java jwt登录_SpringBoot使用JWT实现登录验证的方法示例

什么是JWT

JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。

具体的jwt介绍可以查看官网的介绍:https://jwt.io/introduction/

jwt请求流程

引用官网的图片

1990f902551bee120d32c8c56fa2cd7f.png

中文介绍:

用户使用账号和面发出post请求;

服务器使用私钥创建一个jwt;

服务器返回这个jwt给浏览器;

浏览器将该jwt串在请求头中像服务器发送请求;

服务器验证该jwt;

返回响应的资源给浏览器

jwt组成

jwt含有三部分:头部(header)、载荷(payload)、签证(signature)

头部(header)

头部一般有两部分信息:声明类型、声明加密的算法(通常使用HMAC SHA256)

头部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

解密后:

{

"typ":"JWT",

"alg":"HS256"

}

载荷(payload)

该部分一般存放一些有效的信息。jwt的标准定义包含五个字段:

iss:该JWT的签发者

sub: 该JWT所面向的用户

aud: 接收该JWT的一方

exp(expires): 什么时候过期,这里是一个Unix时间戳

iat(issued at): 在什么时候签发的

这个只是JWT的定义标准,不强制使用。另外自己也可以添加一些公开的不涉及安全的方面的信息。

签证(signature)

JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:

header (base64后的)

payload (base64后的)

secret 私钥

secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

在SpringBoot项目中应用

首先需要添加JWT的依赖:

io.jsonwebtoken

jjwt

0.6.0

接下来在配置文件中添加JWT的配置信息:

##jwt配置

audience:

clientId: 098f6bcd4621d373cade4e832627b4f6

base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=

name: restapiuser

expiresSecond: 172800

配置信息的实体类,以便获取jwt的配置:

@Data

@ConfigurationProperties(prefix = "audience")

@Component

public class Audience {

private String clientId;

private String base64Secret;

private String name;

private int expiresSecond;

}

JWT验证主要是通过拦截器验证,所以我们需要添加一个拦截器来验证请求头中是否含有后台颁发的token,这里请求头的格式:这里bearer;后面就是服务器颁发的token

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值