JWT令牌

已于 2023-03-02 08:36:27 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: spring-security 文章标签: 服务器 http 安全
于 2023-02-26 09:34:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41636858/article/details/129223414
版权

1.普通令牌的问题

        客户端申请到令牌,接下来客户端携带令牌去访问资源,到资源服务器将会校验令牌的合法性。      

  

从第4步开始说明:

1、客户端携带令牌访问资源服务获取资源。

2、资源服务远程请求认证服务校验令牌的合法性

3、如果令牌合法资源服务向客户端返回资源。

这里存在一个问题:

就是校验令牌需要远程请求认证服务,客户端的每次访问都会远程校验,执行性能低。

如果能够让资源服务自己校验令牌的合法性将省去远程请求认证服务的成本,提高了性能。如下图:

         令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

2.什么是JWT令牌

JSON Web Token(JWT)是一种使用JSON格式传递数据的网络令牌技术,它是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止内容篡改。官网:JSON Web Tokens - jwt.io

使用JWT可以实现无状态认证,什么是无状态认证?

传统的基于session的方式是有状态认证,用户登录成功将用户的身份信息存储在服务端,这样加大了服务端的存储压力,并且这种方式不适合在分布式系统中应用。

如下图,当用户访问应用服务,每个应用服务都会去服务器查看session信息,如果没有则认证用户没有登录,此时就会重新认证,而解决这个问题的方法是Session复制、Session黏贴。

无状态认证

 如果是基于令牌技术在分布式系统中实现认证则服务端不用存储session,可以将用户身份信息存储在令牌中,用户认证通过后认证服务颁发令牌给用户,用户将令牌存储在客户端,去访问应用服务时携带令牌去访问,服务端从jwt解析出用户信息。这个过程就是无状态认证

 JWT令牌的优点:

  1. 基于json,非常方便解析
  2. 可以在jwt令牌中自定义丰富的内容,易扩展
  3. 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高
  4. 资源服务使用JWT可不依赖认证服务就完成授权

缺点

JWT令牌较长,占用的存储空间较大

3.jwt结构分析

JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz

  1. Header       

  头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)

  一个例子如下:

  下边是Header部分的内容

JSON
   {
    "alg": "HS256",
    "typ": "JWT"
  }

  将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

  1.  Payload

  第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。

  此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。

  最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。

  一个例子:

JSON
  {
    "sub": "1234567890",
    "name": "456",
    "admin": true
  }

  1.  Signature

  第三部分是签名,此部分用于防止jwt内容被篡改。

  这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明签名算法进行签名。

  一个例子:

JSON
  HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret)

base64UrlEncode(header):jwt令牌的第一部分。

base64UrlEncode(payload):jwt令牌的第二部分。

secret:签名所使用的密钥。

4.为什么JWT可以防止篡改?

第三部分使用签名算法对第一部分和第二部分的内容进行签名,常用的签名算法是 HS256,常见的还有md5,sha 等,签名算法需要使用密钥进行签名,密钥不对外公开,并且签名是不可逆的,如果第三方更改了内容那么服务器验证签名就会失败,要想保证验证签名正确必须保证内容、密钥与签名前一致。

从上图可以看出认证服务和资源服务使用相同的密钥,这叫对称加密,对称加密效率高,如果一旦密钥泄露可以伪造jwt令牌。

JWT还可以使用非对称加密,认证服务自己保留私钥,将公钥下发给受信任的客户端、资源服务,公钥和私钥是配对的,成对的公钥和私钥才可以正常加密和解密,非对称加密效率低但相比对称加密非对称加密更安全一些。

4.测试生成jwt令牌

package com.xuecheng.auth.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenEnhancerChain;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

import java.util.Arrays;

/**
 * @author Administrator
 * @version 1.0
 **/
@Configuration
public class TokenConfig {


    private String SIGNING_KEY = "mq123";

    @Autowired
    TokenStore tokenStore;


    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(SIGNING_KEY);
        return converter;
    }

    //令牌管理服务
    @Bean(name="authorizationServerTokenServicesCustom")
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices service=new DefaultTokenServices();
        service.setSupportRefreshToken(true);//支持刷新令牌
        service.setTokenStore(tokenStore);//令牌存储策略

        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        service.setTokenEnhancer(tokenEnhancerChain);

        service.setAccessTokenValiditySeconds(7200); // 令牌默认有效期2小时
        service.setRefreshTokenValiditySeconds(259200); // 刷新令牌默认有效期3天
        return service;
    }



}

postMan请求

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsieHVlY2hlbmctcGx1cyJdLCJ1c2VyX25hbWUiOiJ6aGFuZ3NhbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2NzczNzc3MDQsImF1dGhvcml0aWVzIjpbInAxIl0sImp0aSI6ImRkZGZlOTFkLWJiZTItNGEwOC1iZTI0LTQ4ZmM0NTdmMDIxNyIsImNsaWVudF9pZCI6IlhjV2ViQXBwIn0.8Yn2fGo2qckpgGSD-oOCHgQIIhxb9DfEBdLwB4VKDdE",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsieHVlY2hlbmctcGx1cyJdLCJ1c2VyX25hbWUiOiJ6aGFuZ3NhbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiJkZGRmZTkxZC1iYmUyLTRhMDgtYmUyNC00OGZjNDU3ZjAyMTciLCJleHAiOjE2Nzc2Mjk3MDQsImF1dGhvcml0aWVzIjpbInAxIl0sImp0aSI6ImI3NzczZjZjLTk5NmUtNGM0Yy04ZWVmLTJjMzZkMjRmZDEyNyIsImNsaWVudF9pZCI6IlhjV2ViQXBwIn0.hI9f5tHEvAE8SE5nLZkYZV_5n2K9DthSrblMoF4CUiE",
    "expires_in": 7198,
    "scope": "all",
    "jti": "dddfe91d-bbe2-4a08-be24-48fc457f0217"
}

1、access_token,生成的jwt令牌,用于访问资源使用。

2、token_type,bearer是在RFC6750中定义的一种token类型,在携带jwt访问资源时需要在head中加入bearer jwt令牌内容

3、refresh_token,当jwt令牌快过期时使用刷新令牌可以再次生成jwt令牌。

4、expires_in:过期时间(秒)

5、scope,令牌的权限范围,服务端可以根据令牌的权限范围去对令牌授权。

6、jti:令牌的唯一标识。

check_token接口校验jwt令牌

localhost:63070/auth/oauth/check_token?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsieHVlY2hlbmctcGx1cyJdLCJ1c2VyX25hbWUiOiJ6aGFuZ3NhbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2NzczNzc3MDQsImF1dGhvcml0aWVzIjpbInAxIl0sImp0aSI6ImRkZGZlOTFkLWJiZTItNGEwOC1iZTI0LTQ4ZmM0NTdmMDIxNyIsImNsaWVudF9pZCI6IlhjV2ViQXBwIn0.8Yn2fGo2qckpgGSD-oOCHgQIIhxb9DfEBdLwB4VKDdE

5.扩展JWT令牌的信息

在验证完毕用户的身份之后,可以将用户的信息转为json格式,作为username字段封装到jwt令牌中。这样做的原因是,避免了再写一个dto类。具体做法见下:

 @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //查询到相应的数据库数据
        XcUser xcUser = userMapper.selectOne(new LambdaQueryWrapper<XcUser>().eq(XcUser::getUsername, s));
        //根据框架的调用情况,因为这个方法是被DaoAuthentication调用,所以要查看这个类是怎么调用的
        //查询之后发现,调用类在处理返回值时,如果是空,调用类会自己去抛异常
        if(xcUser == null){
            //我们这里直接返回空值,另外注意是有必要判断的,
            // 否则后面会报空指针异常
            return null;
        }
        String username = xcUser.getUsername();
        String password = xcUser.getPassword();
        //创建用户权限集合,如果不加,则会报can not pass a null GrantedAuthority collection
        String[] authorities = {"test"};//随便创建的一个权限集合
//        不能再json中保存密码,所以注释掉密码字段
        xcUser.setPassword(null);
        //此处转换成JSON对象的目的是,下面用user.withUserName的方法加入的信息太少
//        而此时已经校验过了用户的身份,所以将xcuser转换为json格式,保留全部的信息
        String userJson = JSON.toJSONString(xcUser);
        //因为要返回UserDetails类的对象,而这个类的对象创建起来十分麻烦,所以调用工具类创建
        UserDetails build = User.withUsername(userJson).password(password).authorities(authorities).build();

        return build;
    }

反向解析json:

6.网关统一鉴权做什么?

 

小林嘞
关注
专栏目录
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌。 重要信息:该库不会验证令牌,任何格式正确的JWT都可以解码。 您应该使用 , , 等在服务器端逻辑中验证令牌。 警告:从版本2升级到版本3 ,可能会有重大更改 如果您先前import * as jwt_decode from 'jwt-decode'将库import * as jwt_decode from 'jwt-decode'为import * as jwt_decode from 'jwt-decode' ,则必须更改导入, import jwt_decode from 'jwt-decode'; 。 赞助 如果你想安全的基于令牌的认证快速添加到您JavaScript项目,随时检查Auth0JavaScript SDK和自由计划 安装 使用NPM或Yarn安装。 运行npm in
网关与Jwt令牌.doc
10-16
基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: • 用户使用用户名密码来请求服务器 • 服务器进行验证用户的信息 • 服务器通过验证发送给用户一个token • 客户端存储token,并在每次请求时附送上这个token值 • 服务端验证token值,并返回数据
JWT令牌详细解读
。。。。
07-05 2995
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 6530
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT令牌技术
不能再留遗憾了的博客
03-10 1182
JWT令牌技术实现用户登录信息的验证
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 安装 您可以克隆此存储库并手动构建它。 cd jwthelper docker build -t fonoster/jwthelper:%%VERSION%% . 否则,您可以从泊坞窗索引中拉出该映像。 docker pull fonoster/jwthelper:latest:%%VERSION%% 使用范例 以下是使用此图像的最小示例。 sudo docker run -it \ -v $( pwd ) :/home/fonos/access \ -e PRINT_ACCESS_INFO=
JWT令牌的介绍
快乐学习
08-22 2736
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
JWT介绍及JWT令牌结构详解
学亮编程手记
08-03 773
是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。官网:1、jwt基于json,非常方便解析。2、可以在令牌中自定义丰富的内容,易扩展。3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。4、资源服务使用JWT可不依赖认证服务即可完成授权。1、JWT令牌较长,占存储空间比较大。
三、JWT(JSON Web Tokens)令牌(token)
HiDaJing
03-18 3730
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 Owin承载JWT插件等方式验证服务器端
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
jwt-token-verifier 验证JWT令牌OpenID提供程序
.NET Core 生成JWT令牌源码
最新发布
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
JWT令牌 JWT概述和简单使用
guohao_Kwok的博客
04-24 7056
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
jwt(token令牌管理机制)
weixin_52361952的博客
08-02 369
jwt(token令牌管理机制)
JWT令牌技术快速入门
2301_79024228的博客
07-12 1632
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
JWT令牌技术(详解)
m0_63144319的博客
06-23 812
JWT令牌技术
10分钟了解JWT令牌 (JSON Web)
Climbman的博客
10-29 539
Base64中用的三个字符是”+“,”/“和”=“,由于在URL中有特殊含义,因此Base64URL中对他们做了替换:”=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法,很简单把。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
OAuth和jwt令牌
04-24
OAuth(开放授权)是一种用于授权访问第三方应用程序的放标准。它允许用户通过授权服务器授权第三方应用程序访问其受保护的资源,而无需将其凭据直接提供给第三方应用程序。OAuth的工作流程通常涉及三个主要角色:资源所有者(用户)、客户端应用程序(第三方应用程序)和授权服务器。 JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。JWT通常用作身份验证和授权的令牌。它由三个部分组成:头部、载荷和签名。头部包含描述令牌类型和签名算法的元数据,载荷包含有关主题(用户)和其他声明的信息,签名用于验证令牌的完整性。 OAuth和JWT令牌在身份验证和授权方面有所不同。OAuth主要用于授权访问第三方应用程序,而JWT令牌则用于在各方之间传输信息并进行身份验证。OAuth通过授权服务器颁发访问令牌,而JWT令牌则是由发行者签名并可被验证的令牌

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值