java jwt_「java」使用jwt进行认证授权

最新推荐文章于 2023-03-26 21:52:01 发布
最新推荐文章于 2023-03-26 21:52:01 发布
阅读量340 收藏
点赞数
文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39822629/article/details/114397909
版权

93863f9a6d6e0b21c6439051eef23b2a.png

传统的web应用使用session来维护用户与服务器之间的状态,用户提交用户名密码到服务器,服务器生成会话id,并将验证通过的用户信息存到session中(内存or数据库),会话id会写出到cookie。

用户登录之后的操作,都会附带包含sessionId的cookie,服务器根据用户端传来的sessionId获取用户信息,会话的有效期,包括用户登出等操作都依赖对session的操作,如下图:

04434c5ac9ccb488abeb29d814313e8e.png

基于session的认证用户信息存在了服务端内存中,在分布式环境中session是需要同步的。出现了基于token的认证方式,其实本质和session没什么区别。用户提交登录信息后,服务端验证通过后颁发令牌。

下图是以redis为例,将token和用户信息保存到redis,客户端再次访问服务端时,会携带token,服务端通过token获取用户信息。会话的有效期,用户的登出只需要操作redis中的token即可,如下图:

9c64dcdad0141ccc362e945685950477.png

当然了,token本身也是可以包含一些用户非敏感信息减少查库,包含数字签名以防数据篡改,下面看下jwt(json web token)。

从名称可以看出jwt还是一个token,它有自己的规范,由标头.有效载荷.签名

组成。头用来描述散列算法,然后是用户数据,最后是一个数字签名。

bfdba574ec406ab923f1fbc380886e21.png

先来看下jwt的java实现。

com.auth0

java-jwt

3.10.2

使用jwt通常只需要两个步骤,1通过jwt来生成token,2验证token。

public class JwtUtil {

private static final String SECRET = "t1o2k3e4n5_s9e8c7r6e5t";

private static final String ISSUER = "star_jwt";

public static String genJwt(Map claims) {

try {

Algorithm algorithm = Algorithm.HMAC256(SECRET);JWTCreator.Builder

builder = JWT.create().withIssuer(ISSUER)

.withExpiresAt(DateUtils.addMinutes(new Date(),30));

claims.forEach(builder::withClaim);

return builder.sign(algorithm);

} catch (Exception e) {

throw new RuntimeException(e);

}

}

public static Map verifyToken(String token) {

Map ret = Maps.newHashMap();

try {Algorithm algorithm = Algorithm.HMAC256(SECRET);

JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();

DecodedJWT jwt = verifier.verify(token);

Map map = jwt.getClaims();

map.forEach((k,v)->ret.put(k,v.asString()));

ret.put("exp",map.get("exp").asDate().toString()); } catch (Exception e) {

return ret;

}以上就是一个jwt的简单示例,客户端携带token请求时,服务端可以校验jwt的签名及有效时间,校验通过则放行,否则拒绝请求。

优点:

可以看到使用jwt自身就可以完成认证,可以减少资源连接,也可以避免跨域认证请求,自带信息也可以用于数据传递。

缺点:

可以看到一旦生成token,就无法回收,token的管理(刷新有效期&登出)需要其它补偿机制(如使用redis管理token);默认有效载荷只是经过base64编码,只是为了方便传输,并未加密(也可以自行加密),敏感数据不应该放到jwt中。

【完】

weixin_39822629
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java-jwt工具类
Tx1xQn9G4的博客
03-28 770
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
auth0的java-jwt_Spring boot + JWT 实现安全验证 ---auth0.jwt
weixin_31936393的博客
02-28 1495
auth0的jwt 实现安全验证: 使用自定义参数 和时间戳生成token。验证token时验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException1.引入依赖com.auth0java-jwt3.10.32.生成token和验证token的工具类import java.util.Date;import org.s...
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 Owin承载JWT插件等方式验证服务器端
java decode jwt_JavaJwt
weixin_30487899的博客
02-16 1153
javajar包封装工具类public class jwtTool {public static final String secretKey = "askjdksadjkasdakjshdjkasdkAakjshdjasdjs";public String getJWTWithHMAC256(String subject, String secretKey){//指定JWT所使⽤用的签名算法Al...
auth0的java-jwt_spring集成jwt验证方式,token验证
weixin_36145482的博客
02-28 1708
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别...
JWT 实战教程
weixin_43145539的博客
03-30 356
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
febs_shiro_jwt-master_java_;shiro;jwt_
10-04
基于springboot,shiro,jwt的后台管理系统
Java使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java jwt 统一认证
11-08
包含jwt包和源码 jwt打包成工具 可以直接使用 加密解密方法 快捷开发
JWT_PACKAGES_FOR_JAVA.rar
05-23
SpringMVC集成JWT token认证jwt 所需jar文件 网盘:https://pan.baidu.com/s/1qm-Oiq2ZhlL0YFAdcZBSoQ 提取码:t3ht
java-jwt.jar
08-27
实现Java web token JWT所需的jar包,java-jwt.3.3.0.jar,可用于登录验证
auth0-java:Auth0平台的Java客户端库
04-06
Auth0 Java 平台的Java客户端库。 下载 通过Maven获取Auth0 Java: < dependency> < groupId>com.auth0</ groupId> < artifactId>auth0</ artifactId> < version>1.28.1</ version> </ dependency> 或Gradle: implementation ' com.auth0:auth0:1.28.1 ' 安卓 auth0.android库中的Auth0身份验证API和用户管理API可用于Android。 检查了解更多信息。 验证API 该实现基于 。 通过从提供应用程序详细信息来创建AuthAPI实例。 阅读有关降低资源使用量的。 AuthAPI auth = new AuthAPI ( " {YOUR_DOMAIN
jwt-decode.min.js
11-21
js解析jwt的工具包,文章里面有具体的使用方法,可是实现用户端token解析账号和密码...
com.auth0.java jwt,从bean引发异常:java.lang.NoClassDefFoundError:com/auth0/jwt/algorithms/Algorithm...
weixin_32019909的博客
03-12 1705
javax.ejb.TransactionRolledbackLocalException: Exception thrown from bean: java.lang.NoClassDefFoundError: com/auth0/jwt/algorithms/Algorithmat com.sun.ejb.containers.EJBContainerTransactionManager.ch...
java系列之JWT权限验证
m0_61027348的博客
12-14 4929
​ cookie和session的缺点: ​ session都存储在服务端的内存 ​ 集群环境中需要额外处理 ​ csrf :cookie被截取后可能发生跨站点请求伪造 ​ cookie的跨域读写不方便
com.auth0.jwt_ASP.NET Core中的JWT Auth
weixin_26750481的博客
09-08 274
com.auth0.jwtJSON Web Token (JWT) is a compact and URL-safe string, which represents claims in a specific format that is defined by the industry-standard RFC 7519. JWT is a standard method to transmit...
DecodedJWTJWT
最新发布
mingzq123的博客
03-26 1839
获取JWT的签名信息。作业:使用JWT创建一个包含用户ID和用户名的JWT,并使用HS256算法对其进行签名。使用DecodedJWT类解码JWT,从中获取用户的ID和用户名,然后根据用户ID查询用户信息并返回。: 获取JWT的头部信息。: 获取JWT的主题。: 获取JWT的签发时间。获取JWT使用的加密算法。: 获取JWT的接收者。:使用指定的算法对JWT进行签名。
SpringBoot - 集成Auth0 JWT
Maggieq8324的博客
08-19 3789
目录前言 说说JWT,先说下互联网服务常见的两种用户认证方式:session认证与Token认证 session认证 传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显: - Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大 - 保存在内存中的Session限制了分布式的应用 - Cookie容易被截获伪造
来来来~ 码一万字,带你读懂JWT
wdjnb的博客
05-06 2239
1. 为什么要用 JWT ? 认证 在谈起 JWT 之前,我们先了解一下什么是认证。 在登录淘宝、微博等软件或者网站之前,我们需要通过填写账号和密码来校验身份。认证是用来验证用户身份合法性的一种方式。 那我们登录成功之后,网站如何记录我们的身份信息呢? 前面我们在学习 servlet 的时候,知道了传统的系统主要是通过 session 来存储用户的信息。session 将用户的信息存储在服务端。 但是随着用户数量的增多,服务端就需要存一堆用户的认证信息,这种方式会不断增加服务端的压力..
java jwt使用
02-01
使用 Java JWT,需要使用相应的库,例如jjwt。要使用 jjwt,需要在项目中添加相应的依赖,然后就可以使用它来生成和解析 JWT 了。 下面是一个示例,展示了如何使用 jjwt 生成 JWT: ``` import io.jsonwebtoken....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值