1W字~深入浅出了解一下JWT

最新推荐文章于 2024-09-03 08:35:11 发布
最新推荐文章于 2024-09-03 08:35:11 发布
阅读量249 收藏 3
点赞数
文章标签: 安全 java 开发语言 面试 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdj_yyds/article/details/124609678
版权
本文深入探讨JWT(JSON Web Token)的用途、结构、认证流程及其在SpringBoot项目中的应用,包括用户登录、token生成与校验、拦截器配置,揭示JWT如何解决传统session认证的问题,并提供了一个完整的JWT登录案例。
摘要由CSDN通过智能技术生成

1. 为什么要用 JWT ?

认证

在谈起 JWT 之前,我们先了解一下什么是认证

在登录淘宝、微博等软件或者网站之前,我们需要通过填写账号和密码来校验身份。认证是用来验证用户身份合法性的一种方式。

那我们登录成功之后,网站如何记录我们的身份信息呢?

前面我们在学习 servlet 的时候,知道了传统的系统主要是通过 session 来存储用户的信息。session 将用户的信息存储在服务端。

但是随着用户数量的增多,服务端就需要存一堆用户的认证信息,这种方式会不断增加服务端的压力。

如果是分布式系统,用 session 存储用户信息就太拘束了。因为分布式系统一般都会做负载均衡,如果这次认证成功了,那么意味着下次请求必须仍要访问这台服务器才能认证成功。

如果是前后端分离的系统就更难受了,因为前端代码和后端代码放在不同的服务器上,除了会增加服务器的压力,还会产生跨域等一系列问题,有点得不偿失。

那有没有一种工具能帮我们解决这些认证问题?

  1. 服务端不需要存储用户的认证信息
  2. 避免跨域
  3. 保证数据的安全性

JWT闪亮登场。

2.什么是 JWT

JWT 简称: JSON Web Token,又叫做 web 应用中的令牌。它可以帮助我们完成用户的认证、存储信息、加密数据等功能。

那什么是令牌呢?令牌就相当于古代的虎符。

古代将军要想调兵遣将,必须手持虎符。

而用户要想访问系统中的某些页面,在发起的请求中必须携带使用 JWT 生成的令牌。令牌校验通过了,方可访问系统。这里的令牌简称为 token

3. JWT 的结构

注:这里所说的 JWT 的结构,指的是用 JWT 生成令牌的结构,也就是 token 的结构。

令牌的结构组成:

  • 标头(Header)
  • 载荷(Payload)
  • 签名(Signature)

令牌最终的样子是由这三部分组成的字符串:

Header.Payload.Signature
复制代码

例如:

hjYGH1dajUU.dajhjksfiu2h27jjghg2.kjbhjkf982bhh2lk2
复制代码

3.1 标头

标头是使用 Base64 编码将令牌类型签名算法经过加工后生成的一段字符串

标头包含两部分:

  • 令牌的类型:JWT(一般是默认的)
  • 签名算法:例如 SHA256、HMAC等
{
  "alg": "HS256",
  "typ": "JWT"
}
复制代码

3.2 载荷

载荷主要存储一些自定义信息。它也是使用 Base64 编码加工后生成的一段字符串。
 

3.3 签名

签名是通过一个秘钥和标头中提供的算法再将标头和载荷进行加工后生成的一段字符串。例如:

4. JWT 的认证流程

  1. 用户点击登录,后台接收用户请求并根据账号和密码从数据库查询用户信息。用户若存在,则使用 JWT 生成 token 并返回给前台。用户若不存在,则返回错误信息。
  2. 前端在请求其他资源时将 token 放到请求头中。
  3. 后台从请求头中获取 token 信息,如果 token 校验失败,则返回错误信
最低0.47元/天 解锁文章
Java爱好狂.
关注
springboot医院挂号系统
AI天才研究院
05-30 1035
springboot医院挂号系统 作者:禅与计算机程序设计艺术 1.背景介绍 随着医疗信息化的不断发展,传统的医院挂号模式已经无法满足患者日益增长的就医需求。开发一个高效、便捷、智能化的医院挂号系统成为了当前医疗行业的迫切需要。本文将介绍如何使用springboot框架来实现一
硅谷课堂1
weixin_45014721的博客
09-03 538
工作内容,不对外开放
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 Owin承载JWT插件等方式验证服务器端
DecodedJWTJWT
mingzq123的博客
03-26 2376
获取JWT的签名信息。作业:使用JWT创建一个包含用户ID和用户名的JWT,并使用HS256算法对其进行签名。使用DecodedJWT类解码JWT,从中获取用户的ID和用户名,然后根据用户ID查询用户信息并返回。: 获取JWT的头部信息。: 获取JWT的主题。: 获取JWT的签发时间。获取JWT使用的加密算法。: 获取JWT的接收者。:使用指定的算法对JWT进行签名。
推荐使用:jwt-decode - 简单易用的JWT解码库
gitblog_00038的博客
05-11 1812
推荐使用:jwt-decode - 简单易用的JWT解码库 项目地址:https://gitcode.com/gh_mirrors/jw/jwt-decode 在现代Web开发中,JSON Web Tokens(JWTs)被广泛用于身份验证和授权,以确保数据的安全传输。为此,我们强烈推荐一个轻量级、易于使用的JavaScript库——jwt-decode。这个库能帮助你在浏览器环境中轻松解码Bas...
jwt-decode.js
10-23
jwt JS解密文件 var getUserjwt = function (token) { if (!token) { return; } } //解析jwt令牌 var jwtDecodeVal = jwt_decode(token);
java decode jwt_JavaJwt
weixin_30487899的博客
02-16 1202
javajar包封装工具类public class jwtTool {public static final String secretKey = "askjdksadjkasdakjshdjkasdkAakjshdjasdjs";public String getJWTWithHMAC256(String subject, String secretKey){//指定JWT所使⽤用的签名算法Al...
ASP.NET Core中JWT授权认证全攻略:从基础到实战
本文将深入浅出地探讨ASP.NET Core中JSON Web Tokens (JWT) 授权认证的实现流程。JWT是一种轻量级的身份验证机制,通过安全地将用户信息封装在Token中进行传递,以简化前后端之间的身份验证。在ASP.NET Core中,JWT...
40000+超强总结?阿里P8把Java全栈知识体系详解整理成这份PDF
xiaohao718的博客
06-27 1372
40000 +长文总结,已将此文整理成PDF文档了,需要的见文后下载获取方式。全栈知识体系总览Java入门与进阶面向对象与Java基础基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制:A. Java进阶 - Java 集合框:Java 集合框架应用是极其广泛的,对于其总体框架用法及源码都必要深刻理解。B. Java进阶 - Java 集合框之 Collection源码解读:对核心的Collection类进行源码解读。C. Java进阶 - Java 集合框之 Map & Set 源码解读
来来来~ 码一万,带你读懂JWT
wdjnb的博客
05-06 2275
1. 为什么要用 JWT ? 认证 在谈起 JWT 之前,我们先了解一下什么是认证。 在登录淘宝、微博等软件或者网站之前,我们需要通过填写账号和密码来校验身份。认证是用来验证用户身份合法性的一种方式。 那我们登录成功之后,网站如何记录我们的身份信息呢? 前面我们在学习 servlet 的时候,知道了传统的系统主要是通过 session 来存储用户的信息。session 将用户的信息存储在服务端。 但是随着用户数量的增多,服务端就需要存一堆用户的认证信息,这种方式会不断增加服务端的压力..
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌。 重要信息:该库不会验证令牌,任何格式正确的JWT都可以解码。 您应该使用 , , 等在服务器端逻辑中验证令牌。 警告:从版本2升级到版本3 ,可能会有重大更改 如果您先前import * as jwt_decode from 'jwt-decode'将库import * as jwt_decode from 'jwt-decode'为import * as jwt_decode from 'jwt-decode' ,则必须更改导入, import jwt_decode from 'jwt-decode'; 。 赞助 如果你想安全的基于令牌的认证快速添加到您JavaScript项目,随时检查Auth0JavaScript SDK和自由计划 安装 使用NPM或Yarn安装。 运行npm in
推荐开源项目:JWT Decode —— 简化你的浏览器端JWT解析
最新发布
gitblog_00429的博客
09-03 485
推荐开源项目:JWT Decode —— 简化你的浏览器端JWT解析 jwt-decodeDecode JWT tokens; useful for browser applications.项目地址:https://gitcode.com/gh_mirrors/jw/jwt-decode 在当今这个无处不在的认证时代,JSON Web Tokens(JWT)作为一种安全的用户身份验证和授权机制...
(已解决)vue中如何解析jwt令牌,vue中jwt-decode无法使用,报错缺少类jwt-decode,无法找到jwt-decode
BrianGriffin的博客
01-31 1474
jwt-decode经过了一次更新,jwt-decode中已没有jwt-decode模块,所以无法使用jwt-decode进行jwt令牌解析。通过查找模块,发现jwt-decode模块更新为jwtDecode模块。所以需要使用jwtDecode进行解析。使用es6语法进行导入。
java jwt_「java」使用jwt进行认证授权
weixin_39822629的博客
02-19 363
传统的web应用使用session来维护用户与服务器之间的状态,用户提交用户名密码到服务器,服务器生成会话id,并将验证通过的用户信息存到session中(内存or数据库),会话id会写出到cookie。用户登录之后的操作,都会附带包含sessionId的cookie,服务器根据用户端传来的sessionId获取用户信息,会话的有效期,包括用户登出等操作都依赖对session的操作,如下图:基于s...
jwt-decode解析token并存储到Vuex
Sebastien23的博客
06-29 967
安装Token解析工具: 在中引入来解析token: 编辑,定义将token信息存储到Vuex的: 修改中的methods,将token信息存储到Vuex: 在浏览器中安装Vue devtool测试插件后,登录后可以在Root组件中看到解析后存储的用户token信息。不过如果刷新了网页,存储的token信息就会丢失。为了避免这种情况,我们需要在中进行相关配置。编辑:.........
推荐项目:JWTDecode.Android - Android平台上的JSON Web Token解析库
gitblog_00086的博客
04-19 477
推荐项目:JWTDecode.Android - Android平台上的JSON Web Token解析库 项目地址:https://gitcode.com/gh_mirrors/jw/JWTDecode.Android 项目简介 是一个由Auth0开发并维护的Android库,专门用于解码和验证JSON Web Tokens(JWTs)。JWT是一种安全的身份认证和授权机制,广泛应用于现代Web...
vue通过jwt-decode解析token获取需要的数据(学习篇)
skyblue_afan的博客
12-10 8460
1、安装jwt-decode插件 npm install jwt-decode --save //慢的话可以cnpm cnpm install jwt-decode --save 2、在页面引入安装的插件 这里我是在vuex中引入的,因为我在登录拿到token后,我就需要解析token,然后将信息保存起来 import jwt_decode from "jwt-decode"; 3、使用 // 解析获取token //data.normal_login_token为请求到的token const de
jwt token解码
05-13 2886
最近开发中需要从jwt token中解析出数据,写了个类,验证通过 1、首先加入maven依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> 2、创建jwt工具类 import com.auth.
jwt::decode_停止猜测:什么是JWT
weixin_26738395的博客
08-27 484
jwt::decode JSON Web令牌(JWT) (JSON Web Token (JWT)) A JWT Is an open standard that defines a compact and self-contained way for performing Authentication in REST APIs where information is securely tran...
深入浅出Spring Boot与JWT安全认证机制
通过Spring Boot、JWT和Spring Security的结合,开发者可以构建出一个安全、快速且易于维护的Web应用。整个集成过程涉及到了多个层面的知识点,包括但不限于Spring Boot的项目构建、安全配置、数据库操作、JWT的原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值