jwt如何加盐_JWT(JSON WEB TOKENS)的使用,无状态token机制

最新推荐文章于 2023-12-12 12:05:34 发布
最新推荐文章于 2023-12-12 12:05:34 发布
阅读量952 收藏 2
点赞数 1
文章标签: jwt如何加盐
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39616855/article/details/113393449
版权
JWT(JSON Web Tokens)是一种无状态的身份验证机制,常用于实现单点登录。然而,JWT存在token泄露和无法续签的问题。JWT由header、payload和signature三部分组成,其中payload可包含用户信息。签名部分通过header和payload进行加密,确保安全性。文章还提供了一个简单的JWT生成和验证的Java代码示例。
摘要由CSDN通过智能技术生成

2ff34e647e2e3cdfd8dca593e17d9b0a.png

本文结束啦感谢您的阅读

JWT的优点

由于JWT本身是无状态的,仅仅是存储登录授权的信息,可以实现单点登录的功能,因为在多个系统中只要在实现jwt token的时候用同一个密钥进行加密,则可以实现跨平台而登陆。

JWT的缺点

==token泄露问题==:由于只要拿到token就可以在不同机器上进行登录,因此只要token泄露出去后用户可以通过登录后改变密码进行窃取。

==token续签问题==:jwt虽然内置了token过期的功能,但是并没有提供token续签的问题,如果用户在进行重要信息的存储时,刚好token过期了,则导致用户需要重新登录,因此容易造成重要信息丢失,影响客户体验。该项可以通过设计各种策略刷新token过期时间,而session这方面就比jwt好很多,session会自动刷新过期时间,例如是30min过期,但用户在30min内登录session后重新计算过期时间。

JWT token构成

一个token包含三个部分(Header,Payload,Signature)

header 头部

标头通常由两部分组成:令牌的类型,即JWT,以及哈希算法,如HMAC SHA256或RSA。1

2

3

4{

"alg": "HS256",

"typ": "JWT"

}

HS256 表示使用了 HMAC-SHA256 来生成签名。接下来对这部分内容使用 Base64Url编码组成了JWT结构的第一部分。

Payload 载荷

payload包含三种类型的claim:reserved, public 和 private1

2

3

4

5{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

Reserved claims: 这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,常用的有1

2

3

4

5

6

7iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

Public claims:根据需要定义自己的字段,注意应该避免冲突

Private claims:这些是自定义的字段,可以用来在双方之间交换信息

上述的负载需要经过Base64Url编码后作为JWT结构的第二部分。

Signature 签名

jwt的第三部分是一个签证信息,这个签证信息算法如下:

base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret1

2

3

4HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

JWT简单案例

引入依赖包1

2

3

4

5

com.auth0

java-jwt

3.4.0

案例代码1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135package jwt;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.exceptions.TokenExpiredException;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import java.io.IOException;

import java.io.InputStream;

import java.util.*;

* JwtTokenUtil

*

* Description

*

* Creation Time: 2018910 0010 12:03.

*

* @author virvil

* @since jwtdemo 0.0.1

*/

public class{

* The constant logger.

*/

private static Logger logger = LoggerFactory.getLogger(JwtTokenUtil.class);

* The constant properties.

*/

private static Properties properties = new Properties();

* The constant signkey.

*/

private static String signkey = null;

* The constant algorithm.

*/

private static Algorithm algorithm = null;

/*

加载配置文件内容

*/

static {

InputStream inputStream = JwtTokenUtil.class.getClassLoader().getResourceAsStream("jwt.properties");

try {

properties.load(inputStream);

String signkey = properties.getProperty("signkey");

algorithm = Algorithm.HMAC256(signkey);

} catch (IOException e) {

logger.error("读取配置文件异常",e);

}

}

* Get token string.

*生成token

* @param username the username

* @return the string

*/

public static String getToken(String username){

Calendar calendar = Calendar.getInstance();

//签发时间

Date issueDate = calendar.getTime();

//过期时间

long expires = issueDate.getTime()+Integer.parseInt(properties.getProperty("timeout"));

Date expiresDate = new Date(expires);

//header

Map header = new HashMap<>();

header.put("alg","HS256");

header.put("typ","JWT");

String token = JWT.create()

.withHeader(header) //设置header头信息

.withClaim("iss","auth0") //设置payload

.withClaim("username",username)

.withIssuedAt(issueDate)

.withExpiresAt(expiresDate)

.sign(algorithm);

return token;

}

* Verify token map.

*对token进行解密

* @param token the token

* @return the map

*/

public static Map verifyToken(String token){

JWTVerifier jwtVerifier = JWT.require(algorithm).build();

DecodedJWT verify = null;

try {

verify = jwtVerifier.verify(token);

return verify.getClaims();

}catch (TokenExpiredException ex){

logger.error("token已经过期",ex);

}catch (Exception e){

logger.error("登录异常",e);

}

return null;

}

* The entry point of application.

*

* @param args the input arguments

*/

public static void main(String[] args){

String username = "virvil";

String token = getToken(username);

//验证token是否正确

Map claims = verifyToken(token);

if (claims!=null){

Claim usernameClaim = claims.get("username");

//此处获得的信息可以到数据库中进行查询,验证是否存在该用户信息,这里我只是简单测试,莫怪

System.out.println(username.equals(usernameClaim.asString())?"token验证成功":"token验证失败");

}

//用一个过期的token来验证结果

String token2 = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9" +

".eyJpc3MiOiJhdXRoMCIsImV4cCI6MTUzNjU2MTUzNSwiaWF0IjoxNTM2NTYxNTM0LCJ1c2VybmFtZSI6InZpcnZpbCJ9" +

".JNNCERaaApOaoNYV45liZTJ-mF7UIRLNz-EY5tAPC4Q";

verifyToken(token2);

}

}

weixin_39616855
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt如何加盐_JWT 基础教程
weixin_33906021的博客
01-17 1614
一、前言针对前后端分离的项目,大多是通过 token 进行身份认证来进行交互,今天将介绍一种简单的创建 token 的方式 -- JWT。二、基本介绍2.1 定义JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。2.2 组成部分一个 JWT 实际上就是一个字符串,它由三部分组成,头部、载荷与签名。前两部分需要经过 Bas...
jwt如何加盐_有了阿里技术官的加持,我终于做到一问说清微服务JWT鉴权了!
weixin_39661345的博客
12-03 396
导引要说JWT,哪首先要说一说鉴权这件事情,鉴权在单体架构的服务中很好实现,但是到了微服务架构中,服务变多了之后呀,就不太好做了。因为我们不太可能为每个服务都做一个鉴权!一、微服务鉴权架构图微服务系统架构必然存在网关的角色。有了网关系统,网关最适合进行权限校验。微服务鉴权架构图如下:看了架构图,那么在这里我们可以采用JWT的方式来实现鉴权校验!这就是JWT场景注意:一定是有需求,才催生技术!很多同...
jwt如何加盐_近似乎裸奔的认证方式 --- JWT(JSON Web Token)
weixin_36378232的博客
01-17 1289
原标题:近似乎裸奔的认证方式 --- JWT(JSON Web Token) 一. 日常啰嗦按照日常惯例先来一段官方给出的简介:????JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。????JWT作为一个开放的标准(RFC 7519)定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的。????JWT可以使用HMAC算法或...
jwt如何加盐_手把手教你使用JWT实现单点登录
weixin_29556943的博客
01-27 657
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱!一、故事起源说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。传统session交互流程,如下图:当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。当浏览器再次发送...
一文搞懂Cookie,Session,Token,JWT
自动化代码美学
09-20 219
https://www.cnblogs.com/df888/p/13701789.html HTTP协议是无状态的,无状态意味着,服务器无法给不同的客户端响应不同的信息。这样一些交互业务就无法支撑了。Cookie应运而生。 Cookie 通过F12开发者工具,先瞅瞅Cookie的颜值 从图中可以看到Cookie包括这些内容:Name,Value,Domain,Path,Expires / Max-Age,Size,HttpOnly,Secure,SameSite,Priority。 Cookie的传递会经
JWTJson Web Token)实现状态保持
MrNoboday
08-12 4690
JWT简介 Json web token (JWT), 是为了在网络应用间传递声明的基于JSON的开放标准,该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。其中的分布式站点的单点登陆的状态保持,在这里简单介绍下:举京东的例子,主页www.jd.com作为一个站点部署在单独的服务器上,其购物车www.car.jd.com作为单独的一个站点部署在单独的服务器上。那么单...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
WebAPI与JWTJSON Web Tokens)身份验证是一种常见的安全机制,用于保护WebAPI接口免受未经授权的访问。JWT令牌提供了一种轻量级的方式来进行身份验证和授权,它允许服务器在客户端之间安全地传递信息,而无需存储...
JSON Web Tokens的实现原理
09-21
### JSON Web Tokens (JWT) 的实现原理 #### 一、前言 随着互联网技术的发展,安全性和便捷性成为了网络通信的重要考量因素。JSON Web Tokens(JWT)作为一种轻量级的数据交换标准,它允许以安全的方式来传输信息...
36_1_Hashing_and_JSON_Web_Tokens
02-14
标题 "36_1_Hashing_and_JSON_Web_Tokens" 提到的核心概念是哈希(Hashing)和JSON Web Tokens(JWT)。哈希是信息安全领域中的一个重要概念,而JWT则是现代Web应用中广泛使用的身份验证机制。让我们深入探讨这两个...
JWT 生成Token及验证
01-22
JWT生成token及验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用
delphi-jose-jwt:JOSE(JSON对象签名和加密)和JWTJSON Web令牌)的Delphi实现
04-30
JWTJSON Web令牌)和JOSE(JSON对象签名和加密)规范套件的实现。 该库通过几种JOSE算法支持JWS(已计划JWE支持)紧凑序列化。 :books: 有关使用Delphi-JOSE的文章 -JWT和身份验证技术介绍(使用Delphi) -...
jwttoken解码_使用 JSON WEB TOKEN (jwt) 验证
weixin_33240360的博客
12-24 626
一、什么JSON Web Tokens?JSON Web Tokens是一种开放的行业标准 RFC 7519方法,用于在双方之间安全地表示索赔。JWT.IO允许您解码,验证和生成JWT。其中。JWT 支持任何语言的解码。二、JWT 的结构JWT由三部分组成:1.Header :头信息标头通常由两部分组成:令牌的类型,即JWT,以及正在使用的签名算法如:{"alg":"HS256",...
base64编码 springboot_Spring Boot+JWT,实现Token 验证
weixin_32146783的博客
01-03 403
JWT官网:https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信...
提升JWT安全性:如何设计有效的加盐密钥?
最新发布
湖北太米网络科技有限公司
12-12 1553
JSON Web Token)是一种用于在网络环境中传递信息的安全方式。它采用了一种轻量级、自包含的方式,将用户身份、权限等信息以JSON格式进行编码,并使用签名或加密来确保信息的完整性和安全性。通过使用JWT,我们可以在不存储用户信息的情况下,实现无状态的身份认证和授权。​的核心组成部分包括头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含了JWT的类型和所使用的加密算法等信息。
SpringSecurity+JWT+自定义MD5加盐值校验
qq_42264638的博客
05-05 2330
SpringSecurity+JWT+自定义MD5加盐值校验
SpringBoot集成JWT实现token验证
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
11-27 301
最近项目使用JWT,进行token校验
jwt如何加盐_JWT原理和使用
weixin_39586683的博客
01-17 2133
jwt原理和使用JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。1.jwt认证流程在项目开发中,一般回按照上图所示的过程进行认证,即:用户登陆成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户...
JWT加密以及解密工具类(生成盐值,根据密码和盐值生成密文)
u012877396的博客
12-28 4623
1.pom依赖 <!-- JSON Web Token (JWT) 生成token --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值