JWT使用

已于 2023-08-02 00:33:43 修改
阅读量27 收藏
点赞数
文章标签: 服务器 运维
于 2023-08-02 00:33:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uit67t567/article/details/132053261
版权

目录

一、简介

1.JWT是什么

2.为什么使用JWT

3.JWT的工作原理

4.JWT组成

5.JWT的验证过程      

6.JWT令牌刷新思路

二、Demo

1.修改webapp/WEB-INF/web.xml

2.修改com.zking.ssm.jwt.JwtFilter中的OFF为false开启

3.将controller/UserController中的注释解开

4.在spa中的src/store/state.js中添加

5.在src/store/mutations.js中添加

6.在src/store/getter.js中添加

7.修改src/api/http.js

8.修改main.js

一、简介

  • 1.JWT是什么

        JSON Web Token (Jwt), 他是流行的跨域身份验证解决方案

  • 2.为什么使用JWT

        JWT的精髓在于: “去中心化”, 数据是保存在客户端的

  • 3.JWT的工作原理

  1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下:
  2. {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:15:56”}
  3. 之后,当用户与服务器通信时,客户在请求中发回JSON对象
  4. 为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证

  • 4.JWT组成

        一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature)

  • 5.JWT的验证过程      

        它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,

并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。

接收方生成签名的时候必须使用跟JWT发送方相同的密钥

注1:在验证一个JWT的时候,签名认证是每个实现库都会自动做的,但是payload的认证是由使用者来决定的。因为JWT里面可能会包含一个自定义claim。

所以它不会自动去验证这些claim,以jjwt-0.7.0.jar为例:

​ A 如果签名认证失败会抛出如下的异常:

​ io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.

即签名错误,JWT的签名与本地计算机的签名不匹配

​ B JWT过期异常

​ io.jsonwebtoken.ExpiredJwtException: JWT expired at 2017-06-13T11:55:56Z. Current time: 2017-06-13T11:55:57Z, a difference of 1608 milliseconds. Allowed

注2:认证失败,返回401 Unauthorized响应

注3:认证服务作为一个Middleware HOOK 对请求进行拦截,首先在cookie中查找Token信息,如果没有找到,则在HTTP Authorization Head中查找

  • 6.JWT令牌刷新思路

  • 6.1 登陆成功后,将生成的JWT令牌通过响应头返回给客户端

    6.2 WEB APP项目每次请求后台数据时(将JWT令牌从请求头中带过来),

    验证通过,刷新JWT,并保存在响应头返回给客户端,有效时间30分钟

    JwtFilter

    注1:修改CorsFilter添加允许的新的请求头“jwt”

    注2:原来在默认的请求上, 浏览器只能访问以下默认的 响应头

    ​ Cache-Control

    ​ Content-Language

    ​ Content-Type

    ​ Expires

    ​ Last-Modified

    ​ Pragma

    ​ 如果想让浏览器能访问到其他的 响应头的话 需要在服务器上设置 Access-Control-Expose-Headers

    ​ Access-Control-Expose-Headers : ‘jwt’
     // CorsFilter 允许客户端,发一个新的请求头jwt

        ​ resp.setHeader(“Access-Control-Allow-Headers”, “Origin,X-Requested-With, Content-Type,          Accept, jwt”); 

二、Demo

  • 1.修改webapp/WEB-INF/web.xml

    !--CrosFilter跨域过滤器-->

将<filter-class>com.zking.ssm.util.CorsFilter2</filter-class>修改为
<filter-class>com.zking.ssm.util.CorsFilter</filter-class>

  • 2.修改com.zking.ssm.jwt.JwtFilter中的OFF为false开启

    private boolean OFF = false;// true关闭jwt令牌验证功能

  • 3.将controller/UserController中的注释解开

                //私有要求claim
//            Map<String,Object> json=new HashMap<String,Object>();
//            json.put("username", userVo.getUsername());
            //生成JWT,并设置到response响应头中
//            String jwt=JwtUtils.createJwt(json, JwtUtils.JWT_WEB_TTL);
//            response.setHeader(JwtUtils.JWT_HEADER_KEY, jwt);

    image-20230801230531575

  • 4.在spa中的src/store/state.js中添加

    jwt: ''

  • 5.在src/store/mutations.js中添加

    setJwt:function (state,payload){
	state.jwt = payload.jwt
}

  • 6.在src/store/getter.js中添加

    getJwt(state){
	return state.jwt;
}

  • 7.修改src/api/http.js

    // 请求拦截器
axios.interceptors.request.use(function(config) {
	var jwt = window.vm.$store.getters.getJwt;
	config.headers['jwt'] = jwt;
	return config;
}, function(error) {
	return Promise.reject(error);
});

// 响应拦截器
axios.interceptors.response.use(function(response) {
	var jwt = response.headers['jwt'];
	if(jwt){
		window.vm.$store.commit('setJwt',{jwt:jwt});
	}
	return response;
}, function(error) {
	return Promise.reject(error);
});

  • 8.修改main.js

    /* eslint-disable no-new */
window.vm = new Vue({
  el: '#app',
  data(){
    return{
      Bus: new Vue({})
    }
  },
  router,
  store,
  components: { App },
  template: '<App/>'
})

    202308012336

洛水&天依
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel配合jwt使用的方法实例
01-19
测试使用的是Laravel5.5版本。 安装 composer require tymon/jwt-auth=1.0.0-rc.5 配置 生成配置 php artisan vendor:publish --provider=Tymon\JWTAuth\Providers\LaravelServiceProvider ...
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
在SpringBoot中使用JWT的实现方法
08-26
主要介绍了在SpringBoot中使用JWT的实现方法,详细的介绍了什么是JWTJWT实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
服务器数据恢复—服务器重装系统导致分区丢失的数据恢复案例
beiya123的博客
05-16 258
以只读方式将所有磁盘进行扇区级的全盘镜像,镜像完成后将所有磁盘按照编号还原到原磁盘柜中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。2、基于镜像文件分析raid的盘序、条带大小、循环方向、同步异步等重组raid的必需信息,利用获取到raid信息重组raid。5、根据超级块备份及xfs文件系统中的目录树结构,北亚企安数据恢复工程师对xfs文件系统的超级块进行修复。4、校验xfs文件系统的完整性及正确性,结果发现xfs文件系统头部超级块丢失、部分节点丢失、目录项丢失。
Linux相关指令
大学生一枚
05-19 593
在linux中,可以用echo向屏幕中输出字符串:这是向屏幕输出,我们也可以向文件中输出:我们写了一段话 "hello linux",写入log.txt文件中;
【观察】算力服务器以旧换新“正当时”,构筑新质生产力发展坚实底座
申耀的科技观察
05-21 456
近期,国家印发《推动大规模设备更新和消费品以旧换新行动方案》,明确提出“推动新一轮大规模设备更新和消费品以旧换新”,包括“实施设备更新、消费品以旧换新、回收循环利用、标准提升四大行动”。其中,作为数字经济时代承载数据要素价值的关键基础设施,以及推动新质生产力发展的重要技术“底座”,算力服务器同样也被纳入到了本次大规模设备更新和消费品以旧换新行动方案之中。毫无疑问,今天以算力服务器为代表的新型数据中...
Linux(openEuler、CentOS8)企业内网开源OA服务器(办公自动化系统),搭建O2OA
最新发布
xzzteach的博客
05-22 502
本实验环境为openEuler系统(以server方式安装)(CentOS8基本一致,可参考本文)
第八十三章 将 Web 应用程序与远程 Web 服务器结合使用 - 配置 Apache 虚拟主机
yaoxin521123的博客
05-17 241
服务器配置中的常见功能,并且在此服务器环境中设置起来很简单。例如,考虑两个虚拟主机,每个虚拟主机监听一个单独的。访问多个服务器上的应用程序的另一种方法是使用虚拟主机安排。设置的服务器配置的名称。设置的服务器配置的名称。下面显示了这种安排的。请注意使用双正斜杠 () 来引入虚拟主机名。
【Android】Android基于ibeacon信标实现蓝牙考勤功能,利用蓝牙信标做一款打卡软件,Android与服务器的蓝牙考勤系统
q742971636的博客
05-19 635
手机接收到这个信号后,根据ibeacon设备的UUID、major、minor和MAC这四个参数,就可以确认是哪一台ibeacon设备。然后,手机调用服务器上的考勤接口(注意:ibeacon设备只用于确认手机在考勤机附近,不会发送考勤数据到设备本身),这样就可以实现蓝牙考勤了。当手机的蓝牙开启并靠近ibeacon设备时,设备会主动发送蓝牙信号。
物理服务器都有哪些作用?
wanhengwangluo的博客
05-18 623
物理服务器主要是由处理器、硬盘和系统总线等构成的,和普通的计算机相比,物理服务器因为需要提供更高的服务,所以物理服务器在各个方面的要求会高一些。物理服务器可以根据企业不同的自身需求来安装相应的配置,来满足企业各自的业务发展,物理服务器的架构和传统的计算机架构相似,有着十分稳定的硬件设施,一般不会造成网络拥堵和服务器死机的状况。物理服务器还有着大容量的内存,能够存储大量的数据文件,面对大量的用户请求也能轻巧应对,物理服务器的整体网络性能方面十分强大。
个人IPTV服务器ErsatzTV
wbsu2004的博客
05-17 1201
ErsatzTV 能使用您的媒体库配置和流式传输自定义直播频道。
【Linux】文件系统和软硬链接
muyuteacher的博客
05-16 541
我们之前对文件的学习都是内存级别的,那么在文件没有被进程打开之前,这个文件是什么样的状态?本篇将站在磁盘的底层数据结构角度告诉你文件在磁盘中是如何存放的,以及磁盘的文件系统如何实现文件的创建、删除等操作,讲解磁盘文件系统具体的运行方式。
Linux文件系统
编程SHARE的博客
05-19 1150
当文件没有打开的时候,那么文件存储在磁盘之中。既然存储在磁盘中,那么我们就要去了解一下磁盘文件的存储磁盘由多个盘片和多个读写头组成,每个盘面都有两个表面,且每一个表面都可以存储数据。对于每个盘面来说,每个盘面形成半径不同的同心圆,两个圆之间形成的就是磁道。磁道又在一次被分割,一个磁道又被划分成一个个扇区。扇区通常包括512字节的数据。扇区就是磁盘的基本单位。
Qt学习记录(十三)TCP通信,UDP通信 服务器和客户端
qq_42908901的博客
05-15 270
医疗猫猫!猫好!
查看远程桌面连接登录不上服务器,远程桌面连接登录不上服务器是什么情况?怎么解决?
day3ZY的博客
05-22 317
首先,我们需要对可能的原因进行逐一排查。此外,服务器的远程桌面服务可能没有正确启动或被禁用,这也会导致连接失败。另外,如果服务器的系统存在问题,如系统文件丢失、损坏或异常发包,也可能影响远程桌面的正常连接。综上所述,远程桌面连接不上服务器的原因可能是多方面的,需要逐一排查并采取相应的解决措施。在信息技术领域,远程桌面连接(RDP)是一种重要的远程管理工具,它允许管理员或用户从远程位置访问和控制服务器或计算机。然而,在实际操作中,远程桌面连接不上服务器的情况时有发生,这通常是由多种因素导致的。
JavaWeb笔记全整理——JSP服务器渲染技术
i_Water_boy的博客
05-18 649
本篇讲解服务器渲染技术——jsp
网络协议——RTSP(简介、搭建RTSP服务器
计算机硕士的博客
05-22 684
网络协议——RTSP(简介、搭建RTSP服务器)。
gin jwt 使用
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和授权功能。JWT是一种用于在网络应用间传递信息的安全方法,它由三部分组成:header、payload和signature[^1]。 下面是在Gin框架中使用JWT的示例代码[^2]: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值