jwt使用

最新推荐文章于 2024-05-21 23:21:19 发布
最新推荐文章于 2024-05-21 23:21:19 发布
阅读量65 收藏
点赞数
文章标签: 前端 json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/souyin/article/details/129345849
版权

JWT入门

1.简介

JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。 从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。

通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密,签名等相关处理。

JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

jwt 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法)或使用RSA或ECDSA的公钥/密钥对进行签名。

2.认证流程

  1. 首先,前端通过web表达将自己的用户名和密码发送到后端接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https),从而避免敏感信息被嗅探。
  2. 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT,形成的JWT形同hhhh.pppp.ssss的字符串。
  3. 后端将JWT字符串作为登入成功的返回结果返回给前端,前端可以将返回的结果保存在localStorage或sessionStorage上,退出登入时前端删除保存的JWT即可。
  4. 前端在每次请求时将JWT放入HTTP Header中的Authorization位。
  5. 后端检查是否存在,如存在验证JWT的有效性。(检查签名是否正确,检查token是否过期,检查token的接收方)
  6. 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

3.jwt优势

  • 简洁:可以通过URL,POST参数或在HTTP header发送,因为数据量小,传输速度也很快。
  • 自包含:负载中包含了所有用户所需要的信息,避免了多次查询数据库
  • 因为Taken是以JSON加密的形式保存在客户端,所有jwt时跨语言的,原则上任何web形式都支持
  • 不需要再服务端保存会话信息,特别适合分布式微服务

4.jwt结构

结构:header.payload.signature

  • header: 有令牌的类型和所使用的签名算法,如HMAC、SHA256、RSA;使用Base64编码组成;(Base64是一种编码,不是一种加密过程,可以被翻译成原来的样子)

    {
    "alg": "HS256",
    "typ": "JWT"
}

  • 有效负载中包含声明,声明有关实体和替他数据的声明,同样使用base64编码

    {
    "name": "xjs",
    "admin": true
}

  • signature:前面两部分都是使用Base64进行编码的,即前端可以解开知道里面的信息,signature需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法HS256进行签名,签名的作用是保证jwt没有被篡改

    HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret);

5.使用

引入jwt依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.0</version>
</dependency>

生成token

public void testSetToken() {
    HashMap<String, Object> map = new HashMap<>();
    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.MINUTE, 5);
    String token = JWT.create()
        .withHeader(map)//可以设定,也可以默认
        .withClaim("userId", 14)//payload
        .withClaim("username", "xin")//payload
        .withExpiresAt(instance.getTime())//设置签名过期时间
        .sign(Algorithm.HMAC256("fjeaifajfie"));//签名

    System.out.println(token);
}

解析token

public void parseToken() {
    JWTVerifier verifier = JWT.require(Algorithm.HMAC256("fjeaifajfie")).build();
    DecodedJWT verify = verifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2Nzc5MTkzMDUsInVzZXJJZCI6MTQsInVzZXJuYW1lIjoieGluIn0.NRhDKj6ua7dd9wCcJmLgDGMj54U7G9bxuZnCusZTKTI");
    Integer userId = verify.getClaim("userId").asInt();
    String username = verify.getClaim("username").asString();
    Date expiresAt = verify.getExpiresAt();

    System.out.println("userId:" + userId + "username:" + username);
}

常见错误

SignatureVerificationException //签名不一致异常
TokenExpiredException //令牌过期异常
AlgorithmMismatchException //算法不匹配异常
InvalidClaimException //失效的payload异常(传给客户端后,token被改动,验证不一致)

6.jwt工具类封装

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

public class JWTUtil {
    private static final String SIGNATURE = "feafafea";

    /**
     * 生成token
     * @param map //传入payload
     * @return 返回token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,7);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(SIGNATURE)).toString();
    }

    /**
     * 验证token
     * @param token
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
    }

    /**
     * 获取token中payload
     * @param token
     * @return
     */
    public static DecodedJWT getToken(String token){
        return JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
    }
}

7.springboot整合jwt

依赖

 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.10.0</version>
</dependency>

<dependency>
    <groupId>com.mysql</groupId>
    <artifactId>mysql-connector-j</artifactId>
    <version>8.0.32</version>
</dependency>

<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <version>1.18.24</version>
</dependency>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>1.2.15</version>
</dependency>

controller

@GetMapping("/login")
public Map<String, Object> login(String username, String password) {
    log.info("用户名" + username);
    log.info("密码" + password);
    HashMap<String, Object> map = new HashMap<>();

    User user = userService.login(new User(null, username, password));
    // 生成jwt
    HashMap<String, String> payload = new HashMap<>();
    payload.put("username", user.getUsername());
    payload.put("id", user.getId().toString());
    String token = JWTUtil.getToken(payload);


    map.put("token", token);

    return map;

}

@PostMapping("/test")
public String test(String token) {
    return "成功";
}

jwt拦截器

public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<String, Object> map = new HashMap<>();
        String token = request.getHeader("token");
        try{
            JWTUtil.verify(token);
            return true;
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg","无效签名");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg","token过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg","token算法不一致");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg","token失效");
        }
        map.put("state", false);
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}

配置拦截器

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/**")
                .excludePathPatterns("/user/login");
    }
}
souyin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel配合jwt使用的方法实例
01-19
测试使用的是Laravel5.5版本。 安装 composer require tymon/jwt-auth=1.0.0-rc.5 配置 生成配置 php artisan vendor:publish --provider=Tymon\JWTAuth\Providers\LaravelServiceProvider ...
JWT使用
pscool的博客
11-02 2970
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
JWT使用教程
m0_50202747的博客
08-28 1578
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
jwt使用详解
u013029883的博客
08-10 1803
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
golang-jwt使用
a1023934860的博客
06-07 3792
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
Tp6 jwt使用
CS__Love的博客
03-03 517
jwt使用
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
在SpringBoot中使用JWT的实现方法
08-26
主要介绍了在SpringBoot中使用JWT的实现方法,详细的介绍了什么是JWTJWT实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
vue源码之mustache模板引擎1
最新发布
qweasl_的博客
05-21 170
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 686
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1139
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
综合性练习-验证码
cj13106811623的博客
05-15 834
生成验证码param(参数): 无Return: 图片的内容校验验证码用户输入的验证码5. 代码编写生成验证码://图型验证码写出,可以写出到文件,也可以写出到流try {//返回到浏览器修改前端代码相对应的接口验证成功。
【VueRouter 的基本使用
2302_76611599的博客
05-17 176
完成Vue Router 安装后,就可以使用路由了,路由的基本使用步骤,首先定义路由组件,以便使用Vue Router控制路由组件展示与 切换,接着定义路由链接和路由视图,以便告知路由组件渲染到哪个位置,然后再项目中创建路由模块,最后导入并挂载路由模块。为了在页面中将路由对应的组件显示出来,还要在App组件中定义路由视图。路由视图标签定义,该标签会被渲染成当前路由对应组件,另外,为了方便在不同组件之间切换,可以通过标签定义路由链接,该标签的to属性表示链接地址,与路由匹配规则中的path属性对应。
vue3专栏项目 -- 五、权限管理(下)
m0_64931189的博客
05-15 823
我们这一系列做的就是,我们刚开始做了message组件,我们可以直接在某个组件中通过即可调用这个message组件,从而展示出这个提示信息框但是我们觉得它可以像以前用过的alert一样,直接通过一个函数调用就可以展示出这个组件,所以有了如下一步步改进:
性能监控系统搭建——node_koa实现性能监控数据上报(第一章)
编程知识分享,主打前端
05-19 755
大家好,我是yma16,本文分享node_koa实现性能监控数据上报(第一章)。为了实现前端性能耗时的数据监控,前端对外发布js的sdk,sdk的功能主要是性能耗时计算和数据上报。同时使用vue3和node开发一个数据监控的后台管理系统,主要功能是展示数据,提供一个api_key和token对外暴露的api接口去添加数据监控数据。对外暴露性能上报接口,用户通过api_key请求上报数据到后台。
python EEL + vue3.js 简单示例
bigcarp的专栏
05-15 209
eel官方示例中暴露的js函数是全局函数,vue中的自定义函数作用域通常都是组件范围内。要让eel.js调用,需要将其升为全局可用。一般方法有 app.config.globalProperties 或 mixin等。
JAVA WEB实用与优化技巧】如何自己封装一个自定义UI的Swagger组件,包含Swagger如何处理JWT无状态鉴权自动TOKEN获取
yh4494的博客
05-21 10
Swagger 原生UI存在的缺点 ① 不够方便直观 swagger ui 布局是上下瀑布式的,比如我访问完A接口,想访问B接口,访问完B接口想继续访问A接口就必须往上翻,接口少还好操作。接口多的话来回就很烦。 ② 请求的参数没有缓存 ③ 不够美观 ④ 如果是JWT 无状态登录,Swagger使用起来就没有那么丝滑了,因为JWT无状态登录这种需要每次在请求的Header中带上TOKEN,Swagger可没那么只能给你登录接口返回的token带过去,这样就导致无状态session的情况下Swagg...
gin jwt 使用
03-03
在Gin框架中使用JWTJSON Web Token)可以实现份验证和授权功能。JWT是一种用于在网络应用间传递信息的安全方法,它由三部分组成:header、payload和signature[^1]。 下面是在Gin框架中使用JWT的示例代码[^2]: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值