型(jwt)和采用的加密算法(HMAC SHA256或RSA) Payload 负载,包含了claim,claim是一些实体(通常指的是用户信息) Signature 签名,由header(base64加密后)、payloa
JAVA开发(JWTUtil工具类实现token源码赏析)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 3075
那么如何处理token: 1、解决安全问题,就需要加密,和有效期 2、解决信任问题,就要生产包含用户账号,密码相关的信息 3、解决唯一性问题,就要用到签名 4、解决体验问题,就要使用到自动刷新。
网关与Jwt令牌.doc
10-16
这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: • 用户使用用户名密码来请求服务器 • 服务器进行验证用户的信息 • 服务器通过验证发送...
JFinal+token基础demo
05-21
基于JFinal的token认证demo
JwtPermission:基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展
05-10
14 (v3.1.1)使用RedisTokenStore不需要jdbc相关的包及配置增加支持统一身份认证(单点登录)功能对于排除拦截的接口也提供获取当前用户信息的方法2019-12-16 (v3.0.0)增加refresh_token机制增加@Ignore注解(用于...
Token工具类JWTUtil
输入技术、输出想法
08-05 1304
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> @Slf4j public abstract class JWTUtil { /** * 令牌密钥 */ private
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 4656
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
jwt的加密原理,和token的简单操作
qq_51705526的博客
04-03 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWTtoken认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 因为HTTP request 本身是stateless的,所
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 769
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
M0(日常)-02-使用JJWT实现JWT中“SignatureAlgorithm.HS256”爆红
FROZENcj的博客
01-27 2672
使用JJWT实现JWT中“SignatureAlgorithm.HS256”爆红
生成jwt时使用签名算法生成签名部分
Tiger_Paul的博客
06-01 1057
生成jwt时使用签名算法生成签名部分:(1)基于HS256签名算法 (2)基于RS256签名算法
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值