JWT原理 使用(入门篇)

最新推荐文章于 2024-01-28 11:23:01 发布
最新推荐文章于 2024-01-28 11:23:01 发布
阅读量819 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012881584/article/details/106024175
版权
1、JWT简介
JWT:Json Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,他的两大使用场景是:认证和数据交换
使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。
作用:类似session保持登录状态 的办法,通过token来代表用户身份。
 
2,JWT生成
 
3,JWT校验
 
4,一些问题
a、token到底生成什么样最好?(规则),每个用户要 唯一
b、token返回给客户端之后,服务端还要 保存吗?
c、校验token时,怎么保证数据并没有被黑客拦截并篡改?( 安全)
d、token颁发给客户端之后,要不要有 过期时间?
e、 多次登录生成的token都是一样的吗?都是可用的吗?
 
5,JWT规则详解
一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名 header.payload.signature
一个正常的token为: eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOjYyNywiZXhwIjoxNTcwMDE0ODg1fQ.vPbQh4syxNCzkKXKPSM93LzzLqoJdzPDNeKz8tz9cFM4NzhIOdPrJcH2DG-9-9MCUufCgrAhhGjuo85GKV4bOQ
 
 
 
6,JWT令牌的优点:
a、jwt基于json,非常方便解析
b、可以再令牌中自定义丰富的内容,易扩展(payload可以扩展)
c、通过签名,让JWT防止被篡改,安全性高
d、资源服务使用JWT可不依赖认证服务即可完成授权
 
 
7,demo测试
 1 /**
 2 * JWT 测试controller
 3 *
 4 * @author wangmeng
 5 * @date 2019/9/2
 6 */
 7 @RestController
 8 @RequestMapping(value = "/user", produces = { "application/json; charset=UTF-8" })
 9 public class JWTController {
10  
11  
12     private static final String SECRET = "wangmengtest.@163.com";
13  
14  
15     @RequestMapping("/login/{username}/{password}")
16     public Map login(@PathVariable String username, @PathVariable String password) {
17         Map result = new HashMap();
18         if (username.equals("admin") && password.equals("123456")) {
19             String jwt = Jwts.builder().
20                     setSubject(username).
21                     signWith(SignatureAlgorithm.HS512, SECRET).
22                     compact();
23             result.put("token", jwt);
24         } else {
25             result.put("message", "账号密码错误");
26         }
27  
28  
29         return result;
30     }
31  
32  
33     @RequestMapping("/goods/{token}")
34     public Map verifyToken(@PathVariable String token) {
35         Map result = new HashMap();
36         Jws<Claims> claimsJws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
37         result.put("username", claimsJws.getBody().getSubject());
38         return result;
39     }
40 }

 

 
请求测试:
1、生成token
 
2、使用token请求,获取username
 
 
8、问题解答
a、token到底生成什么样最好?(规则),每个用户要唯一
三部分组成:头部、载荷与签名 header.payload.signature
 
b、token返回给客户端之后,服务端还要保存吗?
服务端不需要保存
 
c、校验token时,怎么保证数据并没有被黑客拦截并篡改?(安全)
signature中有私钥来进行签名,可以保证安全性
 
d、token颁发给客户端之后,要不要有过期时间?
需要设置token过期时间
 
e、多次登录生成的token都是一样的吗?都是可用的吗?
可以再payload加上时间戳,来保证每次生成的token都不一样,都是可用的
 

 后记

JWT还有很多内容需要挖掘,这里只是入门篇,后面有时间还会看看JWT源码 以及一些常见的坑。
一枝花算不算浪漫
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT的简单了解与使用
HBBBOY的博客
10-16 1688
快速了解JWT怎么使用,之后便能利用它制作属于自己的单点登录了
JWT简介
01-22 1096
简介 Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该标准被设计为紧凑且安全的,一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息。当然该标准也可直接被用于认证,也可被加密。 JWT 定义了一种用于简洁,自包含的用于通信双方之间以...
JWT简介及使用
weixin_43994244的博客
09-07 3097
JWT认证使用
常见的JWT到底有什么用?
码农桃子的博客
07-10 2398
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其...
JWT基础(一)
Kiddyup的博客
04-16 2958
1、JWT的作用 什么是JWT jwt 简称 JSON Web Token ,也就是以Json的形式作为web中的令牌。在数据传输过程中还可以完成数据加密、签名等操作。 主要的作用: 授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。 2.信息交换 JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django rest framework jwt使用方法详解
09-18
主要介绍了Django rest framework jwt使用方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成JWT快速入门Demo
最新发布
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Jwt简单使用
congge
04-11 9482
在分布式项目中,经常需要处理session共享的问题,解决的方式有很多,比如采用session或者cookie,或者redis进行存储都是解决方案,今天给大家介绍另一种比较轻量级的解决方式,就是使用jwt生成token,服务端进行加解密来处理; 首先要了解一下jwt的三个基本术语, Header Header是由以下这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到...
JWT(简介)
qq_65345936的博客
09-18 2015
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
JWT详解
Moonlight的博客
07-21 92
JWT详解
详解 JWT(SpringBoot 整合 JWT 示例)
weixin_74895237的博客
11-16 376
先来看一下官方文档对 JWT 的介绍:JSON Web Token (JWT) 是一种开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于作为 JSON 对象在各方之间安全地传输信息。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。尽管 JWT 可以加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。
jwt使用小结(1)--概念详解
fengcai0123的专栏
05-22 930
一、JWT JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。 jwt由三部分组成: Header(头部) Payload(负载) Signature(签名) 1.Header 加粗样式部分是一个json对象,通常如下的样子,使用的时候需要 Base64URL 算法转成字符串。 { "alg": "HS256", "typ": "JWT" } alg属性表示签...
生成token
qq_46112274的博客
06-06 1811
生成token1、JWT介绍1.1、JWT工具1.2、JWT原理,2、集成JWT2.1、引入依赖2.2、在common-util模块编写JwtHelper类2.3、完善登录service接口2.4、使用Swagger测试接口 1、JWT介绍 1.1、JWT工具 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就
JWT的初步说明
nancheng_wx的博客
08-08 410
当签发的 jwt 保存在客户端,客户端一直在操作页面,按道理应该一直为客户端续长有效时间,否则当 jwt有效期到了就会导致用户需要重新登录。JWT 主要用于用户登录鉴权,JWT (全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。因为一旦签发了一个 jwt,在到期之前始终都是有效的,如果用户信息发生更新了,只能等旧的 jwt 过期后重新签发新的 jwt。便于传输,JWT结构简单,字节占用小。
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
Tangzx_的博客
01-28 1255
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?讲解+实战,一篇文章学会JWT怎么用!
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1722
SpringBoot+Mybatis-plus+Mysql+JWT
springboot集成jwt原理
05-20
Spring Boot集成JWT(JSON Web Token)的主要原理是: 1. 创建一个Spring Boot应用程序并添加所需的依赖项,例如Spring Security和JJWT。 2. 创建一个JWT工具类,它将负责创建和验证JWT令牌。在这个类中,你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值