JWT生成的token——中间部分Payload的坑

最新推荐文章于 2025-04-11 15:29:06 发布
最新推荐文章于 2025-04-11 15:29:06 发布
阅读量9.7k 收藏 16
点赞数 1
分类专栏: 日常开发遇到的问题 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29634843/article/details/109668875
版权
博客内容讲述了在使用JWT进行token认证时,为了解决敏感信息暴露的问题,采用了AES加密中间Payload部分。这导致在解密时,HttpServletRequest中的token不再符合JWT的三段式结构,从而引发解码错误。作者通过反射的方式,在解密验签成功后,将解密后的JWT格式token重新放入HttpServletRequest中,解决了这个问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT进行token认证应该都用过,标准的加密(Base64 编码)后的token是这样的三段式的:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiaWQiOiIxMjM0NTY3ODkwIiwiZXhwIjoxNjA1MDAxNzQyLCJpYXQiOjE2MDQ5OTQ1NDIsImp0aSI6IjU5YjI2NDEzLTE4MjMtNDVlZS1iZTI1LTA5M2ZjMjlhMmYzOCJ9.FMpVjuTUSOY5sbYqbJslJCnIvExfhPciSHXFZ9B8nH0
他是一个三段式的,中间使用两个.(点)隔开的。

JWT包含了三部分:
Header 头部
Payload 负载
Signature 签名/签证

这里不在详细介绍了,主要说一下JWT组成部分中间的这一段(Payload 负载)自己遇到的坑:

这是上面列举的token中间一段,由于是base64编码可以直接解密出来的,
在这里插入图片描述
在进行渗透测试的时候发现敏感信息暴露,所以需要对信息进行加密。自己的思路就是在生成token后,进行二次加密,如下图:在这里插入图片描述
AES加密后Token: VnkrQUODp5CiSeiX4jMIqE6i6CT29r13fk8k7D39UIMmc3VN6KqM8tfgtkH4si8mHf07Uc2R6Lw2JljJnfoBsmCnEKPwumbxvMaoxdz3cXvLYs4CD2zNHKceguK1ktLCvP4KQrdSrUZRP1HGfJnAdMDYJY748Q7n0LPA+KHtEIn0nYHrZj5x9VRzHHfU2otDwm5yzMV1wjnm2wzKJExYXjyT4zY07vYPtkyCtw6W3KtgeIEYWZyyPfzxvGMGaGJJzPeE563TkpUldF8QAnCXiQ==

这样就没法直接解密出来了。

在解密的时候,先对生成的AES加密信息先解密一次,转成jwt标准的三段式:
在这里插入图片描述
接下来就说到坑了:由于我在token生成时经过AES加密后,HttpServletRequest中此时不是JWT三段式token,这就导致后面接口使用JWT.decode方法获取token信息的时候报错:
在这里插入图片描述
没办法影响到全局功能只能改了,后面查看资料参考这篇资料启发

https://blog.csdn.net/u010698072/article/details/79973830

在token解密验签成功后,我加个反射将解密后的JWT格式token通过反射,修改token值加入到HttpServletRequest中去:

在这里插入图片描述
在这里插入图片描述

这样就就把之前AES解密后的JWT格式的token塞入到httpServletRequest中去了,后面接口获取token信息就正常了。

最后贴上相关的完整代码:

JwUtil:

package token;

import com.shop.result.CommonResult;
import io.jsonwebtoken.*;
import org.apache.tomcat.util.http.MimeHeaders;

import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Field;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

public class JwtUtil {
   

    public
最低0.47元/天 解锁文章
JWT(json web token)认证实现【Playload 存储自定义对象】
专注于计算机研发知识和资讯分享
12-09 1561
会将空转为字符串“null”生成jwt:sign(
java jwt payload_一张图了解javaJwt
weixin_39755824的博客
02-16 581
1.什么是javaJwt?JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.JWT.IO allows you to decode, verify and generate JWT.https://jwt.io/jav...
一文读懂 JWT
weixin_57849570的博客
08-22 390
最近在做网页登录权限认证的时候,由于我使用的框架是 SpringBoot ,在网上参考了大量资料后,我发现 SpringSecurity + JWT 出现频率很高,于是我去了解了一下 JWT,以下是我做的一些记录
java 怎样解析jwt中的payload
最新发布
zru_9602的博客
04-11 645
Java 中解析 JWT(JSON Web Token)中的 Payload 部分,通常需要使用一些库来简化操作。通过以上方法,你可以在 Java 中轻松解析 JWTPayload 部分并提取所需的声明信息。是一个流行的开源库,专门用于处理 JWT。你可以通过以下步骤解析 JWTPayload。虽然可以手动解析 JWT,但这种方式需要处理 Base64 编码和签名验证,是另一个常用的库,支持 JWT生成和解析。方法来解析 JWT
java jwt payload_深入了解java-jwt生成与校验
weixin_42459078的博客
02-13 965
什么是 JWT这里是jwt 官方地址,想了解更多的可以在这里查看。jwt 全称是JSON Web Token,从全称就可以看出 jwt 多用于认证方面的。这个东西定义了一种简洁的,自包含的,安全的方法用于通信双方以 json 对象的形式传递信息。其中简洁,安全,传递信息和 web 系统非常契合。jwt 实际上就是一个字符串,由以下三个部分构成(通过.分隔):Header 头部Payload 负载S...
php php解析jwt-go的playload出现乱码
挂件
09-02 737
jwt-go 生成包:dgrijalva/jwt-go v3.2.0 php base64解析playload出来以后是乱码,查阅了资料发现go的base64加密有两种方式:标准和URL 标准模式加、解密 base64.StdEncoding.EncodeToString(data) base64.StdEncoding.DecodeString(str) url编码加、解密 base64.UrlEncoding.EncodeToString(data) base64.UrlEncod...
php jwt payload,对于JWT的简单理解(php)
weixin_42127754的博客
03-10 1146
JWT(Json Web Token),其实就是一种token设计规范,由头部(Header)、载荷(Payload)、签名(Signatrue)组成。一:Header通常由两部分组成:令牌的类型(即JWT)和正在使用的签名算法(如HMAC SHA256)$header = {"alg": "HS256","typ": "JWT"}使用base64_encode编码json,得到的则是JWT的he...
jwt是什么?php jwt类封装和使用
不知道起什么名字
10-23 982
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature header部分: { "alg": "HS256", "typ": "JWT" } 对应base64UrlEncode编码为:eyJhb.
JWT Token生成及验证
07-16
1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header(头部)、Payload(载荷)和Signature(签名)。头部通常包含令牌类型(`typ`)和算法(`alg`);载荷包含声明,如用户ID、过期时间等;签名用于...
SpringBoot集成JWT生成token及校验方法过程解析
08-19
JWT token由三个部分组成:Header、Payload和Signature。其中,Header和Payload是明文的,Signature是通过Secret密钥对Payload进行签名生成的,用于验证 token 的身份。 二、SpringBoot集成JWT生成token 在...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
java jwt payload_java使用jwt实现登录认证
weixin_42323064的博客
02-13 1508
什么是JWT?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。此信息可以验证和信任,因为它是数字签名的。JWTs可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名jwt常见使用场景授权:这是使用JWT最常见的场景。一旦用户登录,随后的每个请求都将包括JWT,允许用户...
java jwt payload_Java JWT做登录认证
weixin_33365244的博客
02-16 811
1 packagecom.drz.proxy.internetProxy.util;23 importjava.util.Date;4 importjava.util.HashMap;5 importjava.util.Map;67 importorg.apache.commons.codec.binary.Base64;8 importorg.apache.commons.codec.binar...
JSON Web 令牌 (JWT)攻击_jwt payload 用户id,2024年最新全网最具深度的三次握手、四次挥手讲解
2301_82243558的博客
04-09 666
1.1 生成密钥:首先,需要生成一个密钥(secret key),这个密钥只有发送方和接收方知道。1.2 签名:在JWT中,要对头部和有效载荷进行签名,首先将头部和有效载荷进行Base64编码,得到两个字符串,分别记为header_base64和payload_base64。
JSON Web 令牌 (JWT)攻击_jwt payload 用户id(1),2024年最新给后辈的一点建议
2401_83739434的博客
04-15 787
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
读取jwt里负载的信息
左直拳的马桶_日用桶
11-24 2832
众所周知,JWT 的三个部分依次如下:Header(头部) ,元数据描述 Payload(负载) ,传输的数据 Signature(签名),Header + Payload的签名写成一行,就是下面的样子所谓读取jwt负载的信息,就是读取payload里的信息。
jwt生成token和验证token以及获取playload的数据,实现token拦截
热门推荐
weixin_42471170的博客
06-09 1万+
jwt实现流程: 1.添加依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> 2.编写一个jwt的工具类 package com.springboot.jwt.common; import com.
stthjpv:一款针对JWT Payload的安全保护工具
FreeBuf_的博客
06-28 976
一般来说,当我们对JWT令牌(Base64)进行解码时,Payload部分是以明文形式出现的,该工具可以对Payload值进行加密或混淆,以增加他人在解码或分析Payload时的难度。stthjpv是一款针对JWT Payload的安全保护工具,这款工具集多种技术和思想于一身,可以通过不断改变相关参数值来防止Payload被解码,以帮助广大研究人员更好地保护JWT Payload的安全性。除此之外,该工具还能够确保JWT Payload在被解码之后,输出保持一种难以阅读和理解的状态。
php 后端实现JWT认证方法
weixin_33978016的博客
09-03 332
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。JWT由三个部分组成:header.payload.signature 以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值