spring security jwt

已于 2023-03-15 15:20:16 修改
阅读量111 收藏
点赞数
文章标签: spring java 后端
于 2023-02-28 08:52:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014007760/article/details/129246942
版权
JWT是一种开放标准,用于在各方间安全传输JSON对象。它由三部分组成:Header,Payload,Signature。Signature确保令牌完整性和防止篡改。文章中展示了JWT的创建和验证过程,以及如何在SpringSecurity中使用JWT进行身份验证。
摘要由CSDN通过智能技术生成

jwt定义
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。

组成
由三个部分组成,header.payload.signature
header:令牌头部,记录了整个令牌的类型和签名算法
payload:令牌负荷,记录了保存的主体信息,比如你要保存的用户信息就可以放到这里
signature:令牌签名,按照头部固定的签名算法对整个令牌进行签名,该签名的作用是:保证令牌不被伪造和篡改

过程
header:{“alg”:“HS256”,“typ”:“JWT”}
payload:{“username”: “alice”,“userId”: 1,“roleIds”: [1001,1002,1003]}
signature:还没生成

header:base64UrlEcode({“alg”:“HS256”,“typ”:“JWT”})
payload:base64UrlEcode({“username”: “alice”,“userId”: 1,“roleIds”: [1001,1002,1003]})
signature:HMACSHA256(base64UrlEcode({“alg”:“HS256”,“typ”:“JWT”})+“.”+base64UrlEcode({“username”: “alice”,“userId”: 1,“roleIds”: [1001,1002,1003]}),“secret key”)

header:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
payload:eyJyb2xlSWRzIjpbMTAwMSwxMDAyLDEwMDNdLCJ1c2VySWQiOjEsInVzZXJuYW1lIjoiYWxpY2UifQ
signature:tphGcSJcqM2zHhiq-Kx9rtamKX9A8G9jSNsBV-oR9dk

jwt=header.payload.signature

HMACSHA256=HMAC+SHA256
HMAC:Hash-based Message Authentication Code,散列消息认证码–一种带有密钥的哈希摘要算法
SHA256:哈希摘要算法

在线base64Url解码/编码网站:http://www.lzltool.com/base64url

核心类
org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter
org.springframework.security.jwt.JwtHelper

核心方法

//加密
public static Jwt encode(CharSequence content, Signer signer) {
        return encode(content, signer, Collections.emptyMap());
    }
    
//解密并验证签名
public static Jwt decodeAndVerify(String token, SignatureVerifier verifier) {
		//这一步就把token信息解密为明文的payload,所以payload的信息其实是在知道token后,就可以解析出,故里面不要放敏感信息如 密码等
        Jwt jwt = decode(token);
        //这一步就是验签,把解密后的payload信息用secret key加密,然后把结果和token的signature比较,相同代表验签通过(表明payload的信息没有被修改和secret key正确),不同就会抛出异常
        jwt.verifySignature(verifier);
        return jwt;
    }

示例

import com.alibaba.fastjson.JSONObject;
import org.springframework.security.jwt.Jwt;
import org.springframework.security.jwt.JwtHelper;
import org.springframework.security.jwt.crypto.sign.MacSigner;

import java.util.Arrays;

public class JWTDemo {

    public static void main(String[] args) {
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("username","alice");
        jsonObject.put("userId",1);
        jsonObject.put("roleIds", Arrays.asList(1001,1002,1003));
        String payloadInfo = jsonObject.toJSONString();

        //生成jwt
        String jwtToken = JwtHelper.encode(payloadInfo , new MacSigner("secret key")).getEncoded();
        System.out.println(jwtToken);

        //jwt解码和验签
        Jwt jwt = JwtHelper.decodeAndVerify(jwtToken , new MacSigner("secret key"));
        //claimsStr 就是 payloadInfo
        String claimsStr = jwt.getClaims();
        System.out.println(claimsStr);
    }
}

spring security集成了jwt,按需使用,有兴趣的可以追一下代码

csncn21
关注
SpringSecurity整合JWT
胡峻峥的博客
01-19 1109
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
Spring securityJWT
weixin_45400340的博客
08-08 1383
全称 JSON Web Token,简称JWT,是一个基于RFC7519的爱看i发数据标准,定义了一种宽松且紧凑的数据组合方式是一种加密后的数据载体,可在各应用之间进行数据传输最常应用于授权认证,一旦用户登录,每个请求都将包含JWT,系统每次处理用户请求都会及逆行JWT安全检验,通过之后在进行处理。
SpringSecurity + JWT实战(前后端分离)
最新发布
As_Yua的博客
08-05 1978
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
spring security使用JWT
join_null的博客
05-24 100
https://blog.csdn.net/u010365540/article/details/81842787
JWTSpring Security
~
10-12 150
具体参考https://dev.to/keysh/spring-security-with-jwt-3j76 demo地址https://gitee.com/q975583865/springSecurityDemo.git
SpringSecurity+JWT
Ycy的博客
09-17 839
前端将用户名密码发送给后端后端核对成功后根据用户信息生成一个JWT(Token),后端JWT作为登陆成功返回结果给前端,前端保存在本地localStorage或sessionStorage上(退出登录时前端删除保存的JWT即可),前端之后每次请求时将JWT放入HTTP Header中,后端校验JWT有效性,如签名是否正确、Token是否过期、检查Token的接收方是否是自己等,后端验证成功后使用JWT中的用户信息完成相关请求操作。默认的登录请求url是"/login",并且只允许POST方式的请求。
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头中的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder中,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
标题 "springboot_springsecurity_jwt_demo" 涉及的核心技术是Spring Boot、Spring Security以及JSON Web Token(JWT)的集成应用,这是一个用于构建安全Web服务的示例项目。在这个项目中,开发者将学习如何利用...
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
SpringBoot 集成SpringSecurity JWT
weixin_55765992的博客
07-01 1061
1. 简介 今天ITDragon分享一篇在Spring Security 框架中使用JWT,以及对失效Token的处理方法。 1.1 SpringSecurity Spring SecuritySpring提供的安全框架。提供认证、授权和常见的攻击防护的功能。功能丰富和强大。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-fa
Spring security+jwt服务鉴权完整代码.zip
09-09
Spring security+jwt服务鉴权完整代码.实现服务鉴权访问, 携带token访问服务, 缺失或无效都提示401
Spring-Security-JWT-初探
HTMK_GT_MK的博客
10-15 1186
SpringDemo 是 Spring boot + Spring Security + JWT 整合的项目。 参考 securing-spring-boot-with-jwts. Spring Security 框架 依赖: <dependency> <groupId>org.springframework.boot</groupId> <artif...
Spring Security整合Jwt
qq614452400的博客
09-04 391
spring-cloud-starter-oauth2里整合了jwt包 编写JwtTokenStoreConfig 类 @Configuration public class JwtTokenStoreConfig { @Bean public TokenStore jwtTokenStore(){ return new JwtTokenStore(jwtAccessTokenConverter()); } //转换token字符串 @Bean
Spring Security + JWT
weixin_44612246的博客
03-10 671
SpringSecurity + Jwt实现方案
SpringSecurityJWT
SADADADG的博客
04-10 7937
1.不做任何配置 引入了依赖之后,就会自动生效,会自动跳转的自带的登录页面 账号:user 密码:控制台输出(随机生成) 2.自定义登录逻辑 (1)UserDetailsService——通过用户名得到数据库数据 1.会加载用户名,把信息从数据库中取出来,返回一个UserDetails 2.会进行比较用户名和密码 public interface UserDetailsService { UserDetails loadUserByUsername(String username) throw
Spring SecurityJWT介绍
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
09-14 1874
Json Web Token 简称JWT,是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递JSON对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥来签名,防止被篡改。官网: https://jwt.io标准:https://tools.ietf.org/html/rfc7519JWT基于JSON,非常方便解析可以在令牌中自定义丰富的内容,易扩展。
SpringSecurity 整合 JWT
吻得太逼真的博客
05-25 1148
前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。 JWT的工作流程 1、用户
springsecurity 整合JWT
join_null的博客
05-28 716
1.主要原理:首先登录,如果登录成功,则在响应的header中加入生成的jwt token。 然后客户在发起请求时,校验header中的token是否合法,如果合法放行,不合法则返回错误信息 2.依赖 <dependency> <groupId>org.springframework.boot</...
springsecurity jwt
05-10
Spring Security JWT是基于Spring Security和JSON Web Token(JWT)技术的安全框架,用于管理和验证Web应用程序中的用户身份验证和授权。JWT是一种轻量级的身份验证和授权机制,其实现方式简单,可以跨语言和应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值