认识并使用JWT

已于 2024-01-17 23:45:40 修改
阅读量872 收藏 24
点赞数 23
分类专栏: java后端技术栈 文章标签: java jwt
于 2024-01-16 23:28:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37477009/article/details/135613102
版权

认识并使用JWT

一、互联网世界的用户认证

  • 以调用openai的api为例:
curl https://api.openai.com/v1/chat/completions   -H "Content-Type: application/json"   -H "Authorization: Bearer $OPENAI_API_KEY"   -d '{
    "model": "gpt-3.5-turbo",
    "messages": [
      {
        "role": "system",
        "content": "You are a poetic assistant, skilled in explaining complex programming concepts with creative flair."
      },
      {
        "role": "user",
        "content": "Compose a poem that explains the concept of recursion in programming."
      }
    ]
  }'
  • Authorization: Bearer $OPENAI_API_KEY,其中$OPENAI_API_KEY便是用于用户认证的token。
  • 那用户怎么获取这个token呢?
    一般,咱先通过用户名和密码登录网站,然后网站分配一个token。
  • 在Java中,有JWT技术来实现这种需求。

二、对JWT的基本认知

  • JWT:JSON Web Token

我理解:将json格式的数据转换为在Web中用于用户认证的token。

  • JWT是一种基于Token的用户认证技术。
  • 思路:当用户登录时,服务器会创建一个包含用户信息的JWT,并将其发送回用户。然后,用户可以使用该Token来进行后续的授权请求。在每次请求中,服务器都会验证JWT来确认用户的身份,然后才会处理请求。

三、JWT的原理

  • JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
    在这里插入图片描述

1 Header

  • Header 部分原本是一个 JSON 对象,用于描述 JWT 的元数据,如下所示:
{
  "alg": "HS256",
  "typ": "JWT"
}

(1)alg属性表示签名的算法,默认是 HMAC SHA256(写成 HS256);
(2)typ属性表示这个令牌(token)的类型,JWT统一写为"JWT"。

2 Payload

  • Payload 部分原本也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

(1) iss (issuer):签发人。这个字段用来指明这个JWT是由谁签发的。例如,你可能会在这个字段中包含你的公司或你的应用程序的名称。
(2)exp (expiration time):这个字段是一个时间戳,表示这个JWT何时过期。经过这个时间点后,JWT将无法被接受。
(3)sub (subject):主题。这个字段是JWT的主题,通常是用户的ID。它可以用来确定JWT是关于谁的。
(4)aud (audience):受众。这个字段用来指明这个JWT是给谁的。例如,这可能是一个特定的用户,或者一个包含多个用户的组。
(5)nbf (Not Before):生效时间。这个字段是一个时间戳,表示这个JWT何时开始有效。即使在这个时间点之前JWT被发送,它也不会被接受。
(6)iat (Issued At):签发时间。这个字段是一个时间戳,表示这个JWT何时被签发的。在某些情况下,你可能会想要检查这个时间,以确保JWT没有在很早以前就被签发。
(7)jti (JWT ID):编号。这个字段是JWT的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。每个JWT都有一个唯一的ID,这样就可以跟踪每个特定的JWT,以及它是何时和由谁使用的。

除了官方字段,咱还可以在这个部分定义私有字段,如下所示:

{
  "name": "Forrest",
  "admin": true
}

注意:不要把秘密信息放在这个JSON对象中,因为通常这个JSON对象被转换为字符串后,默认是不加密的,这就会被别人解析回JSON对象,里面的信息就暴露了。

3 Signature

  • Signature 部分是对前两部分的签名,防止数据篡改。
  • 首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
  • 算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

4 参考资料

四、使用JWT

1、引入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
  • 还必须引入:
<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-core</artifactId>
    <version>2.11.3</version>
</dependency>
<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.11.3</version>
</dependency>

否则,会报错:
java.lang.NoClassDefFoundError: com/fasterxml/jackson/core/util/JacksonFeature
at com.fasterxml.jackson.databind.ObjectMapper.<init>(ObjectMapper.java:656)
at com.fasterxml.jackson.databind.ObjectMapper.<init>(ObjectMapper.java:558)

2、jwt的生成与解析

public class JwtUtils {
    private static final String secret = "IntelliJ IDEA";
    // 7天有效期
    public static final long EXPIRE_TIME = 1000 * 60 * 60 * 24 * 7;

    /**
     * 生成jwt
     */
    public static String encode(Map<String, Object> headerMap, Map<String, Object> playloadMap)  {
        return Jwts.builder()
                .setHeader(headerMap)
                .setClaims(playloadMap)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }

    /**
     * 解析jwt
     */
    public static Map<String, Object> decode(String jwt) {
        return Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(jwt)
                .getBody();
    }
}

3、测试

3.1 生成jwt

@Test
public void testEncode() {
    Map<String, Object> headerMap = new HashMap<>();
    headerMap.put("type", "JWT");
    headerMap.put("alg", "HS256");

    Map<String, Object> playloadMap = new HashMap<>();
    playloadMap.put("username", "Forrest");
    playloadMap.put("exp", System.currentTimeMillis() + JwtUtils.EXPIRE_TIME);
    playloadMap.put("jti", UUID.randomUUID().toString());

    for (Map.Entry<String, Object> entry : playloadMap.entrySet()) {
        System.out.println("Key = " + entry.getKey() + ", Value = " + entry.getValue());
    }

    String jwt = JwtUtils.encode(headerMap, playloadMap);
    System.out.println(jwt);
}

Key = exp, Value = 1706023265921
Key = jti, Value = c212fde2-abf4-4149-9c48-c55c1a029e79
Key = username, Value = Forrest
eyJ0eXBlIjoiSldUIiwiYWxnIjoiSFMyNTYifQ.eyJleHAiOjE3MDYwMjMyNjU5MjEsImp0aSI6ImMyMTJmZGUyLWFiZjQtNDE0OS05YzQ4LWM1NWMxYTAyOWU3OSIsInVzZXJuYW1lIjoiRm9ycmVzdCJ9.t-rnO5CgC5DuNShsWIHxu_HKAgIU75tDQnlDcIBCmm0

3.2 解析jwt

@Test
public void testDecode() {
    String jwt = "eyJ0eXBlIjoiSldUIiwiYWxnIjoiSFMyNTYifQ.eyJleHAiOjE3MDYwMjI3MzM2MTUsImp0aSI6ImFkMTRiZDEyLWNlN2EtNDBjNi1iYTJkLWU0MDllMTY4ZjIwYyIsInVzZXJuYW1lIjoiRm9ycmVzdCJ9.NuNW5PckkwWpFRobreKjrU6pDdosHnc3J2KhwxFW4xU";
    Map<String, Object> map = JwtUtils.decode(jwt);
    for (Map.Entry<String, Object> entry : map.entrySet()) {
        System.out.println("Key = " + entry.getKey() + ", Value = " + entry.getValue());
    }
}

Key = exp, Value = 1706023265921
Key = jti, Value = c212fde2-abf4-4149-9c48-c55c1a029e79
Key = username, Value = Forrest

南七行者
关注
  • 23
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT基本知识和使用
tianyouououou的博客
08-12 841
什么是JWT Json web token。一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。 为什么用JWT session认证信息要记录在服务端。通常保存在内存,用户增多开销增大。分布式情况下影响负载均衡和应用扩展。 基于token的认证机制类似http协议是无状态的。不需要再服务端保留用户的认证信息。所以应用不需要考虑用户在那一台服务器登录,有利于应用扩展。 简要流程 用户使用用户名密码请求服务器 服务器验证用户信息,通过验证发送给用户一个token 客户端存储
jwt
02-18
JWT研究 介绍 SpringBoot集成JWT实现令牌鉴权 教学视频地址: ://www.bilibili.com/video/av75572951?p 108 SpringBoot集成JWT实现令牌鉴权 完整项目地址: : pom依赖 首先当然是约会pom依赖 < dependency> < groupId> io.jsonwebtoken < / groupId > < artifactId> jjwt < / artifactId > < version> 0.9.0 < / version > < / dependency > 一个简单的小例子 创建令牌 通过使用Jwts.builder() 在令牌添加一些简单的用户信息 选择一个加密算法 就可以创造出一个令牌 解析令牌 通过J
Java:基于SpringBoot,引入jjwt依赖并尝试对信息加密并生成token和解析,或从token中存入\获取信息;一看就懂,小白也会加密信息了!
最新发布
m0_70630103的博客
06-18 603
Java:基于SpringBoot,引入jjwt依赖并尝试对信息加密并生成token和解析,或从token中存入\获取信息;一看就懂,小白也会加密信息了!
SpringBoot引入JWT
weixin_45131680的博客
01-13 612
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。
jwt依赖
zhangaiav的博客
06-27 468
jwt依赖
JWT依赖
Pan_Yang___的博客
09-04 3605
JWT所需的maven依赖(1.8及以上)
springboot引入整合JWT令牌
qq_39564710的博客
02-05 660
1、JWT的组成 JWT头: JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。 { "alg": "HS256", "typ": "JWT" } 在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。 有效载荷 有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指...
js代码-JWT(json-web-token)-认识与学习
07-16
- 使用短期JWT并配合刷新令牌(Refresh Token)策略,当JWT过期时,用户可以通过刷新令牌获取新的JWT,而无需重新登录。 - 保持签名密钥的安全,不要暴露在客户端代码中。 5. 应用场景: - 单页应用(SPA)的...
jwt广告法则.ppt
12-25
总结起来,JWT广告法则是关于如何制定具有可预测效果、精准定位、富于创意并能有效刺激消费者反应的广告策略的指南。这些原则不仅适用于广告行业的专业人士,也是任何希望提升品牌影响力和市场效果的企业或个人应当...
jwt培训.doc
12-25
1. **智威汤逊法则**:JWT的策划理念,强调通过深入理解市场、品牌和消费者,制定策略并创造有影响力的广告。这一法则涵盖了收集信息、分析市场、设定目标、策略制定和创意执行等多个环节。 2. **策划活动与信息...
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
通过这个项目,初学者不仅能掌握SpringBoot的基础应用,还能深入理解SpringSecurity的权限控制机制,同时对JWT的原理和使用有了直观的认识。实践过程中,还需要了解数据库操作、HTTP协议、JSON格式等相关知识,对...
JWT所需的jar包
10-18
JWT所需的jar包
jwt所需jar包
02-05
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 749
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT(2):JWT入门使用
不积跬步,无以至千里
09-19 1111
JWT如何生成token?token如何验签?springboot中如何使用JWT
JwtUtiles 生成token工具类
hwt1070359898的博客
11-15 800
package com.sense.fircloud.common.util; import com.sense.fircloud.common.exception.BusinessException; import com.sense.fircloud.common.result.RespCode; import io.jsonwebtoken.*; import org.springframework.util.StringUtils; import javax.crypto.spec.Secre.
JWT快速入门及所需依赖
hhhhhh的博客
12-16 5260
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
单点登录和jwt的引入和操作
weixin_45031570的博客
05-19 567
单点登录和jwt的引入和操作
JWT基础
qq_55137734的博客
08-24 1436
JWT基础
java 使用jwt
09-03
Java使用JWT,你可以通过使用不同的开发语言实现JWT标准。Java中推荐使用JWT实现库是java-jwt。你可以使用Maven导入java-jwt库,并使用相应的代码生成加密的Token。例如,可以使用JWT.create()函数设置过期时间和接收方信息,并使用Algorithm.HMAC256()函数将其加密。为了解密Token并验证其有效性,可以使用JWT.decode(token)函数获取负载信息,并使用JWTVerifier.verify(token)函数进行验证。可以在java-jwt官网上找到更多关于该库的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [JWT介绍以及java-jwt使用](https://blog.csdn.net/oscar999/article/details/102728303)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值