使用JWT身份认证

已于 2022-10-25 23:12:36 修改
阅读量321 收藏
点赞数
分类专栏: Java 文章标签: java
于 2022-10-25 23:09:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38335432/article/details/127524010
版权

一、简介

JWT (Json Web Token)是一种基于JSON的开放标准。JWT本身没有定义任何技术实现,它只是定义了一种基于Token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,广泛用于用户认证方面。

二、构成与特点

  1. 构成
    一个完整JWT token 如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxMjM0NSIsImlhdCI6MTY2NjYzNzYzM30._wyhiKoiOOmhz_2UaSskkepHx0wlIm3ug8HjJzp2J08

由 . 分割的三部分组成,依次分别是头部(Header)、负载(Payload)、签名(Signature),都分别经过Base64编码组成
在这里插入图片描述

  • Header
    Header是一个json,它存储了所使用的加密算法和Token类型

  • Payload
    Payload也是一个json,有7个官方字段可选用,也可自定义字段,但要注意不能放隐私信息,因为这里是经过Base64编码的,别人可以通过解码读取到

    • iss (issuer) : 签发人
    • exp (expiration time) : 过期时间
    • sub (subject) : 主题
    • aud (audience) : 受众
    • nbf (Not Before) : 生效时间
    • iat (Issued At) : 签发时间
    • jti (JWT ID) : 编号

  • Signature
    这部分是对前面两部分的签名,签名公式

base64url(
    HMACSHA256(
      base64UrlEncode(header) + "." + base64UrlEncode(payload),
      your-256-bit-secret (秘钥加盐)
    )
)
  1. 特点

  • 安全性
    JWT的payload使用Base64进行编码,所以是jwt中不能存储敏感数据,也不建议使用http协议传输,而是采用加密的https传输

  • 无状态
    JWT是无状态的,生成的token无法修改,想要修改只能重新签发新token

  • 无法废弃
    签发的token在到期之前都是一直有效的,无法中途废弃,可以考虑结合redis实现废弃token功能

  • 性能
    JWT性能开销比传统大,因为编码后的JWT比较长,通常JWT存放在header里,请求时有可能出现header比body还大,而如果是传统token就是很短的一个字符串

JWT旨在验证时不用和数据库交互,但实际很多人都结合redis使用,以补齐token废弃、续签等短板,而JWT就成了一个token操作工具,说白了怎么方便怎么来。常见应用选型,例如管理后台这些使用传统token,而像有需要兼备ios android h5多端验证时,使用jwt明显会方便很多,还不用考虑跨域问题。

三、认证流程

在这里插入图片描述

四、实战

  1. 依赖
<dependency>
   <groupId>com.auth0</groupId>
   <artifactId>java-jwt</artifactId>
   <version>4.1.0</version>
</dependency>
  1. Token类
@Service
public class TokenService {
    @Value("{jwt.secret}")
    private String secret;
    @Autowired
    private StringRedisTemplate redisTemplate;
    /**
     * 生成Token
     * @param userId
     * @return
     */
    public String buildToken(String userId) {
        if (StringUtils.isEmpty(userId)) {
            throw new LoginException(StateCode.USER_NOT_FOUND);
        }
        String key = RedisEnum.TOKEN_VERSION.buildKey(userId);
        Long value = redisTemplate.opsForValue().increment(key);
        redisTemplate.expire(key, RedisEnum.TOKEN_VERSION.getExpiredTime(), TimeUnit.SECONDS);
        Date now = new Date();
        return JWT.create()
                .withAudience(userId)
                .withJWTId(String.valueOf(value))
                .withIssuedAt(now)
//                .withExpiresAt()
                .sign(Algorithm.HMAC256(userId + secret));
    }
    /**
     * 校验Token
     * @param token
     * @return
     */
    public String verifyToken(String token) {
        DecodedJWT decoded = JWT.decode(token);
        String userId = decoded.getAudience().get(0);
        String tokenVersion = decoded.getClaim("jti").asString();
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(userId + secret)).build();
        verifier.verify(token);
        // 从redis校验token version
        String key = RedisEnum.TOKEN_VERSION.buildKey(userId);
        String value = redisTemplate.opsForValue().get(key);
        // 登录已过期
        if (StringUtils.isEmpty(value) || !tokenVersion.equals(value)) {
            throw new LoginException(StateCode.TOKEN_INVALID);
        }
        return userId;
    }
    /**
     * 清除token
     * @param userId
     */
    public void clearToken(String userId) {
        String key = RedisEnum.TOKEN_VERSION.buildKey(userId);
        redisTemplate.opsForValue().increment(key);
        redisTemplate.expire(key, RedisEnum.TOKEN_VERSION.getExpiredTime(), TimeUnit.SECONDS);
    }
}
  1. 拦截器
/**
 * 拦截器
 */
public class AuthenticationInterceptor implements HandlerInterceptor {
    @Autowired
    private TokenService tokenService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        //检查是否有PassToken注释,有则跳过认证
        Annotation[] annotations = method.getAnnotations();
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                if (!StringUtils.isEmpty(token)) {
                    try {
                        String userId = JWT.decode(token).getAudience().get(0);
                        request.setAttribute(UserConstant.USER_ID, userId);
                    } catch (JWTDecodeException j) {
                        //允许无token
                    }
                }
                return true;
            }
        }
        if (StringUtils.isEmpty(token)) {
            throw new LoginException(StateCode.LOGIN_NOT_TOKEN);
        }
        try {
            //校验token
            String userId = tokenService.verifyToken(token);
            // 校验黑名单...
            request.setAttribute(UserConstant.USER_ID, userId);
        } catch (JWTDecodeException d) {
            throw new LoginException(StateCode.LOGIN_PARAM_ERROR);
        } catch (JWTVerificationException v) {
            throw new LoginException(StateCode.TOKEN_INVALID);
        }
        return true;
    }
}
  1. 拦截器配置类
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticateInterceptor())
                .excludePathPatterns("/user/accountLogin")
                .addPathPatterns("/**");
    }
    @Bean
    public AuthenticationInterceptor authenticateInterceptor() {
        return new AuthenticationInterceptor();
    }
}
  1. PassToken注解
/**
 *注解绕过token认证
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}
  1. 登录业务
/**
 * 账号登录
 * @param apiRequest
 * @return
 */
@PostMapping("/accountLogin")
public ApiResponse<String> accountLogin(@RequestBody ApiRequest<AccountLoginReq> apiRequest) {
    AccountLoginReq data = apiRequest.getData();
    UserDTO userDTO = userService.getUserByName(data.getUserName());
    //用户登录验证...
    //验证通过生成token
    String userId = "zyz";//临时写死
    String token = tokenService.buildToken(userId);
    return ApiResponse.ok(token);
}
  1. 登出业务
/**
 * 退出登录
 * @param apiRequest
 * @return
 */
@PostMapping("/logout")
public ApiResponse<String> logout(@RequestBody ApiRequest<Void> apiRequest, HttpServletRequest request) {
    String userId = (String) request.getAttribute(UserConstant.USER_ID);
    tokenService.clearToken(userId);
    return ApiResponse.ok("登出成功!");
}

Github项目地址:https://github.com/zyz1130083243/JwtDemo.git

雪落在夏天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3475
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
JWT身份认证使用方式
qq_58946786的博客
09-19 1047
JWT概述说明,组成部分,安装导入相关包,定义secret秘钥,获取用户信息,捕获解析JWT失败后产生的错误
原来这就叫JWT
mi_man_chi_you的博客
01-05 332
JWT其实也就这么回事儿……
SpringBoot集成JWT实现token验证
qq_41828543的博客
01-22 2036
原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的...
基于JWT实现用户身份认证
子悠のziyou
02-25 1369
JWT(JSON WEB TOKEN) 是目前最流行的跨域认证解决方案,是一种基于Token认证授权机制,JWT自身包含了身份验证所需要的所有信息,因此我们服务端不需要存储Session信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端压力。
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
使用JJWT做token验证
xycgyyx的博客
12-10 713
什么是JJWT? JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。 什么是JSON Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息...
SpringBoot 使用jwt进行身份验证的方法示例
08-26
本文主要介绍了使用SpringBoot框架实现jwt身份验证的方法示例。jwt(JSON Web Token)是一种轻量级的身份验证机制,可以用于验证用户身份和授权。 首先,需要在application.properties配置文件中添加jwt的配置信息...
使用jwt进行身份验证demo
12-17
获取token的地址:...验证可以使用postman访问:https://localhost:44309/Paging/AuthDemo 如果请求头没有auth或值不正确,将返回错误页面,如果正确则返回ok
ocelot网关+jwt身份认证
06-09
在构建分布式系统时,"ocelot网关+jwt身份认证"是一个常见的组合,用于实现高效、安全的服务间通信。Ocelot是一个流行的开源API网关,而JWT(JSON Web Token)则是广泛采用的身份验证机制。本文将深入探讨这两个概念...
.netMvc JWT身份验证
11-04
总的来说,JWT身份验证在.NET MVC中提供了安全的身份验证和授权机制,它通过生成和验证JSON Web Tokens,使得用户信息可以在多个微服务之间传递,而无需在每个请求中重新验证用户。使用NuGet包管理器安装JWT库,并...
SpringAuth:使用JWT身份验证进行Spring授权的示例项目
03-07
SpringAuth项目是一个基于Java开发的示例应用,它展示了如何在Spring框架中集成JWT(JSON Web Token)进行用户身份验证和授权。JWT是一种轻量级的身份验证机制,它允许服务端在客户端之间安全地传递信息,而无需在...
Cookie、Session、Token详解及基于JWT的Token实现的用户登陆身份认证
FLJS_T的博客
03-20 1192
Cookie就是一些数据,用于存储服务器返回给客服端的信息,客户端进行保存。在下一次访问该网站时,客户端会将保存的cookie一同发给服务器,服务器再利用cookie进行一些操作。Cookie只支持浏览器,不支持app端。Session在网络应用中称为“会话控制”,是服务器为了保存用户状态而创建的一个特殊的对象。简而言之,session就是一个对象,用于存储信息。Token是“令牌”的意思。
JWT身份验证
wangliwei1991的博客
10-21 113
2 荷载(Payload)是一个JSON对象,包含了用户的声明信息,可以自定义声明,例如用户的身份信息、权限等。3 签名(Signature)使用头部和荷载中的数据,并结合一个秘钥,通过指定的签名算法进行计算。1 头部(Header)是一个JSON对象,描述了令牌的类型(即‘typ’字段,通常为JWT)和所拥护的签名算法(‘alg’字段)它通过使用数字签名或者加密算法,将用户的声明信息以JSON格式封装在令牌中,可实现数据的安全传输和验证。3 客户端在后续的请求中,将JWT添加到请求的头部或者请求参数中。
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)
m0_46275020的博客
06-01 1490
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060114555531.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2Mjc1MDIw,size_16,color_FFFFFF,t_70#p
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 2621
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web Token(JWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
身份验证——JWT
小六的代码修炼之路
01-04 559
JSON Web token 简称 JWT, 是用于对应用程序上的用户进行身份验证的标记。也 就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他 session 数 据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且 必须在本地保存 (通常在本地存储中)。 每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求 一起发送 JWT, 通常在授权
如何使用JWT进行身份验证与授权
dotNET跨平台
05-05 2163
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
Java内存模型
最新发布
weixin_44267758的博客
07-19 337
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
怎么使用JWT实现身份认证和授权
04-25
使用JWT实现身份认证和授权可以分为以下几步: 1. 用户登录时,输入用户名和密码并发送给服务器。 2. 服务器验证用户信息,如果验证通过,则生成一个JWT,并将其发送回客户端。 3. 客户端接收到JWT之后,将其存储在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值