java 令牌解析,Java小白的疑惑:JWT是什么?

最新推荐文章于 2023-02-06 16:40:54 发布
最新推荐文章于 2023-02-06 16:40:54 发布
阅读量111 收藏
点赞数
文章标签: java 令牌解析

JWT 引入jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。JWT 常见用途Authorization (授权) : 用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。

Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,还可以验证内容没有被篡改。JWT 介绍认证方式与流程基于session认证http协议本身是一种无状态的协议,这意味着如果用户向我们的应用提供用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户,

f2457bae6280b79072984935585d4804.png

基于JWT 认证

3b9364a447af92fcdfd3450eaa94a11e.png首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。

后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx的字符串。 token head.payload.singurater

后端将JWT字符串作为登录成功地返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。

前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题) HEADER

后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。

验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。JWT优势简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快

自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。

不需要在服务端保存会话信息,特别适用于分布式微服务。

输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,与基于XML的标准(例如SAML)相比,它更紧凑。JWT 结构令牌组成token string ====> header.payload.singnature token1.标头(Header)

2.有效载荷(Payload)

3.签名(Signature)

因此,JWT通常如下所示:xxxxx.yyyyy.zzzzz Header.Payload.SignatureHeader标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。

注意:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。

常用格式如下

{ "alg": "HS256", "typ": "JWT"}Payload令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分{ "sub": "1234567890", "name": "John Doe", "admin": true}

==注意== :在负载中不能放置敏感信息(Password)

Signature前面两部分都是使用 Base64进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过

如:HMACSHA256(base64UrlEncode(header) + "." + + base64UrlEncode(payload),secret);签名目的最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。JWT 程序编写JWT 依赖库介绍

8c57369cdde19b5214a7fa5833e3180f.png

依赖仓库(github)

039781c1964b343d7cf4ee5a1237ed43.png

JWT 使用Token 令牌的获取

487010a331cc018fa3a7f9ab9b98499b.png

==注意== : 令牌时间的设置,以及签名算法的设置,withClaim()的运用

Token 令牌的解析

b5e47a83874982d7ad4c19801eb26784.png常见异常信息SignatureVerificationException: 签名不一致异常

TokenExpiredException: 令牌过期异常

AlgorithmMismatchException: 算法不匹配异常

InvalidClaimException: 失效的payload异常

weixin_39645249
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录和jwt的引入和操作
weixin_45031570的博客
05-19 572
单点登录和jwt的引入和操作
Springboot + vue前后端分离后台管理系统(七) -- 引入JWT
qq_36700462的博客
06-10 468
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 相关文章很多。。。 参考:https://www.jianshu.com/p/576
JWT令牌详细解读
。。。。
07-05 3094
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JSON Web Token(JWT
你若盛开,清风自来
12-19 432
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session...
JWT的简单使用例子
weixin_43973161的博客
09-05 880
1.在用户登录成功后将签发的token返回,将验证信息存储在客户端2.用户发起请求时携带token后端对token进行验证并执行对应的方法3用户退出登录或者修改重要信息后在客户端销毁token
什么是JWT及在JAVA中如何使用?
一切总会归于平淡
10-24 4176
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
JWT(简述一下,附简单代码例子)
weixin_45969142的博客
11-21 412
什么是JWT? JSON Web令牌(Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 组成是什么? 这里是引用 ...
springboot 整合jwt
林海静的博客
07-05 1092
1、引入jwt的jar包 <!--JWT(Json Web Token)登录支持--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 2、jwt工具类 package com.lin
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 863
什么是JWT
JWT全面解读、使用步骤
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
JWT得使用方式和心得
xj15010735572的博客
08-28 1175
JWT 鉴权方式是不同于传统session 得一种方式,方便实现跨域和分布式鉴权。 JWT架构图 maven依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactI...
JAVA——JWT帮助类(生成token字符串,获取token其中的内容)
鹏举的博客
05-13 1340
JWT帮助类 主要用来协助生成token,解析token字符串 /** * Jwt帮助类 */ public class JwtHelper { //过期时间 private static long tokenExpiration = 24*60*60*1000; //签名秘钥 private static String tokenSignKey = "123456"; //根据参数生成token public static String cre
JWT使用
海里鱼的技术博客
09-14 1232
Json Web Token(JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 什么场景使用JWTPermalink 在前后端分离情况下前端的每一次请求都会携带指定url地址和参数, 从而很可能被不法分子根据指定的url来仿照前端直接请求后端,造成性能与数据的流失 , 只需更换一些参数
初步理解JWT并实践使用
热门推荐
小山半白的博客
01-12 11万+
  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因...
JWT详解和使用(jjwt)
阿猫的和谐号高铁
10-15 9699
JWT详解和使用 JWT是啥 JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,...
jwt 例子 java_JWT的入门案例
weixin_32525457的博客
02-17 301
1.什么是JWTJWT全称JSON Web Token。是为了在网络应用环境键传递声明而执行的一种基于JSON的开放标准。2.JWT的使用场景?授权:一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。单点登录是一种在广泛使用JWT的功能,因为它的开销很小,并且能够在不同的域中轻松使用。信息交换:JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以签...
JWTJava使用 (JJWT)
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWTJava中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWTJava中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
Jwt简单示例
春花秋月冬雪风,留得残荷听雨声。
01-07 586
在pom.xml中添加依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> 编写创建Jwt的代码 import io.jsonwebtoken.JwtBuilder; import io.json.
最佳jwt详细教程
MX_YANG_的博客
10-13 970
先谈一谈为什么有Session认证机制还需要用到jwt认证机制。 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证 注意: 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制 前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制 jwt
jwt 是什么?java-jwt 呢?
最新发布
03-21
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。...它提供了简单易用的API,可以方便地生成和解析JWT,并进行签名验证。Java-JWT支持多种加密算法和密钥管理方式,可以根据需求选择合适的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值