拒绝长篇大论,快速使用JWT(json web token)

已于 2024-07-10 07:41:44 修改
阅读量581 收藏 2
点赞数
分类专栏: 手记 文章标签: JWT json web token secret
于 2019-06-27 12:00:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41381863/article/details/93751101
版权

拒绝搬砖,拒绝长篇大论

什么是JWT

JWT全称json web token。是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它其实就是平常用的token认证机制,只不过它有它自己的一套规范。

根据JWT规范生成的token字符串由三部分组成:头部、载荷、签名。

示例(中间由.隔开):

20190627094916303.png

相较于普通的token生成方式,JWT生成的token由上面三部分组成(每部分由Base64URL编码完成),而且JWT有相应的解码规则,可以从token字符串里面解析出有用的信息,再进行相应的校验。在使用过程,我们可以和普通的token一样,用在url中、请求头中或者cookie中。

详细构成

1、头部(header)

JWT需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{“typ”: “JWT”,”alg”: “HS256”}

在头部指明了签名算法是HS256算法。

进行Base64URL编码之后:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2、载荷(Payload)

载荷就是此JWT生成的token所携带的一些信息(比如用户信息)和设置等。载荷也可以表示为json对象的key-value形式,其规则如下:

--支持自定义的key-value(key的命名应该避免JWT定义的);

--iss: 该JWT的签发者,可选的;

--sub: 该JWT所面向的用户,可选的;

--aud: 接收该JWT的一方,可选的;

--exp(expires): 什么时候过期,这里是一个Unix时间戳,可选的;

--iat(issued at): 在什么时候签发的(UNIX时间),可选的;

--nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟,可选的。

一个简单的载荷示例:

{

“userId” : 123456, #用户id,表明用户

“iat” : 1356999524, #token发布时间

“exp” : 1556999524, #token过期时间

}

 将其进行Base64URL编码后:

eyJlbWFpbCI6IjQ5NDQ1NDk4MkBxcS5jb20ifQ

3、签名(Signature) 

将上面的两个编码后的字符串都用 . 连接在一起(头部在前),就形成了:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJlbWFpbCI6IjQ5NDQ1NDk4MkBxcS5jb20ifQ

最后,我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,我们还需要提供一个密钥(secret)。就形成了:

_lIhl8oPiCIDssYFpnvTgYA-yTLj4gsENuvohSN5ZV0

最后将这一部分签名也拼接在被签名的字符串后面,我们就得到了完整的JWT:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJlbWFpbCI6IjQ5NDQ1NDk4MkBxcS5jb20ifQ._lIhl8oPiCIDssYFpnvTgYA-yTLj4gsENuvohSN5ZV0

然后,我们就可以快乐的使用我们的JWT了,比如

http://localhost:8080/user/list?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJlbWFpbCI6IjQ5NDQ1NDk4MkBxcS5jb20ifQ._lIhl8oPiCIDssYFpnvTgYA-yTLj4gsENuvohSN5ZV0

快速开始

引入jar包

<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.4.0</version>
</dependency>

生成JWT

 先创建一个用户实体类,将其信息携带在JWT中。

public class User {

	private Integer id;
	
	private String userName;
	
	private String passWord;

	//省略get/set
}
User user = new User(1, "zhangsan", "123456");
//将user对象序列化
String user_json = JSONObject.toJSONString(user);
//token发布时间
long iat_time = System.currentTimeMillis();
//token失效时间  2小时后失效
long exp_time = iat_time + (2*60*60*1000);
String token = JWT.create()
				//将用户信息加入载荷
				  .withClaim("user", user_json)
				//将token发布时间加入载荷
					.withIssuedAt(new Date(iat_time))
				//将token失效时间加入载荷
					.withExpiresAt(new Date(exp_time))
				//使用秘钥为123456 进行HS256加密
					.sign(Algorithm.HMAC256("123456"));
System.out.println(token);

生成的token

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NjE2MTIxODYsInVzZXIiOiJ7XCJpZFwiOjEsXCJwYXNzV29yZFwiOlwiMTIzNDU2XCIsXCJ1c2VyTmFtZVwiOlwiemhhbmdzYW5cIn0iLCJpYXQiOjE1NjE2MDQ5ODZ9.zGgu0F_o_1vBvVDYGRedwP2FlnbekAL39nzaCQ-Yf6o

解码JWT

String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NjE2MTIxODYsInVzZXIiOiJ7XCJpZFwiOjEsXCJwYXNzV29yZFwiOlwiMTIzNDU2XCIsXCJ1c2VyTmFtZVwiOlwiemhhbmdzYW5cIn0iLCJpYXQiOjE1NjE2MDQ5ODZ9.zGgu0F_o_1vBvVDYGRedwP2FlnbekAL39nzaCQ-Yf6o";
		try {
			//获取user信息 
			String user_json = JWT.decode(token).getClaim("user").asString();
			System.out.println(user_json);
			//获取发布时间
			Date iat_time = JWT.decode(token).getIssuedAt();
			SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
			System.out.println(df.format(iat_time));
			//获取失效时间
			Date exp_time = JWT.decode(token).getExpiresAt();
			System.out.println(df.format(exp_time));
			//获取整个载荷Base64URL
			String payload = JWT.decode(token).getPayload();
			System.out.println(payload);
			//获取整个头部Base64URL
			String header = JWT.decode(token).getHeader();
			System.out.println(header);
			//获取整个签名的Base64URL
			String signature = JWT.decode(token).getSignature();
			System.out.println(signature);
			//头部详细信息
			String type = JWT.decode(token).getType();
			System.out.println(type);
			String algorithm = JWT.decode(token).getAlgorithm();
			System.out.println(algorithm);
			
		} catch (Exception e) {
			System.out.println("----token是否符合JWT规范----" + e.getMessage());
			System.out.println("----避免空指针----" + e.getMessage());
		}
		//根据秘钥验证  生成JWT的Signature用的secret是123456   这种解码方式可以防止token伪造
		JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("123456")).build();
		String result = jwtVerifier.verify(token).getClaim("user").asString();
		System.out.println(result);
{"id":1,"passWord":"123456","userName":"zhangsan"}
2019-06-27 11:09:46
2019-06-27 13:09:46
eyJleHAiOjE1NjE2MTIxODYsInVzZXIiOiJ7XCJpZFwiOjEsXCJwYXNzV29yZFwiOlwiMTIzNDU2XCIsXCJ1c2VyTmFtZVwiOlwiemhhbmdzYW5cIn0iLCJpYXQiOjE1NjE2MDQ5ODZ9
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
zGgu0F_o_1vBvVDYGRedwP2FlnbekAL39nzaCQ-Yf6o
JWT
HS256
{"id":1,"passWord":"123456","userName":"zhangsan"}

生产环境

我们可以在校验用户名密码后返回token,然后在拦截器中进行token校验。

总结

1、JWT的载荷可以携带任何信息,所以可以有效避免频繁的去数据库或者缓存中获取有效信息进行校验;

2、善用签名部分的秘钥(Secret),避免全局单一secret(虽然secret是保存在服务端,不参与数据传输)。

每个用户一个secret,可以完全解决用户退出和修改密码问题,用户退出,清除相关的secret,没有secret无法解码。

在上面JWT生成的时候可以明显看到,JWT的发布时间和失效时间是参与签名的,所以这个无法修改。

还是只能用secret去解决签名的续签问题,那么就需要将JWT的生命周期设置为永久有效,完全交给secret去控制。

除此之外,更换新的token去延时也是可以的,最简单粗暴。到底使用哪种方式,就需要做取舍了。

 

hi,你礼貌吗
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot+JWT+Shiro+MybatisPlus实现Restful快速开发后端脚手架其实就这么简单
Java圈全能架构师的博客
06-07 534
一、背景 前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。 Mybatis-Plus是一个 Mybatis 的增强工具,有代码生成器,并且提供了类似hibernate的单表CRUD操作,又保留了mybatis的特性支持定制化 SQL。 Apache Shiro是一款强大易用的Java安全框架,Java官方推荐使用Shiro,它比Spring Security
jwt token解码
05-13 2752
最近开发中需要从jwt token中解析出数据,写了个类,验证通过 1、首先加入maven依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> 2、创建jwt工具类 import com.auth.
JWT快速上手(简单易懂)
最新发布
ljw_993013755的博客
04-27 457
快速上手 JWT,包含工具类封装。一文彻底学会 JWT
SpringBoot集成JWT实现token验证
qq_41828543的博客
01-22 2033
原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的...
jwt解密token
stone_tomcate的博客
03-23 1221
import com.alibaba.fastjson.JSONObject; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.interfaces.Deco...
使用jwt生成token
zhoujie的博客
04-29 5363
这是jwt 官网 https://jwt.io/,有兴趣撸友的可以看一下。 在官网中可以看到,给了一个示例,左边的token 解码以后,就会由youy右边的三部分组成,分别是 头,有效载荷,验证签名。 头(包含算法和类型),有效载荷这个就比较核心了,用户可以在这里添加自己想添加的信息,包含token过期时间等。详情请参考这位撸友大佬https://blog.csdn.net/csdn_bl...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
单点登录中的JSON WEB TOKEN使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
后端Jwt实现Token编码、解码以及axios的request请求头的Token传输方式
辰辰Ado_I
03-23 784
JWTtoken的一种实现方式,全称是:JSON Wwb Token。简单来讲,Jwt是一种字符串,可以根据用户信息进行相关的编码操作生成带有用户信息的JWT token,我们可以根据这个来判断其信息是否正确或者是否被篡改。
关于jwt的一点思考:希望大佬们给一些建议
06-07 362
springcloud 搭建 分布式系统,在搭建权限系统时,选择用jwt作为无状态,前后端分离做保证。 实现方案: 1.通过shiro spring-security都能很好的实现restfull风格的后端接口Api; 2.通过集成jwt,可以很好的生成token,并用于鉴权或认证判断; 3.jwt其实就是存储了一些信息,通过后端解析,来判断是否登录,是否有权限访问,通过全局处理可以很好的解决问题; 那么问题来了: 如果jwt只存储【用户信息】,通过后端解析,查询该用户的角色+权限信息,可以判断
JWTJSON Web Token)自动延长到期时间
热门推荐
asdfgh0077的博客
05-07 1万+
I would like to implement JWT-based authentication to our new REST API. 我想对我们的新REST API实现基于JWT的身份验证
JWT生成token和验证的简单实现
CSDN已弃用
01-07 3538
给客户提供数据接口时,要求使用jwt生成token实现token认证 首先引入依赖: <!-- JWT --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3....
JWT学习教程
weixin_45773632的博客
03-02 400
文章目录1. 简介2. JWT使用场景 1. 简介 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。 JWT定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。 JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。 JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。 JWT 常用于代替
java之避免空指针的几个方法
john dong
07-15 688
1. equals a.equals(b) 使用此方法时,把不是null的对象a,放在前面,可避免空指针。 2. valueOf()和toString() 类型转换时,使用valueOf()可避免空指针 3. 方法返回值 方法返回对象做非空判断,集合或数组可返回空集合或空数组,避免返回null。 ...
JWT Token 自动续期的解决方案
孤独的大佬
09-24 3669
后端 在登录接口中 如果校验账号密码成功 则根据用户id和用户类型创建jwt token(有效期设置为-1,即永不过期),得到A 更新登录日期(当前时间new Date()即可)(业务上可选),得到B 在redis中缓存key为ACCESS_TOKEN:userId:A(加上A是为了防止用户多个客户端登录 造成token覆盖),value为B的毫秒数(转换成字符串类型),过期时间为7天(7 * 24 * 60 * 60) 在登录结果中返回json格式为{“result”:“success”,“token
JWT教程
u010913170的博客
05-19 934
jsonwebtokenJWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名
常用工具类之jwt的学习使用
weixin_53998054的博客
10-22 1156
jwt使用
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.11.2 <groupId>io.jsonwebtoken <artifactId>jjwt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值