jwt使用详细讲解

最新推荐文章于 2024-05-11 15:03:04 发布
最新推荐文章于 2024-05-11 15:03:04 发布
阅读量675 收藏 4
点赞数
分类专栏: java后端系列 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42075258/article/details/117621371
版权

-JWT 实战教程

1.什么是jwt

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。

通俗的解释
jwt 简称json web token 也就是通过json 形式作为web 应用中的令牌,用于在各方面之间安全的将信息作json 对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

2.jwt 能做什么

•授权:这是使用JWT的最常见方案。用户登录后,每个后续请求都将包含JWT,从而允许该用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,这是因为它的开销很小并且易于在不同域中使用。
•信息交换:JSON Web令牌是在各方之间安全地传输信息的一种好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改

基于传统的Session登入

每次登入都会创建一个session,发送给客户端一个cookie保存对应sessionid,用来解决http无状态的基础上保存用户会话信息的问题。

基于session认证显露出来的问题:

性能:
每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大,与REST风格不匹配。因为它在一个无状态协议里注入了状态。

扩展性:
用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

网络安全:
CSRF(跨站伪造请求攻击)攻击:因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

跨平台:
在移动应用上 session 和 cookie 很难行通,你无法与移动终端共享服务器创建的 session 和 cookie。

基于jwt认证

2021-02-05 20.26.22.png"

JWT组成

x.y.z:
x:header ,y:payload ,z:signature . 使用Base64编码组成jwt三部分

先来看一张JWT的信息的截图:

img

从上图可以看到,JWT含有三部分:头部(header)、载荷(payload)、签名(signature)。

  1. 头部(header)

JWT的头部有两部分信息:

  • 声明类型(type),这里是JWT
  • 声明加密的算法(algorithm),通常直接使用HMAC SHA256 、RSA

头部示例如下:

{
  "alg": "HS256",
  "typ": "JWT"
}

头部一般使用base64加密,加密后密文:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

  1. 载荷(payload)

该部分一般存放一些有效的信息。JWT的标准定义包含五个字段:

  • iss:该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的

载荷示例如下:

{
  "sub": "1234567890",
  "name": "Java碎碎念",
  "iat": 1516239022
}
  1. 签名(signature)

前面两部分都是使用Base64进行编码的,即前端可以解开知道里面的信息。signature 需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。因此在不知道密钥的话服务器加密得出来的签名也就是不一样的。(header+payload+secret).HS256=signature

三个部分通过.连接在一起就是我们的 JWT 了,所以我们生成的JWT如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphdmHnoo7noo7lv7UiLCJpYXQiOjE1MTYyMzkwMjJ9.LLJIkhJs6SVYlzn3n8fThQmhGutjTDI3RURTLtHV4ls

注意⚠️:payload中不要放密码等敏感信息,因为信息jwt被截取了使用Base64 decode 就可以把密码解出。

3.jwt使用

#1.引入依赖

<!--引入jwt-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

#2.生成token(encoded)

Calendar instance =Calendar.getInstance();
try {
   
    Algorithm algorithm = Algorithm.HMAC256("secret!!");//设置签名,保密复杂
    String token = JWT.create()
      	.withClaim("username","张三")//设置自定义用户名
      	.withExpiresAt(instance.getTime())//设置过期时间
        .withIssuer("auth0")  //指定发行人
        .sign(algorithm);
} catch (JWTCreationException exception){
   
    //Invalid Signing configuration / Couldn't convert Claims.
}

#3.解码token(decoded)

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXUyJ9.eyJpc3MiOiJhdXRoMCJ9.AbIJTDMFc7yUa5MhvcP03nJPyCPzZtQcGEp-zWfOkEE";
try {
   
    Algorithm algorithm = Algorithm.HMAC256("secret!!");
    JWTVerifier verifier = JWT.require(algorithm)
        .withIssuer
最低0.47元/天 解锁文章
啥都会一点
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JWT Token实现方法及步骤详解
09-07
4. 使用 `JwtHelper.encode()` 方法,传入 payload 和 Signer,生成 JWT。 5. 将生成的 JWT 发送给客户端存储。 6. 在客户端,将 JWT 附带在每个需要认证的 API 请求的 Authorization 头部。 7. 服务器端收到请求后...
为什么Spring Security认证中自定义的JWT过滤器对无token的请求要放行呢?
m0_59483413的博客
02-10 995
为什么Spring Security认证中自定义的JWT过滤器对无token的请求要放行呢?
SpringBoot使用Security和JWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3305
springboot的文件上传总结,仅供学习
JWT生成RSA密钥文档
最新发布
qingcyb的博客
05-11 295
执行命令,生成pdm.jks证书。-storepass:密钥库的访问密码。进入jwt文件夹,输入cmd,如图。-keyalg:使用的hash算法。-keypass:密钥的访问密码。-keystore:密钥库文件名。输入上面命令,再输入密钥库口令。-alias:密钥的别名。输入密钥库口令:xxx。
JWT使用
m0_60385807的博客
11-17 6228
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt的介绍 1、jwt是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2、为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3、JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Ad
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 9077
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4531
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Security、jwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证码
使用JJWT库的Java JWT令牌教程
04-11
总的来说,本教程的"Java-JWT-Token-Tutorial-using-JJWT-Library.pdf"应该会详细讲解这些概念,并提供实践示例。"jwttest.zip"可能包含了一个演示项目,让你能够亲手实践JWT的创建和验证过程。通过学习这些内容,你...
Spring面试题详细讲解
12-24
Spring面试题详细讲解 Spring 是什么? Spring 是一个轻量级的 IoC 和 AOP 容器框架。是为 Java 应用程序提供基础性服务的框架,目的是简化应用程序的开发主要由以下几个模块组成:Spring Core:核心类库,提供 ...
JWT授权鉴权--相当nice
08-14
Richard老师可能讲解JWT的创建、验证流程,以及如何利用JWT实现用户登录状态的持久化。 JWT由三个部分组成,用`.`分隔: 1. 头部(Header):通常包含了两个信息,JWT的类型("typ",通常是"JWT")和签名算法(...
node-jwt:使用jsonwebtoken和node js的JWT实现
05-16
**详细知识点讲解:** 1. **JSON Web Tokens (JWT)**: JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。每个JWT由三部分组成:头部、负载...
CRM——验证码(JWT技术)、接口资源鉴权
DOVISSSS的博客
08-31 1340
验证码(JWT技术)、接口资源鉴权
JWT小程序登录的使用,基于Spring
weixin_37571795的博客
10-20 1367
JWT JSON Web Token(JWT)是一种跨域身份验证解决方案。 最早的时候我写的安全验证都是基于session 的,后来做的一个分布式项目直接用redis做安全验证了。 最近的项目是小程序。 因为小程序本身的关系,用session的话会导致小程序挂起一阵子不理后可能会导致失效,虽然可以改造seasion的时间或者写一些监听事件。但是怪麻烦。 而且本身体积比较小,redis也是要基于时间...
JWT整理
qq_44017091的博客
06-25 471
1.标头(header) 2.有效载荷(Payload) 3.签名(signature)header 标头通常是由两部分组成:令牌的类型(jwt)和所使用的签名算法,例如 HMAC SHA256或RSA 它会使用BASE64 编码组成jwt结构的第一部分 // base64是一种编码,可以被翻译回成原来的样子。并不是一种加密过程 { “alg” : “HS256”, “typ”:“JWT” } base64对json数据进行的编码payload –令牌的第二部分是有效负载,其中包含声明,声明是有关实体(通常
jwt使用详解
u013029883的博客
08-10 1874
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
JWT入门详解
weixin_57504000的博客
05-16 3944
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
JWT的基本使用
weixin_45081813的博客
03-04 1万+
什么是JWT
JWT使用详解
snow_love_xia的博客
03-04 2761
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
JWT全面解读、使用步骤
热门推荐
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
详细讲解Springboot使用token
04-27
Springboot使用token实现用户认证可以通过以下步骤实现: 1. 在Springboot应用程序中引入Spring Security依赖,以便...实现以上步骤后,您的Springboot应用程序将使用JWT令牌进行用户认证,并允许访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值