java jwt payload_一张图了解javaJwt

最新推荐文章于 2024-07-09 00:47:55 发布
最新推荐文章于 2024-07-09 00:47:55 发布
阅读量526 收藏 2
点赞数
文章标签: java jwt payload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39755824/article/details/114196751
版权
本文介绍了JWT(JSON Web Tokens)的基本概念,通过JWT.IO进行解码和验证,并详细讲解了Java实现JWT的类结构,包括Header、Payload和Signature。同时,阐述了JWT中的预留、公共和私有声明,以及它们在JWT标准中的使用和验证规则。
摘要由CSDN通过智能技术生成

1.什么是javaJwt?

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

JWT.IO allows you to decode, verify and generate JWT.https://jwt.io/

javaJwt is library of jwt implemented by java

2.javaJwt的类结构

术语解释:

通常在传输数据时,为了使数据传输更可靠,要把原始数据分批传输,并且在每一批数据的头和尾都加上一定的辅助信息,比如这一批数据量的大小,校验位等,这样就相当于给已经分批原始数据加一些外套,这些外套起到标示作用,使得原始数据不易丢失。

一批数据加上它的“外套”,就形成了传输通道中基本的传输单元,叫做数据帧或者数据包(有的地方数据帧和数据包不是同一概念比如网络传输)。这些数据帧中的记录信息的原始数据就是有效载荷数据,即payload data。

而消息体就是外套。即标记着原始数据的大小等的辅助信息。

0b55c45f4f1410e1b19637f157bb0386.png

1.The Header class represents the 1st part of the JWT, where the Header value is hold.

2.The Payload class represents the 2nd part of the JWT, where the Payload value is hold.

3.The Signature class represents the 3rd part of the JWT, where the Signature value is hold.

4.The JWTDecoder class holds the decode method to parse a given JWT token into it's JWT representation.

5.The JWTVerifier class holds the verify method to assert that a given Token has not only a proper JWT format, but also it's signature matches.

6.The JWTCreator class holds the sign method to generate a complete JWT (with Signature) from a given Header and Payload content.

7.The Claim class holds the value in a generic way so that it can be recovered in many representations.

根据JWT的标准,这些claims可以分为以下三种类型:

a. Reserved claims(保留),它的含义就像是编程语言的保留字一样,属于JWT标准里面规定的一些claim。JWT标准里面定好的claim有:

iss(Issuser):代表这个JWT的签发主体;

sub(Subject):代表这个JWT的主体,即它的所有人;

aud(Audience):代表这个JWT的接收对象;

exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;

nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的;

iat(Issued at):是一个时间戳,代表这个JWT的签发时间;

jti(JWT ID):是JWT的唯一标识。

b. Public claims,略(不重要)

c. Private claims,这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证;而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

按照JWT标准的说明:保留的claims都是可选的,在生成payload不强制用上面的那些claim,你可以完全按照自己的想法来定义payload的结构,不过这样搞根本没必要:第一是,如果把JWT用于认证, 那么JWT标准内规定的几个claim就足够用了,甚至只需要其中一两个就可以了,假如想往JWT里多存一些用户业务信息,比如角色和用户名等,这倒是用自定义的claim来添加;第二是,JWT标准里面针对它自己规定的claim都提供了有详细的验证规则描述,每个实现库都会参照这个描述来提供JWT的验证实现,所以如果是自定义的claim名称,那么你用到的实现库就不会主动去验证这些claim。

参考文献:

【1】http://www.cnblogs.com/lyzg/p/6028341.html

weixin_39755824
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT生成的token——中间部分Payload的坑
weixin_29634843的博客
11-13 9184
JWT进行token认证应该都用过,标准的加密(Base64 编码)后的token是这样的三段式的: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiaWQiOiIxMjM0NTY3ODkwIiwiZXhwIjoxNjA1MDAxNzQyLCJpYXQiOjE2MDQ5OTQ1NDIsImp0aSI6IjU5YjI2NDEzLTE4MjMtNDVlZS1iZTI1LTA5M2ZjMjlhMmYzOCJ9.FMpVjuTUSOY5sbYqbJslJCnIvEx
java jwt payload_深入了解java-jwt生成与校验
weixin_42459078的博客
02-13 853
什么是 JWT这里是jwt 官方地址,想了解更多的可以在这里查看。jwt 全称是JSON Web Token,从全称就可以看出 jwt 多用于认证方面的。这个东西定义了一种简洁的,自包含的,安全的方法用于通信双方以 json 对象的形式传递信息。其中简洁,安全,传递信息和 web 系统非常契合。jwt 实际上就是一个字符串,由以下三个部分构成(通过.分隔):Header 头部Payload 负载S...
JWT原理解析与实战通杀(附带POC)
最新发布
LCW991207的博客
07-09 938
JWT原理解析与实战通杀(附带POC) 奉天安全团队(www.ftsec.cn)-Liku 奉天出品,必属精品。
java jwt payload_java使用jwt实现登录认证
weixin_42323064的博客
02-13 1448
什么是JWT?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。此信息可以验证和信任,因为它是数字签名的。JWTs可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名jwt常见使用场景授权:这是使用JWT最常见的场景。一旦用户登录,随后的每个请求都将包括JWT,允许用户...
java jwt payload_Java JWT做登录认证
weixin_33365244的博客
02-16 753
1 packagecom.drz.proxy.internetProxy.util;23 importjava.util.Date;4 importjava.util.HashMap;5 importjava.util.Map;67 importorg.apache.commons.codec.binary.Base64;8 importorg.apache.commons.codec.binar...
php jwt payload,对于JWT的简单理解(php)
weixin_42127754的博客
03-10 1064
JWT(Json Web Token),其实就是一种token设计规范,由头部(Header)、载荷(Payload)、签名(Signatrue)组成。一:Header通常由两部分组成:令牌的类型(即JWT)和正在使用的签名算法(如HMAC SHA256)$header = {"alg": "HS256","typ": "JWT"}使用base64_encode编码json,得到的则是JWT的he...
febs_shiro_jwt-master_java_;shiro;jwt_
10-04
1. JWT结构:由Header、Payload和Signature三部分组成,其中Payload包含用户信息。 2. 签名验证:JWT通过签名验证确保令牌未被篡改,保证传输安全。 3. 无状态:JWT存储用户信息,无需在服务器端维护Session,适合...
jwt-handbook.zip_JSON_JWT Handbook_jwt handbook_jwt hankbook_jw
09-23
1. **JWT基本概念**:JWT由三部分组成——头部(Header)、负载(Payload)和签名(Signature)。头部通常包含了令牌的类型(typ)和签名算法(alg)。负载部分携带了声明(Claims),这些声明可以是公开的、私有的...
JWT_PACKAGES_FOR_JAVA.rar
05-23
JWT PACKAGES FOR JAVA.rar 是一个针对Java开发者的资源包,主要包含了实现JWT(JSON Web Token)认证所需的库文件。JWT是一种轻量级的身份验证机制,常用于前后端分离的架构中,以安全地传递用户信息。这个压缩包...
jwt_token_test.zip
05-21
Java Web Token(JWT)是一种轻量级的身份验证和授权机制,广泛应用于移动应用与服务器之间的交互。JWT允许在用户身份验证后将权限信息安全地编码为一个字符串,并在客户端和服务端之间传递,无需存储session信息在...
JwtUtil.rar_Jwt签名生成_jwtutil_jwt文件上传
09-20
JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。签名是通过将头部和载荷进行编码,然后使用一个密钥(secret key)进行哈希运算得到的。这个过程确保了JWT的完整性和不可篡改性。在JWTUtil...
使用JJWT库的Java JWT令牌教程
04-11
Java JSON Web Token (JWT) 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。在Java开发中,JJTW(Java JWT)库提供了一个简单且直观的方式...
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份认证和授权标准,它允许服务端为客户端生成一个令牌,这个令牌包含了用户的相关信息,且是...
JWT(java web Token)
01-22
Java Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
java jwt jar包
06-15
Java JWT(JSON Web Token)是一种安全的标准,用于在各方之间传输信息作为安全的、自包含的令牌。JWT jar包,如jjwt.jar,是Java开发人员实现JWT功能的关键依赖库。这个jar包提供了处理JWT创建、验证和解析的类和...
java jwt 统一认证 demo
05-07
Java JWT(JSON Web Token)统一认证Demo是一个基于Java实现的JWT认证系统示例,它包含了必要的库文件和源代码,方便开发者快速理解和应用JWT技术。JWT是一种轻量级的身份认证和授权机制,常用于分布式系统中,以...
jwt是什么?php jwt类封装和使用
不知道起什么名字
10-23 895
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature header部分: { "alg": "HS256", "typ": "JWT" } 对应base64UrlEncode编码为:eyJhb.
JWT(json web token)认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1323
会将空转为字符串“null”生成jwt:sign(
jwt token 过期刷新_如何在SpringBoot中集成JWT(JSON Web Token)鉴权
weixin_39705931的博客
11-21 749
这篇博客主要是简单介绍了一下什么是JWT,以及如何在Spring Boot项目中使用JWT(JSON Web Token)。1.关于JWT1.1 什么是JWT老生常谈的开头,我们要用这样一种工具,首先得知道以下几个问题。 - 这个工具是什么,这个工具解决了什么问题 - 是否适用于当前我们所处得业务场景 - 用了之后是否会带来任何其他问题 - 怎么用才是最佳实践那什么是JWT呢?以下是我对jwt官网...
try { //获取用户载荷 authorizationToken = authorizationToken.substring(7); //检查redis 只要有就继续 Long remainTime = redisUtils.getExpiredTime(BusinessConstant.JWT_REDIS_KEY.getKey() +authorizationToken, TimeUnit.SECONDS); if (remainTime <= 0) { throw new AuthorizationException(BusinessCode.NOT_AUTHORIZED.getCode(), BusinessCode.JWT_SIGNATURE_EXCEPTION.getMsg()); } //检查签名 JwtPayLoad<UserVo> payLoadFromJwt = JwtUtils.getPayLoadFromJwt(authorizationToken, publicKey, UserVo.class, BusinessConstant.SYSTEM_JWT_PAYLOAD_KEY.getKey()); //redis续期时间 min long now = System.currentTimeMillis(); long jwtExpiredTime = payLoadFromJwt.getExpiredTime().getTime(); long reNewTime = Long.parseLong(BusinessConstant.JWT_RENEW_TIME.getKey()) * 60 * 1000; //判断是否需要续期 if (jwtExpiredTime - now <= reNewTime) { //获取旧的用户属性 UserVo user = payLoadFromJwt.getPayLoadData(); //过期时间 int expiredTime = Integer.parseInt(BusinessConstant.JWT_EXPIRED_TIME.getKey()); String jwtTokenWithExpireTimeMinutes = JwtUtils.createJwtTokenWithExpireTimeMinutes(user, rsaProperties.getPrivateKey(), expiredTime, BusinessConstant.SYSTEM_JWT_PAYLOAD_KEY.getKey(), BusinessConstant.SYSTEM_JWT_ISS.getKey()); redisUtils.setNewAndDeleteOldWithExpiredTime(BusinessConstant.JWT_REDIS_KEY.getKey() + jwtTokenWithExpireTimeMinutes, user.getName() + ":" + user.getUserId(),BusinessConstant.JWT_REDIS_KEY.getKey() +authorizationToken, expiredTime, TimeUnit.MINUTES); response.setHeader(BusinessConstant.JWT_REQUEST_HEAD.getKey(), jwtTokenWithExpireTimeMinutes); log.info("====客户端:" + ipAddr + " 用户:" + user.getName() + " -- (" + user.getUserId() + ") token续期成功!!!!"); }
06-05
这段代码是一个 Java 代码块,其中包含了一些逻辑代码。这段代码主要是用于实现用户认证和 JWT Token 的续期功能。下面是对代码块中各行代码的解释: 1. `authorizationToken = authorizationToken.substring(7);`:从请求头中获取 JWT Token,去掉前缀 "Bearer ",并将其赋值给变量 authorizationToken。 2. `Long remainTime = redisUtils.getExpiredTime(BusinessConstant.JWT_REDIS_KEY.getKey() +authorizationToken, TimeUnit.SECONDS);`:从 Redis 中获取 JWT Token 的剩余过期时间,单位为秒,并将其赋值给变量 remainTime。 3. `if (remainTime <= 0) {throw new AuthorizationException(BusinessCode.NOT_AUTHORIZED.getCode(), BusinessCode.JWT_SIGNATURE_EXCEPTION.getMsg());}`:如果 JWT Token 已经过期,则抛出一个自定义异常 AuthorizationException,该异常包含了错误码和错误信息。 4. `JwtPayLoad<UserVo> payLoadFromJwt = JwtUtils.getPayLoadFromJwt(authorizationToken, publicKey, UserVo.class, BusinessConstant.SYSTEM_JWT_PAYLOAD_KEY.getKey());`:使用公钥 publicKey 解析 JWT Token,并获取其中的 Payload 数据,即 JWT Token 中携带的用户信息。 5. `long jwtExpiredTime = payLoadFromJwt.getExpiredTime().getTime();`:从 Payload 中获取 JWT Token 的过期时间,并将其赋值给变量 jwtExpiredTime。 6. `long reNewTime = Long.parseLong(BusinessConstant.JWT_RENEW_TIME.getKey()) * 60 * 1000;`:从配置文件中获取 JWT Token 续期时间,单位为分钟,并将其转换为毫秒,并将其赋值给变量 reNewTime。 7. `if (jwtExpiredTime - now <= reNewTime) {...}`:如果 JWT Token 的过期时间与当前时间的差值小于等于续期时间,则进行续期操作。 8. `UserVo user = payLoadFromJwt.getPayLoadData();`:从 Payload 中获取用户信息,并将其赋值给变量 user。 9. `int expiredTime = Integer.parseInt(BusinessConstant.JWT_EXPIRED_TIME.getKey());`:从配置文件中获取 JWT Token 的过期时间,单位为分钟,并将其转换为整数,并将其赋值给变量 expiredTime。 10. `String jwtTokenWithExpireTimeMinutes = JwtUtils.createJwtTokenWithExpireTimeMinutes(user, rsaProperties.getPrivateKey(), expiredTime, BusinessConstant.SYSTEM_JWT_PAYLOAD_KEY.getKey(), BusinessConstant.SYSTEM_JWT_ISS.getKey());`:使用私钥 rsaProperties.getPrivateKey() 生成新的 JWT Token,并指定其过期时间和 Payload 数据。 11. `redisUtils.setNewAndDeleteOldWithExpiredTime(BusinessConstant.JWT_REDIS_KEY.getKey() + jwtTokenWithExpireTimeMinutes, user.getName() + ":" + user.getUserId(), BusinessConstant.JWT_REDIS_KEY.getKey() + authorizationToken, expiredTime, TimeUnit.MINUTES);`:将新生成的 JWT Token 和 Redis 中旧的 JWT Token 进行替换,并设置过期时间为 expiredTime 分钟。 12. `response.setHeader(BusinessConstant.JWT_REQUEST_HEAD.getKey(), jwtTokenWithExpireTimeMinutes);`:将新生成的 JWT Token 放入响应头中,以便客户端获取。 13. `log.info("====客户端:" + ipAddr + " 用户:" + user.getName() + " -- (" + user.getUserId() + ") token续期成功!!!!");`:记录续期操作的日志信息,包括客户端 IP 地址、用户名称和用户 ID。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值