Java Web Token令牌校验

已于 2023-06-15 15:54:35 修改
阅读量1k 收藏 2
点赞数
分类专栏: Java开发栈 文章标签: java 前端 服务器
于 2023-06-15 15:53:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ven_ture/article/details/131229645
版权

前言:本文只涉及JWT的理论部分,不涉及代码

传统的用户校验可以结合cookie+session来实现,但是校验信息存放在服务端,当用户过多时会给服务器造成太大的压力,所以我们可以使用token进行校验,将用户信息加以签名后存放在客户端。既能减少服务器存储压力,又能保证校验安全性,可谓是一箭双雕。

在Oauth2协议中,客户端请求认证服务获取令牌,每次从资源服务中获取消息都需要先经过认证服务校验令牌的有效性,这无疑增长了我们业务的处理链,这就是普通令牌遇到的问题。而JWT可以实现只在请求获取令牌时访问认证服务,而在校验令牌的有效性时可以在资源服务进行,又能确保安全性。

1. 普通令牌的问题

客户端申请到令牌,接下来客户端携带令牌去访问资源,到资源服务器将会校验令牌的合法性。

资源服务器如何校验令牌的合法性?

我们以OAuth2的密码模式为例进行说明:

在这里插入图片描述

从第4步开始说明:

1、客户端携带令牌访问资源服务获取资源。

2、资源服务远程请求认证服务校验令牌的合法性

3、如果令牌合法资源服务向客户端返回资源。

这里存在一个问题:

就是校验令牌需要远程请求认证服务,客户端的每次访问都会远程校验,执行性能低。

如果能够让资源服务自己校验令牌的合法性将省去远程请求认证服务的成本,提高了性能。如下图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传在这里插入图片描述

如何解决上边的问题,实现资源服务自行校验令牌。

令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

2. 什么是JWT

JSON Web Token(JWT)是一种使用JSON格式传递数据的网络令牌技术,它是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止内容篡改。官网:https://jwt.io/

使用JWT可以实现无状态认证,什么是无状态认证?

传统的基于session的方式是有状态认证,用户登录成功将用户的身份信息存储在服务端,这样加大了服务端的存储压力,并且这种方式不适合在分布式系统中应用。

如下图,当用户访问应用服务,每个应用服务都会去服务器查看session信息,如果session中没有该用户则说明用户没有登录,此时就会重新认证,而解决这个问题的方法是Session复制、Session黏贴。

在这里插入图片描述

如果是基于令牌技术在分布式系统中实现认证则服务端不用存储session,可以将用户身份信息存储在令牌中,用户认证通过后认证服务颁发令牌给用户,用户将令牌存储在客户端,去访问应用服务时携带令牌去访问,服务端从jwt解析出用户信息。这个过程就是无状态认证。

在这里插入图片描述

JWT令牌的优点:

1、jwt基于json,非常方便解析。

2、可以在令牌中自定义丰富的内容,易扩展。

3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。

4、资源服务使用JWT可不依赖认证服务即可完成授权。

缺点:

1、JWT令牌较长,占存储空间比较大。

下边是一个JWT令牌的示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJ6aGFuZ3NhbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2NjQyNTQ2NzIsImF1dGhvcml0aWVzIjpbInAxIl0sImp0aSI6Ijg4OTEyYjJkLTVkMDUtNGMxNC1iYmMzLWZkZTk5NzdmZWJjNiIsImNsaWVudF9pZCI6ImMxIn0.wkDBL7roLrvdBG2oGnXeoXq-zZRgE9IVV2nxd-ez_oA

JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz

2.1 Header

头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)

一个例子如下:

下边是Header部分的内容

{ 	
   "alg": "HS256",
	"typ": "JWT"    
}

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

2.2 Payload

第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的信息字段,比如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。

此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。

最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。

一个例子:

{
    "sub": "1234567890",
    "name": "456",
    "admin": true
  }

2.3 Signature

第三部分是签名,此部分用于防止jwt内容被篡改。

这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明的签名算法进行签名。

一个例子:

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret)

base64UrlEncode(header):jwt令牌的第一部分。

base64UrlEncode(payload):jwt令牌的第二部分。

secret:签名所使用的密钥。

3. JWT的安全性

为什么JWT可以防止篡改?

第三部分使用签名算法对第一部分和第二部分的内容进行签名,常用的签名算法是 HS256,常见的还有md5,sha 等,签名算法需要使用密钥进行签名,密钥不对外公开,并且签名是不可逆的,如果第三方更改了内容那么服务器验证签名就会失败,要想保证验证签名正确必须保证内容、密钥与签名前一致。

在这里插入图片描述

从上图可以看出认证服务和资源服务使用相同的密钥,这叫对称加密,对称加密效率高,但是一旦密钥泄露攻击者就可以伪造jwt令牌。

JWT还可以使用非对称加密,认证服务自己保留私钥,用这个私钥进行签名。将公钥下发给受信任的客户端、资源服务,它们使用公钥验证签名。公钥和私钥是配对的,成对的公钥和私钥才可以正常加密和解密,非对称加密效率低但相比对称加密非对称加密更安全一些。

参考资料:

黑马学成在线-认证授权v3.1

VentureBro
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt
遥是此间桃花庵
10-10 388
文章目录1.JWT是什么2.为什么使用JWT3.JWT的工作原理4. JWT组成5.jwt实现验证: 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3.JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName...
Java Web 开发必须掌握的三个技术:Token、Cookie、Session
weixin_45521583的博客
07-27 358
APP登录的时候发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果成功,以某种方式比如随机生成32位的字符串作为Token,存储到服务器中,并返回Token到APP,以后APP请求时,凡是需要验证的地方都要带上该Token,然后服务器端验证Token,成功返回所需要的结果,失败返回错误信息,让他重新登录。服务器接收到请求信息后,会通过浏览器请求的数据中的SessionId判断当前是哪个用户,然后根据SessionId在Session库中获取用户的Session数据返回给浏览器。
解密JWT的本质 通过java代码带你一步步还原Json Web Token的组成及验证原理
go24k的博客
09-05 1583
Json Web Token 是一个信息的载体,更是一个通信的安全凭证。通过代码实战让你彻底玩转jwt
JAVA实现登录校验(JWT令牌实现)
最新发布
目前专注区块链相关技术的学习与分享
05-06 906
等。例如:{"id":"1","username":"Tom"}第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。签名的目的就是为了防止jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌校验的时候都会失败,所以它是非常安全可靠的。
登录认证功能中的会话技术
m0_72167535的博客
04-08 344
如果用户没有登录,此时就不允许他执行相关的业务操作,直接给前端响应一个错误的结果,最终跳转到登录页面,要求他登录成功之后,再来访问对应的数据。输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。接下来,在后续的每次请求时,都会将Cookie的值,携带到服务端,那服务端呢,接收到Cookie之后,会自动的根据JSESSIONID的值,找到对应的会话对象Session。
javatoken令牌
David_Hzy的博客
12-15 404
一段字符串,用来身份识别的要求:1. 承载业务数据,减少后续请求查询数据库的次数2.放篡改,保证信息的合法性和有效性。
php 令牌验证 原理,深入理解令牌认证机制(token
weixin_30282917的博客
03-10 1219
以前的开发模式是以MVC为主,但是随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。token即标志、记号的意思,在IT领域也叫作令牌。在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操...
Java TokenProcessor令牌校验工具类
08-31
使用TokenProcessor这样的工具类,可以简化在Java Web应用中实现安全令牌验证的流程,提高代码的可复用性和安全性。在开发过程中,应该根据项目需求选择合适的验证策略,例如设置令牌的有效期,以及在何时何处清除...
基于Java Web Token的单点登录技术研究与实现.pdf
12-31
"基于Java Web Token的单点登录技术研究与实现" 单点登录(Single Sign-On,SSO)技术是指用户只需登录一次,就可以访问所有相关系统和应用程序的技术。随着企业应用系统的不断增长和复杂化,单点登录技术变得...
springboot+jwt实现token登陆权限认证的实现
08-19
JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来验证用户身份。 什么是 JWT JWT 是一种基于 token 的身份验证机制, token 由三部分组成:头部(Header)、负载(Payload...
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全性约束一起使用,并使服务器保持无状态:使用JWT令牌,您可以使Tomcat摆脱http会话的困扰。 从3.0.0版开始,已进行了一些改进(进行了许多重大...
JavaWebToken相关jar包
11-24
Java后台,生成和校验JavaWebToken时,需要用到此jar。
spring boot整合scurity做简单的登录校验的实现
08-19
这两个库分别用于OAuth2认证和JSON Web Token(JWT)的处理。请注意,这里的版本号可能会随时间更新,因此建议查看最新稳定版本。 ```xml <groupId>org.springframework.security.oauth <artifactId>spring-...
令牌校验流程分析
Leon_Jinhai_Sun的博客
05-10 1350
资源服务授权 资源服务授权流程 (1)传统授权流程 资源服务器授权流程如上图,客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验成功会返回用户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客户端。 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取用户的相关信息,性能低下。 (2)公钥私钥授权流程 传统的授权模式性能低
Java web】JWTtoken登录校验
zhangshuo的博客
05-05 2123
JWT (Json Web Token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT可以校验用户的身份,传递用户的身份信息,一般用在用户登录上。 JWT token的组成 头部(header) { "alg": "HS256", "typ": "JWT" } alg : 加密类型 typ : JWT token的类型 alg 算法 ...
java token生成和验证_Java Token登录验证 生成解析Token
weixin_36383052的博客
02-16 2979
借鉴参考Java Token登录验证 使用jjwt生成和解析JWTjava基于token验证之登陆验证等什么是Token?我的理解来说 token就是你访问服务器的口令,只要token合法,正确,你就能获取到后端数据当用户第一次登陆后,用户名密码验证成功后,服务器会生成一个token,把token返回到客户端,一般token都是储存在浏览器的localStorage 或 cookies中,存在lo...
java令牌_Java 令牌
weixin_39705850的博客
02-12 505
Java IO教程 - Java令牌Java有一些实用程序类,让我们将一个字符串分解成称为令牌的部分。我们通过定义分隔符字符来定义被认为是令牌的字符序列。StringTokenizer类位于java.util包中。 StreamTokenizer类位于java.io包中。StringTokenizer将字符串拆分成令牌,而StreamTokenizer让我们在基于字符的流中访问令​​牌。Strin...
JavaWebToken(JWT)的生成和解析
q438944209的博客
08-03 6001
在网上搜了一大片关于JWT的,都没有讲清楚是怎么生成和解析的,今天...
json web token的简单实现 JAVA
qq_19404533的博客
04-15 6824
1.简介 json web token(JWT)是一种新的用户认证方式,不同与以前的Session. JWT不需要服务器端存储用户信息,当用户登录后,服务器将用户信息放入加密放入token,需要时再通过对token解密获取. 关于更多JWT的介绍请自行搜索,这里提供一篇便于理解的文章: http://www.tuicool.com/articles/uuAzAbU 八幅漫画理解使用JSON
java代码怎么校验token有效性
07-14
校验 Java 中的令牌Token)的有效性,你可以使用 Java Web Token(JWT)库。以下是一个简单的示例代码: 1. 首先,确保你已经将 JWT 库添加到项目的依赖中。你可以在 Maven 或 Gradle 配置文件中添加相应的依赖项。 2. 导入必要的类: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; ``` 3. 创建一个方法来校验令牌的有效性: ```java public boolean verifyToken(String token, String secretKey) { try { Claims claims = Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(token) .getBody(); // 在这里可以根据需要进一步验证令牌的内容 // 例如:检查令牌是否过期、是否包含特定的声明等 return true; // 令牌有效 } catch (Exception e) { // 处理校验失败的情况 e.printStackTrace(); return false; // 令牌无效 } } ``` 在上述代码中,`token` 是要校验令牌字符串,`secretKey` 是用于签名和验证令牌的密钥。你可以根据你的需求自行定义这两个参数。 4. 调用 `verifyToken` 方法进行令牌有效性校验: ```java String token = "your_token_here"; String secretKey = "your_secret_key_here"; boolean isValid = verifyToken(token, secretKey); if (isValid) { System.out.println("令牌有效"); } else { System.out.println("令牌无效"); } ``` 请确保在校验令牌时处理相关的异常,例如 `ExpiredJwtException`(令牌过期异常)、`SignatureException`(签名验证失败异常)等。 注意:以上代码只是一个简单的示例,实际使用时需要根据具体的需求进行适当的修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值