Spring Security学习笔记(八) -- JWT令牌

最新推荐文章于 2024-07-09 17:30:21 发布
最新推荐文章于 2024-07-09 17:30:21 发布
阅读量494 收藏 1
点赞数
分类专栏: spring security java 笔记 文章标签: spring 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superarc1999/article/details/122510156
版权
本文介绍了JWT作为令牌的优越性,它允许资源服务器在不依赖认证服务的情况下完成授权。JWT由Header、Payload和Signature三部分组成,通过Base64Url编码和签名确保安全。在Spring Security中配置JWT令牌服务,可以提升系统的性能。
摘要由CSDN通过智能技术生成

6.3JWT令牌

6.3.1JWT介绍

通过前面文章的提到的,当资源服务器与授权服务器不在一起时,资源服务使用RemoteTokenServices远程请求授权服务验证token,如果访问量较大将会影响系统的性能。

解决上面的问题:

令牌采用JWT格式即可解决上面的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只要携带JWT访问资源服务,资源服务等根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

1、什么是JWT?

JSON Web Token(JWT),是一个开放的行业标准(RFC7519),它定义了一种简介的,自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。

JWT令牌的优点:

  • JWT基于JSON,非常方便解析;
  • 可以在令牌中自定义丰富的内容,易扩展;
  • 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。
  • 资源服务使用JWT可不依赖认证服务即可完成授权。

缺点:

  • JWT令牌较长,占存储空间比较大。

2、JWT令牌结构

JWT令牌由三部分组成,每部分中间使用点 . 分隔,比如:xxxx.xxxx.xxxx

- Header:

头部包含令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或R5A)

一个例子如下:

下面是Header部分的内容:

{

        "alg":"HS256",

        "typ":"JWT"

}

将上面内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

- Payload

第二部分是负载,内容也是一个JSON对象,它是存放有效信息的地方,它可以存放JWT提供的现成字段,比如:iss(签发者)、exp(过期时间戳)、sub(面向的用户)等,也可自定义字段。

一个例子:

{

        "sub":"123456",

        "name":"789",

        "admin":"true"

}

- Signature

第三部分是签名,此部分用于

最低0.47元/天 解锁文章
SuperArc1999
关注
专栏目录
OAuth2.0_JWT令牌-生成令牌和校验令牌_Spring Security OAuth2.0认证授权---springcloud工作笔记148
添柴程序猿的专栏
01-11 616
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 然后我们在我们的微服务中,开始使用这个JWT令牌,首先 我们原来的授权服务中使用的是自己生成的token,现在不这样了,我们 让他来用我们的JWT来生成令牌怎么配置? 首先到我们的授权微服务中去,找到这个tokenconfig 然后这里原来我们的内存存储方案,我们注释掉,然后换成 这里的这个JWT令牌存储方案. 然后,再去注入一个这个 JwtAccessTokenConver
Spring Security之前后端分离(二)JWT令牌
MostSnails的博客
08-14 467
Spring Security之前后端分离(二)JWT令牌
Spring Security框架下jwt令牌的使用
qq_64376339的博客
05-16 1534
这个过程就是无状态认证。拿到了jwt令牌下一步就要携带令牌去访问资源服务中的资源,本项目各个微服务就是资源服务,比如:内容管理服务,客户端申请到jwt令牌,携带jwt去内容管理服务查询课程信息,此时内容管理服务要对jwt进行校验,只有jwt合法才可以继续访问。令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。
Spring Security】整合JWT令牌
PaoShan的博客
02-24 428
Spring Security】整合JWT令牌的步骤,依赖+俩配置类
13-SpringSecurityOauth2研究-JWT研究-生成JWT令牌&验证JWT令牌
minihuabei的博客
08-11 210
3.6.3.2 生成jwt令牌 在认证工程创建测试类,测试jwt令牌的生成与验证。 //生成一个jwt令牌 @Test public void testCreateJwt(){ //证书文件 String key_location = "xc.keystore"; //密钥库密码 String keystore_password = "xuechengkeystore"; //访问证书路径 ClassPathResource resource = new ClassPathResource(key_loca
SpringSecurity设置JWT token令牌,权限控制
m0_52149675的博客
03-15 1324
SpringSecurity设置JWT token令牌,权限控制
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1813
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
springSecurityjwt机制及应用详解
2401_84092666的博客
05-04 743
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!这种格式是OAuth2附带token的一种规范格式至于什么是OAuth2,那是另一个话题了这样一来,服务器就能够收到这个令牌了,通过对令牌的验证,即可知道该令牌是否有效。它们的完整交互流程是非常简单清晰的:令牌的组成为了保证令牌的安全性,jwt令牌由三个部分组成,分别是:header:令牌头部,记录了整个令牌的类型和签名算法payload:令牌负荷,记录了保存的主体信息,比如你要保存的用户信息就可以放到这里s
JWT 令牌
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-21 626
本篇来了解下JWT令牌相关的知识,和传统JSESSIONID相比,差别还是很大的,一起来看看吧。
springboot和springsecurity使用JWT令牌
足迹人生的博客
01-14 502
springboot和springsecurity使用JWT令牌
SpringBoot之SpringSecurity
雨后是冰雹
06-19 1481
Spring Security 是一个基于 Spring 的企业应用系统提供声明式的安全访问控制接口方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的Bean,充分利用了Spring核心组件 IoC,DI 和 AOP ,为应用系统提供声明书的安全访问控制功能,减少了企业系统安全控制大量重复代码的编写。新建一个SpringBoot项目,添加如下依赖 2.2 启动访问 重启访问即可跳转到对应的登录界面 注意:系统启动的时候会自动创建一个账号是 user,密码随机的用户(密码显示在控制台) 使用
SpringSecurity6.x
qq_45726327的博客
03-23 1740
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,
SpringSecurity-SpirngBoot-方法级授权(SpringSecurity6.3新特性)(四)
最新发布
znjy111的博客
07-09 882
本章使用SpringSecurity6.3新特性实现数据级别的鉴权,主要的目的是实现不同权限的用户查询同一个方法,限制一些内容只能拥有特定权限的用户才能看到,其他没有该权限的用户显示为空。在上一节的基础上,新建spring-security-authorization-data分支。修改SecurityConfiguration类,添加rob用户,权限为"message:read", “user:read”;新建luke用户,权限为"message:read"
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3989
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
认证服务器搭建(jwt
weixin_49161209的博客
10-10 1190
认证服务器搭建(jwt) 思路 一、认证服务端 创建配置类继承AuthorizationServerConfigurerAdapter(授权服务器配置器适配器) 重写三个方法 第一个 主要是api的配置认证,校验令牌,对所有服务器的访问的权限设置 @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { super.configure(secur
Spring Security OAuth2四种授权模式总结(七)
FAIRYTAIL的博客
02-17 1901
OAuth2的四种授权模式测试
springcloud整合oauth2-----异常配置总结
weixin_45592424的博客
09-10 1651
异常配置总结
Spring-Boot & JWT 实现前后端分离的用户认证授权案例
通过以上知识点的介绍,我们可以看出,这个案例主要通过 Spring-Boot 搭配 Spring-SecurityJWT 实现了一个简单的前后端分离的用户登录和授权系统。在这个系统中,用户登录成功后,会获得一个 Token,然后通过 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值