国服最强JWT生成Token做登录校验讲解,看完保证你学会!

最新推荐文章于 2024-03-08 19:06:36 发布
最新推荐文章于 2024-03-08 19:06:36 发布
阅读量10w+ 收藏 448
点赞数 60
Free码农 2017-12-28 00:08:02

JWT简介

JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

基于session的登录认证

在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

图片来源于网络博客

cookie+session这种模式通常是保存在内存中,而且服务从单服务到多服务会面临的session共享问题,随着用户量的增多,开销就会越大。而JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

图片来源于网络博客

JWT生成Token后的样子

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9.49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature)。

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt

  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{

"typ": "JWT",

"alg": "HS256"

}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明

  • 公共的声明

  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者

  • sub: jwt所面向的用户

  • aud: 接收jwt的一方

  • exp: jwt的过期时间,这个过期时间必须要大于签发时间

  • nbf: 定义在什么时间之前,该jwt都是不可用的.

  • iat: jwt的签发时间

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{

"name":"Free码农",

"age":"28",

"org":"今日头条"

}

然后将其进行base64加密,得到Jwt的第二部分:

eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)

  • payload (base64后的)

  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分:

49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和验证,所以需要保护好。

java方式实现

Maven

<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.1.0</version></dependency>

加密与校验代码:

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

加密方法与校验方法

测试代码:

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

测试方法

代码输出结果:

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

代码输出结果

可以很清楚的看到,第一次用生成的Token去校验,校验通过,并且输出了Token中包涵的信息。第二次用过期的Token调用校验方法,直接抛出异常,提示Token信息过期。

JWT总结

1、因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

2、payload部分,JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展

u011277123
关注
  • 60
    点赞
  • 448
    收藏
    觉得还不错? 一键收藏
  • 45
    评论
JWT Token生成及验证
07-16
JWT Token生成及验证,JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
egg搭建的node服务端使用token鉴权,前端每次请求携带token
xiaoyanwuTrue的博客
06-18 786
egg搭建的node服务端使用token鉴权,jwt生成验证token,中间件过滤请求,前端每次请求携带token
JWT 生成token
x_h_j_的博客
03-08 324
具体来说,JWT是为了在分布式环境中进行安全信息传输而设计的,它通常被用来在身份提供者和服务提供者之间传递认证的用户身份信息
Egg.js中使用egg-jwt通过非对称加密私钥颁发token时的坑
GentleSevenV的博客
12-01 328
Egg.js中使用egg-jwt通过非对称加密私钥颁发token
egg-jwt生成token+校验+错误拦截+登录失效等
weixin_50307964的博客
05-17 696
查看header里面是否携带token校验token获取账号和密码根据获取到的账号查询拿到最近的登录时间(statistics)对比时间是否一致并出相对于的响应。
egg.js登录获取token验证信息 (egg-jwt)
imapig_的博客
04-29 2514
登录获取token一.安装和配置1.安装egg-jwt和egg-cors2.在egg项目中配置插件二.登录接口使用1.控制器controller里写登录接口2.路由router里写登录接口三.请求login接口 一.安装和配置 1.安装egg-jwt和egg-cors cnpm i egg-jwt --save 使用jwt需要配合cors来配置跨域请求否则会报错 message: “invalid csrf token” cnpm install egg-cors --save 2.在egg项目
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
Aplumage的专栏
10-13 1万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成Token.JWT生成Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 什么是JWT? JSON Web...
C# 生成JWTToken
Jessyzhao_0的博客
10-13 822
【代码】C# 生成JWTToken
Token在android的使用
热门推荐
weixin_52173611的博客
09-18 1万+
关于Token在Android中实现用户登录的使用 原理 在安卓中实现用户登录一般都是用Token,而目前最流行的就是用jwt先讲一下实现的原理:第一步:用户第一次登录,客户端向服务端发送用户和密码,服务端验证用户密码是否正确,如果不正确返回客户端一个消息(用户名错误或者密码错误),如果正确,服务端生成一个Token,并且缓存起来(可以用Redis或者存放数据库)。第二步:客户端接收服务端发送的Token和登陆成功的标识,并且把Token也保存起来,并跳转到登录成功后的页面。第三步:登陆成功后有其他向服务端
JWT生成token返回前端,前端请求服务器时携带并通过拦截器方式进行token验证。
m0_55627541的博客
01-04 2040
JWT生成token返回前端,前端请求服务器时携带并通过拦截器方式进行token验证。
【JAVA】使用Redis+Jwt技术生成图片验证码
wwbqqcom的博客
01-03 421
使用java和redis生成验证码并后台校验
SpringBoot集成JWT生成token校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
杭州电子科技大学数据结构(题目).pdf
04-26
杭州电子科技大学,期末考试资料,计算机专业期末考试试卷,试卷及答案,数据结构。
重庆大学 2010-2011(一)模拟电子技术A卷答案.pdf
最新发布
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
如何创意年会组织形式?.docx
04-26
年会班会资料,节目策划,游戏策划,策划案,策划方案,活动方案,筹办,公司年会,开场白,主持人,策划主题,主持词,小游戏。
基于Django框架的博客系统.zip
04-26
基于Django框架的博客系统.zip
【基于Springboot+Vue的Java毕业设计】校园服务平台项目实战(源码+录像演示+说明).rar
04-26
【基于Springboot+Vue的Java毕业设计】校园服务平台项目实战(源码+录像演示+说明).rar 【项目技术】 开发语言:Java 框架:Spingboot+vue 架构:B/S 数据库:mysql 【演示视频-编号:321】 https://pan.quark.cn/s/8dea014f4d36 【实现功能】 系统可以提供信息显示和相应服务,其管理员增删改查接单员和接单员资料,审核接单员预订订单,查看订单评价和评分,通过留言功能回复用户提问。
通过jwt生成token权限
05-13
JWT(JSON Web Token)是一种用于进行身份验证和授权的开放式标准。通过JWT生成token可以实现权限控制。简单来说,JWT是一个由三段组成的字符串,分别是头部(header)、载荷(payload)和签名(signature)。 在应用中,通常是用户进行登录后,系统将用户信息加密为token存储在客户端的本地存储(sessionStorage、localStorage或cookie)中。在之后的访问中,客户端每次向服务器发起请求时,都需要将加密后的token作为请求的一个头信息发送给服务器,服务器端使用相同的秘钥进行解析验证并返回相应的数据。 在JWT中,我们可以将用户的角色、权限等信息作为载荷,对相应的接口进行权限验证。当用户请求需要权限的接口时,服务器端会先解析token的载荷信息,再对用户的角色、权限等信息进行验证,从而实现对应接口的权限控制。 通过JWT生成token权限控制有很多优势,不仅可以减轻服务器的负担,而且可以提高系统的安全性。但是,也需要注意token的安全性,避免出现token泄露的情况。为了加强安全性,建议将token设置为短时效性,并对其进行加密和签名保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 45
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值