Spring项目中使用Jwt完成Token验证

最新推荐文章于 2024-09-23 09:00:00 发布
最新推荐文章于 2024-09-23 09:00:00 发布
阅读量4.6k 收藏 8
点赞数 2
分类专栏: Spring web 文章标签: JWT 身份认证 单点登录 JSON Web Tokens Java实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waiter456/article/details/120927589
版权
Spring 同时被 2 个专栏收录
23 篇文章 1 订阅
订阅专栏
web
13 篇文章 1 订阅
订阅专栏

 一、什么是JWT?为什么使用JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).
该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。这里还有一个在线的的JWT生成器

二、什么时候你应该用JSON Web Tokens

下列场景中使用JSON Web Token是很有用的:

  • Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
  • Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。

二、JSON Web Token的结构

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkdhcnJ5IENoYW4iLCJpYXQiOjEyMzQ1Njc4OX0.nxzzGLyI93VexcBf_pVDmeOFYrYvZpvkEbQ-9oK9C2c

JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:

  • Header
  • Payload
  • Signature

因此,一个典型的JWT看起来是这个样子的:

xxxxx.yyyyy.zzzzz

接下来,具体看一下每一部分:

Header

header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。

例如:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后,用Base64对这个JSON编码就得到JWT的第一部分

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

JWT的第二部分是payload,它包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。

  • 标准中注册的声明 Registered claims : 这里有一组预定义的声明,它们不是强制的,但是推荐。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等。
  • 公共的声明 Public claims : 可以随意定义。
  • 私有的声明 Private claims : 用于在同意使用它们的各方之间共享信息,并且不是注册的或公开的声明。

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

下面是一个例子:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

对payload进行Base64编码就得到JWT的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkdhcnJ5IENoYW4iLCJpYXQiOjEyMzQ1Njc4OX0

注意,不要在JWT的payload或header中放置敏感信息,除非它们是加密的。

Signature

为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。

密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和验证,所以需要保护好。

  • header (base64后的)
  • payload (base64后的)
  • secret

把上面base64加密后的header和base64加密后的payload使用.连接组成的字符串(头部在前),然后通过header中声明的加密方式进行加盐secret组合加密,就构成了jwt的第三部分。例如:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

nxzzGLyI93VexcBf_pVDmeOFYrYvZpvkEbQ-9oK9C2c

最后一步签名的过程,实际上是对头部以及载荷内容进行签名。一般而言,加密算法对于不同的输入产生的输出总是不一样的。对于两个不同的输入,产生同样的输出的概率极其地小(有可能比我成世界首富的概率还小)。所以,我们就把“不一样的输入产生不一样的输出”当做必然事件来看待吧。

所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。

服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。那么服务器应用是怎么知道我们用的是哪一种算法呢?别忘了,我们在JWT的头部中已经用alg字段指明了我们的加密算法了。

如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token,返回一个HTTP 401 Unauthorized响应。

签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。

注意:在JWT中,不应该在载荷里面加入任何敏感的数据,比如用户的密码。

看一张官网的图就明白了:

三、认识JSON Web Tokens和其工作流程

Jwt的工作流程

  1. 应用(或者客户端)想授权服务器请求授权。例如,如果用授权码流程的话,就是/oauth/authorize
  2. 当授权被许可以后,授权服务器返回一个access token给应用
  3. 应用使用access token访问受保护的资源(比如:API)

一般是在请求头里加入Authorization,并加上Bearer标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

服务端会验证token,如果验证通过就会返回相应的资源。

对Token认证的五点认识

  • 一个Token就是一些信息的集合;
  • 在Token中包含足够多的信息,以便在后续请求中减少查询数据库的几率;
  • 服务端需要对cookie和HTTP Authrorization Header进行Token信息的检查;
  • 基于上一点,你可以用一套token认证代码来面对浏览器类客户端和非浏览器类客户端;
  • 因为token是被签名的,所以我们可以认为一个可以解码认证通过的token是由我们系统发放的,其中带的信息是合法有效的;

四、Jwt的使用方式(代码)

需要使用的maven依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

下面是方法一代码:

//生成jwt的方法
private String createJWT(String id, String issuer, String subject, long ttlMillis) {
 
    //The JWT signature algorithm we will be using to sign the token
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
    long nowMillis = System.currentTimeMillis();
    Date now = new Date(nowMillis);
 
    //We will sign our JWT with our ApiKey secret
    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret());
    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
 
    //Let's set the JWT Claims
    JwtBuilder builder = Jwts.builder().setId(id)
                                .setIssuedAt(now)
                                .setSubject(subject)
                                .setIssuer(issuer)
                                .signWith(signatureAlgorithm, signingKey);
 
    //if it has been specified, let's add the expiration
    if (ttlMillis >= 0) {
        long expMillis = nowMillis + ttlMillis;
        Date exp = new Date(expMillis);
        builder.setExpiration(exp);
    }
    //Builds the JWT and serializes it to a compact, URL-safe string
    return builder.compact();
}

//*****************下面是解析jwt的方法*****************//
//Sample method to validate and read the JWT
private void parseJWT(String jwt) {
    //This line will throw an exception if it is not a signed JWS (as expected)
    Claims claims = Jwts.parser()        
       .setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
       .parseClaimsJws(jwt).getBody();
    System.out.println("ID: " + claims.getId());
    System.out.println("Subject: " + claims.getSubject());
    System.out.println("Issuer: " + claims.getIssuer());
    System.out.println("Expiration: " + claims.getExpiration());
}

下面是方法二代码:

    /**
     * 密钥
     */
    private static final String SECRET = ".iloVeyOu@123";

    /**
     * 从数据声明生成令牌
     *
     * @param claims 数据声明
     * @return 令牌
     */
    private String generateToken(Map<String, Object> claims) {
        Date expirationDate = new Date(System.currentTimeMillis() + 2592000L * 1000);
        return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();
    //下面是使用jwt提供标准的声明
    /**JwtBuilder builder = Jwts.builder().setId(id)
                                .setIssuedAt(now)
                                .setSubject(subject)
                                .setIssuer(issuer)
                                .signWith(signatureAlgorithm, signingKey);*/
    } 

    /**
     * 从令牌中获取数据声明
     *
     * @param token 令牌
     * @return 数据声明
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

    /**
     * 生成令牌
     *
     * @param userDetails 用户
     * @return 令牌
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>(2);
        claims.put("sub", userDetails.getUsername());
        claims.put("created", new Date());
        return generateToken(claims);
    }

    /**
     * 从令牌中获取用户名
     *
     * @param token 令牌
     * @return 用户名
     */
    public String getUsernameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            if(null == claims){
            	return null;
            }
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 判断令牌是否过期
     *
     * @param token 令牌
     * @return 是否过期
     */
    public Boolean isTokenExpired(String token) {
        try {
            Claims claims = getClaimsFromToken(token);
            if(null == claims){
            	return false;
            }
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 刷新令牌
     *
     * @param token 原令牌
     * @return 新令牌
     */
    public String refreshToken(String token) {
        String refreshedToken;
        try {
            Claims claims = getClaimsFromToken(token);
            if(null == claims){
            	return null;
            }
            claims.put("created", new Date());
            refreshedToken = generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    /**
     * 验证令牌
     *
     * @param token       令牌
     * @param userDetails 用户
     * @return 是否有效
     */
    public Boolean validateToken(String token, UserDetails userDetails) {
        JwtUser user = (JwtUser) userDetails;
        String username = getUsernameFromToken(token);
        return (username.equals(user.getUsername()) && !isTokenExpired(token));
    }
    @RequestMapping(value="login",method = RequestMethod.POST)
    public ReturnVo login(String username, String password,HttpServletResponse
            response) {
        User user =  userService.findByUsername(username);
        if(user!=null){
            if(user.getPassword().equals(password)){
                //把token返回给客户端-->客户端保存至cookie-->客户端每次请求附带cookie参数
                String JWT = JwtUtils.createJWT("1", username, SystemConstant.JWT_TTL);
                return ReturnVo.ok(JWT);
            }else{
                return ReturnVo.error();
            }
        }else{
            return ReturnVo.error();
        }
    }


    @RequestMapping(value="description",method = RequestMethod.POST)
    public ReturnVo description(String username) {
        User user =  userRepository.findByUsername(username);
        return ReturnVo.ok(user.getDescription());
    }

还有一种方法生成jwt:

maven依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

JwtUtils工具类

public class JavaJWTUtil {
    // 过期时间5分钟
    private static final long EXPIRE_TIME = 5 * 60 * 1000;

    /**
     * 生成签名,5min后过期
     *
     * @param username 用户名
     * @param secret   用户的密码
     * @return 加密的token
     */
    public static String sign(String username, String secret) {
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        Algorithm algorithm = Algorithm.HMAC256(secret);
        // 附带username信息
        return JWT.create()
                .withClaim("username", username)
                .withClaim("as", "a")
                .withExpiresAt(date)
                .sign(algorithm);
    }

    public static boolean verify(String token, String username, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            System.out.println(token);
            System.out.println(jwt.getHeader());
            System.out.println(jwt.getPayload());
            System.out.println(jwt.getSignature());
            System.out.println(jwt.getToken());
            return true;
        } catch (Exception exception) {
            exception.printStackTrace();
            return false;
        }
    }
    public static void main(String[] args) {
        String zhangsan = JavaJWTUtil.sign("zhangsan", "123");
        JavaJWTUtil.verify(zhangsan, "zhangsan", "123");
    }
}

微特尔普拉斯
关注
专栏目录
SpringBoot】44、SpringBoot整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
SpringBoot】46、SpringBoot整合JWT实现Token验证(拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
spring-token:整合JWTspringspringMVC,实现基于token验证
05-11
spring-token 整合JWTspringspringMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWTspringspringMVC的整合,所以如果有小伙伴想整合JWTspring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
Spring 集成jwtjava web token
ppwwp的专栏
02-28 2288
jwtjava web token)简介 它是基于 RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。 组成部分: Header 头部:一般为token类型和加密算法 Payload 负载:一些用户信息和额外的声明数据 ...
java JWT:JSON Web Token 详解
最新发布
miracle的专栏
09-23 1032
JWT是一种灵活、轻量且跨平台的身份验证和授权方式。在现代 Web 应用,尤其是分布式架构和微服务JWT 广泛用于处理用户身份验证和权限管理。通过本文的介绍,你不仅可以了解 JWT 的基本原理,还可以结合和Node.js实现 JWT 认证系统,并利用常用的调试工具提升开发效率。希望本文能帮助你更好地理解并运用 JWT
spring token
justlpf的专栏
05-11 493
参考文章: springboot + spring security验证token进行用户认证 简单理解token机制 token的作用及实现原理 SpringBoot 通过token进行身份验证,存储redis springboot之token的用法总结 ...
java JWT 解析 token
weixin_42612405的博客
12-28 911
好的,我们可以使用Java的第三方库来解析JWT token。 首先,需要在项目引入相应的依赖。例如,我们可以使用JJWT来解析JWT token。在你的项目的build.gradle文件添加以下依赖: compile 'io.jsonwebtoken:jjwt:0.9.1' 然后,你可以使用Jwts.parser()静态方法来创建一个JWT解析器。接下来,你可以使用解析器的parseClai...
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4637
实现token 认证
SpringBoot】45、SpringBoot整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 整合了 JWT 并实现了 Token 验证,那我们在实际应用就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
springboot通过jwt实现token验证
m0_50207524的博客
08-25 795
throw new ServiceException("请登录", "401");import com/*** @date 2024年07月28日 22:13} }/*** @date 2024年07月28日 22:13} }/*** @date 2024年07月28日 22:13} }R;import org/*** @date 2024年07月28日 22:13} }/**
Spring Cloud Feign统一设置验证token实现方法解析
08-18
在微服务架构token验证是非常重要的安全机制之一,本文将主要介绍如何使用Spring Cloud Feign统一设置验证token实现方法解析。 首先,我们需要了解Feign组件的工作机制。Feign组件是一个基于Annotation的接口...
Spring-Security & JWT 实现 token
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-23 2379
一、JWT//www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html二、项目环境搭建2.1 引入依赖pom.xml<dependencies> <dependency> <groupId>javax.xml.bind</gro...
后端架构token授权认证机制:spring security JSON Web TokenJWT)简例
Zhang Phil
02-10 6957
spring security JSON Web TokenJWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
springboot项目 jwt使用(后台)
weixin_52029188的博客
06-03 426
一、jwt介绍 1、什么是jwt jwt全称JSON WEB TOKEN 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2、jwt流程 #用户使用用户名密码来请求服务器 #服务器进行验证
SpringMVC加JWT token验证
scottfan的博客
05-23 1227
开发环境: MyEclipse 2017 CI 10 Spring 5.0 jar文件: jjwt-0.7.0.jar , jjwt-jackson-0.11.1.jar , jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar jar文件下载地址: https://repo1.maven.org/maven2/com/ jackson-annotations-2.10...
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 3785
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解的权限表达式* 实际可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
Springboot集成token认证
qq_68534248的博客
04-01 1884
首先前端一样是把登录信息发送给后端后端查询数据库校验用户的账号和密码是否正确,正确的话则使用jwt生成token,并且返回给前端。以后前端每次请求时,都需要携带token后端获取token后,使用jwt进行验证用户的token是否无效或过期,验证成功后才去做相应的逻辑。:简单来说就是服务器根据前端传来的用户名与密码生成token并返回前端,前端之后的请求都会携带该cookie来进行执行操作认证。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。
springboot 集成jwt使用
不积跬步,无以至千里;不积小流,无以成江海。
05-27 1115
JWT(JSON Web Token)是一种基于JSON格式的身份验证和授权标准,经常用于Web应用程序的用户身份验证JWT由三个部分组成:头部、载荷和签名。头部包含算法和类型信息,载荷包含用户数据和元数据,签名则是基于头部和载荷计算得出的,在身份验证时用于验证请求是否是合法的。JWT是一种轻量级、简单、可扩展的身份验证机制,具有良好的互操作性和各种编程语言的广泛支持。可以在前端使用JavaScript生成JWT并在后端进行验证,也可以在后端使用Java、Python等语言生成和验证JWT
Spring Boot整合JWT框架以高效处理Token验证
资源摘要信息: "Spring Boot整合JWT框架,解决Token验证问题" ### 知识点概述: #### 1. Spring Boot框架基础 - **Spring Boot核心特性**:Spring Boot提供了快速开发的能力,可以轻松创建独立的、生产级别的基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值