jwt判断token是否过期_一文讲解JWT用户认证全流程

最新推荐文章于 2024-03-23 11:01:26 发布
VIP文章 最新推荐文章于 2024-03-23 11:01:26 发布
阅读量4.5k 收藏 6
点赞数 3
文章标签: jwt判断token是否过期 jwt如何防止token被窃取 jwt获取token

eb389a3cbd7cfe4650738457781459ba.png

一、什么是JWT(what)

  • JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。
  • JWT是一个数字签名,生成的信息是可以验证并被信任的。
  • 使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对JWT进行签名。
  • JWT是目前最流行的跨域认证解决方案

1.1 JWT令牌结构

SON Web令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:

  • Header
  • Payload
  • Signature

即为: xxxx.yyyy.zzzz

1.1.1 Header

Header通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法(例如HMAC SHA256或RSA)。 例如:

{
    "alg": "HS256",
    "typ": "JWT"
}

Header会被Base64Url编码为JWT的第一部分。即为:

$ echo  -n '{"alg":"HS256","typ":"JWT"}'|base64
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

1.1.2 Payload

Payload是有关实体(通常是用户)和其他数据的声明,它包含三部分:

(1)注册声明

这些是一组预定义的权利要求,不是强制性的,而是建议使用的,以提供一组有用的可互操作的权利要求。其中一些是: iss(JWT的签发者), exp(expires,到期时间), sub(主题), aud(JWT接收者),iat(issued at,签发时间)等。

注意:声明名称都是三个字符

(2)公开声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密。

(3)私有声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

例子:

{ "iat": 1593955943, 
  "exp": 1593955973, 
  "uid": 10, 
  "username": "test", 
  "scopes": [ "admin", "user" ] 
}

Payload会被Base64Url编码为JWT的第二部分。即为:

$ echo -n '{"iat":1593955943,"exp":1593955973,"uid":10,"username":"test","scopes":["admin","user"]}'|base64
eyJ1c2VybmFtZ
最低0.47元/天 解锁文章
weixin_39600319
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt-handbook.zip_JSON_JWT Handbook_jwt handbook_jwt hankbook_jw
09-23
JSON Web Token的一个优秀实现标准的参考手册
前端刷新token判断token是否过期jwt鉴权)
qq_45641978的博客
10-17 2501
4.1 什么是 JWTJWT 是 Auth0 提出的通过 对 JSON 进行加密签名来实现授权验证的方案;就是登录成功后将相关用户信息组成 JSON 对象,然后对这个对象进行某种方式的加密,返回给客户端;客户端在下次请求时带上这个 Token;服务端再收到请求时校验 token 合法性,其实也就是在校验请求的合法性。4.2 JWT 的组成JWT 由三部分组成: Header 头部、 Payload 负载 和 Signature 签名。
如何实现JWT Token的自动续期
最新发布
m0_54187478的博客
03-23 653
访问令牌通常有较短的有效期,而刷新令牌有较长的有效期。当访问令牌接近过期时,可以使用刷新令牌来获取一个新的访问令牌,而不需要用户重新登录。
JWT_TOKEN_Application_DOTNET
03-27
JWT_TOKEN_Application_DOTNET
jwt_token_test.zip
05-21
java使用jwt实现移动端api接口token认证。使用场景:app调用后台api接口用户验证。---------
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安登录处理流程 详细说明转到博客文章 JWT异常处理 安异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安性。 相反,如果将AccessToken的有效时间设置为较短时间,则安性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
JWT主动校验Token是否过期
詹Sir的博客
08-04 5000
JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案
js如何获取jwt信息_前后端分离:基于JWT用户认证分析
weixin_39607798的博客
11-21 860
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:lion1ouhttps://lion1ou.win/2017/01/18/在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所...
搞懂 JWT 这个知识点
程序员成长指北
09-22 632
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
jwt判断token是否过期_警钟 | 还不会Spring Boot集成JWT,你可能错过了大厂的Office了...
weixin_39587822的博客
11-26 1391
概述(什么是JWT)JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该标准定义了一种简单的,自包含的,用于通信双方以JSON对象的形式安的传递信息。请求流程流程如下用户使用账号和面发出 post 请求;服务器使用私钥创建一个 jwt;服务器返回这个 jwt 给浏览器;浏览器将该 jwt 串在请求头中像服务器发送请求;服务器验证该 jwt;返回响应的资源给浏览器。...
jwt判断token是否过期_SpringBootSecurity学习(13)前后端分离版之JWT
weixin_39608063的博客
11-26 1406
JWT 使用前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。一种解决方...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
腾讯IMWeb团队是如何使用 NodeJS 实现 JWT 原理
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
11-20 327
关注前端瓶子君,回复“交流”加入我们一起学习,天天进步来源:腾讯IMWeb团队https://juejin.cn/post/6873700061000237069jwt是json w...
Token实现登录、token过期解决以及数据解析
qq_38935605的博客
10-21 7478
token我们可以理解为一个令牌,主要的作用是守护我们系统的安,像我们登录这些都是可以使用token进行用户数据校验的,那么为什么不用传统的session呢?可能很多人直接使用上面的代码进行登录接口实现了,那么同志们有想过一个问题吗?上面设置了token过期时间的,当用户正在使用我们软件的时候,突然token过期了直接报了个401,这个时候用户肯定是一脸懵逼了,有很多软件都会出现这个问题,就是因为偷懒了,我们不经常发现是因为他们的token设置的过期时间较长而已。--导入下面依赖吧-->
springboot 获取登录浏览器_手把手教你,使用JWT实现单点登录
weixin_39717598的博客
10-26 940
JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱!一、故事起源说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。传统session交互流程,如下图:当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。当浏览器再次发送...
身份认证2_解析jwt令牌and检测令牌是否过期
grow_的博客
04-26 948
解析jwt令牌 当服务端生成 token 后发给客户端,客户端在下次向服务端发送请求时需要携带这个token (这就好像是拿着一张门票一 样),那服务端接到这个token 应该解析出token中的信息(例如用户名), 根据这些信息 查询数据库返回相应的结果。 在 测试类添加一个方法 parserJwt 来解析jwt令牌中信息 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebto...
jwt判断token是否过期_jwt 实践应用以及特殊案例思考
weixin_39929253的博客
11-29 2250
JSON Web Token 是 rfc7519[1] 出的一份标准,使用 JSON 来传递数据,用于判定用户是否登录状态。jwt 之前,使用 session 来做用户认证。以下代码均使用 javascript 编写。session 传统判断是否登录的方式是使用 session + tokentoken 是指在客户端使用 token 作为用户状态凭证,浏览器一般存储在 localSto...
jwt判断token是否过期_SpringSecurity代码实现JWT接口权限授予与校验
weixin_39907658的博客
11-21 2336
通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。一、环境准备工作建立Spring Boot项目并集成了Spring Security,项目可以正常启动 通过controller写一个HTTP的GET方法服务接口,比如:“/hello” 实现最基本的动态数据验证及权限分配,即实现...
springboot jwt token前后端分离_前后端分离之JWT用户认证
06-09
好的,关于 Spring Boot JWT Token 的前后端分离问题,我可以为您提供一些帮助。 JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安传输声明。在前后端分离的应用中,通常会使用 JWT 来实现用户认证和授权。 下面是一个简单的示例,演示了如何在 Spring Boot 应用中使用 JWT 和前后端分离的方式进行用户认证。 首先,您需要在后端应用中添加 JWT 相关的依赖。可以使用以下 Maven 依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 接下来,您需要编写一个 JWT 工具类,用于生成和验证 JWT。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import javax.crypto.SecretKey; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; private static final String CLAIM_KEY_USERNAME = "sub"; private static final String CLAIM_KEY_CREATED = "iat"; private SecretKey generateKey() { return Keys.hmacShaKeyFor(secret.getBytes()); } public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put(CLAIM_KEY_USERNAME, username); claims.put(CLAIM_KEY_CREATED, new Date()); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000)) .signWith(generateKey(), SignatureAlgorithm.HS512) .compact(); } public Claims getClaimsFromToken(String token) { return Jwts.parserBuilder() .setSigningKey(generateKey()) .build() .parseClaimsJws(token) .getBody(); } public boolean isTokenExpired(String token) { Claims claims = getClaimsFromToken(token); Date expiration = claims.getExpiration(); return expiration.before(new Date()); } public boolean validateToken(String token, String username) { Claims claims = getClaimsFromToken(token); String subject = claims.getSubject(); Date expiration = claims.getExpiration(); return subject.equals(username) && !expiration.before(new Date()); } } ``` 在这个工具类中,我们使用了 io.jsonwebtoken 库来实现 JWT 的生成和验证。在生成 JWT 时,我们使用了一个密钥(secret)来签名 JWT。在验证 JWT 时,我们还检查了 JWT 中保存的用户名和过期时间是否正确。 接下来,您需要在 Spring Boot 应用中添加一个 JWT 认证过滤器,用于在请求到达后端之前验证 JWT。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String header = request.getHeader("Authorization"); if (header != null && header.startsWith("Bearer ")) { String token = header.substring(7); String username = jwtUtils.getClaimsFromToken(token).getSubject(); if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtUtils.validateToken(token, username)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(authentication); } } } chain.doFilter(request, response); } } ``` 在这个过滤器中,我们从请求头中获取 JWT,然后使用之前编写的 JwtUtils 工具类来验证 JWT。如果 JWT 验证成功,则将用户信息添加到 Spring Security 的认证上下文中。 最后,在 Spring Boot 应用中添加一个登录接口,用于生成 JWT。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.http.ResponseEntity; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.AuthenticationException; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.web.bind.annotation.*; import java.util.HashMap; import java.util.Map; @RestController @RequestMapping("/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) throws AuthenticationException { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); String token = jwtUtils.generateToken(userDetails.getUsername()); Map<String, Object> response = new HashMap<>(); response.put("token", token); return ResponseEntity.ok(response); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在这个登录接口中,我们首先使用 Spring Security 的 AuthenticationManager 来验证用户信息。如果验证成功,则使用 JwtUtils 工具类生成 JWT,并将 JWT 返回给前端应用。 以上就是一个简单的 Spring Boot JWT Token 的前后端分离示例。希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值