JWT基础学习

最新推荐文章于 2023-03-24 17:52:53 发布
最新推荐文章于 2023-03-24 17:52:53 发布
阅读量338 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43762820/article/details/112983833
版权
JWT(JavaWebToken)是一种基于JSON的标准,常用于授权和信息交换。它包含头部、载荷和签名三部分,允许跨语言支持,减少数据库查询并适用于分布式微服务。JWT的安全性依赖于签名,但不应包含敏感信息。本文介绍了JWT的基本结构、生成与验证过程,并提供了Java实现示例。
摘要由CSDN通过智能技术生成

JWT介绍

JWT(Java Web Token) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。JWT一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该Token也可直接被用于认证,也可被加密。

JWT能做什么?

  • Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
  • Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。

优势

  1. 基于JWT的认证方式,由于Json的通用性,所以JWT是可以进行跨语言支持。

  2. JWT构成十分简洁,数据量小,传输速度很快。

  3. 载荷Payload中包含了所有用户需要的信息,可以避免多次查询数据库。

  4. 基于JWT的认证方式不需要在服务器端保存会话信息,特别适用于分布式微服务。

结构

一个jwt包含3个部分:头部header,载荷payload,签名signature。

头部header用于声明token类型和加密算法,payload载荷用于传递信息的载体,常用的有iss(签发者)、iat(签发时间)、exp(过期时间)、sub(面向的用户)、aud(接收方)等;签名signature用于将头部header和载荷payload编码后的字符串拼接后再用签名算法加密,加密过程中再加上密钥最终得到签名。

Header

头部通常由两部分组成:令牌类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。使用Base64编码

{
  "alg":"HS256",
  "typ":"JWT"
}

Payload

有效负载,其中包含声明,声明是有关实体(例如用户)和其他数据的声明。同样也是由Base64编码组成

{
  "sub":"123456",
  "name":"John",
  "admin":true 
}

Signature

前面两个部分是由Base64编码的,前端可以通过解码拿到里面的信息。Signature需要使用编码后的header和payload以及密钥,使用Header中指定的签名算法进行签名。签名的作用是保证JWT没有被篡改过。

HMACSHA256(base64UrlEncode(header) + "."+ base64UrlEncode(payload).secret);

安全问题

Base64是一种编码,是可逆的,我们的信息不就暴露了吗?

是的,所以在JWT中,不应该在负载里面加入任何敏感数据,例如用户密码。

JWT的第一个程序

引入依赖

<!-- 引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.12.0</version>
</dependency>

生成token

HashMap<String,Object> map = new HashMap();

Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND,20);

String token = JWT.create().withHeader(map)//header
  .withClaim("UserId",21)//payload
  .withClaim("UserName","csy")
  .withExpiresAt(instance.getTime())//指定令牌过期时间
  .sign(Algorithm.HMAC256("DFSHJSUI"));//签名

System.out.println(token);

根据令牌和签名解析数据

//验签
//创建验证对象
JWTVerifier jwtVerifier  = JWT.require(Algorithm.HMAC256("DFSHJSUI")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
System.out.println(decodedJWT.getClaim("UserId").asInt());

封装工具类

public class JWTUtils {

    private static final String SIGNATURE = "YUVUSY&*#&("; //  签名

    /*
        生成token
    * */
    public static String getToken(Map<String,String> map){

        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7); //默认7天过期

        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();

        //payload
        map.forEach(builder::withClaim);

        String token = builder.withExpiresAt(instance.getTime()).sign(Algorithm.HMAC256(SIGNATURE));
        return token;
    }

    /*
        验证token合法性
    * */
    public static void verify(String token){
         JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
    }

    /*
        获取token信息
    * */
    public static DecodedJWT getTokenInfo(String token){
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
        return verify;
    }
}
陈朔怡
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
thinkphp+jwt实现前后端分离
03-15
在现代Web开发中,前后端分离是一种常见的架构模式,它提高了开发效率,增强了系统的可维护性和可扩展性。...通过学习和研究这个项目,开发者可以提升自己的技能,为构建高效、安全的Web应用打下坚实的基础
spring boot 整合JWT+shiro
10-09
首先,我们需要了解`Spring Boot`的基础。`Spring Boot`是基于`Spring Framework`构建的快速开发工具,它简化了配置,提供了自动配置和起步依赖等功能,使得开发者可以更快地创建独立的、生产级别的基于`Spring`的...
JWT 实战教程_jwt_
10-01
jwt是什么,如何在springboot中整合jwt
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4267
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT (Json Web Token)教程
qingfeng2556的博客
07-06 177
原理https://www.jdon.com/artichect/json-web-tokens.html例子https://blog.csdn.net/u012240455/article/details/79019825
JWT入门教程
songjuntao8的专栏
09-11 326
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 ses
WebApiDemo(net6+swagger+jwt)
05-31
在WebApiDemo项目中,选择.NET 6作为基础框架,意味着你可以利用其高性能、模块化和现代开发特性来构建高效的服务。 Swagger,又称为OpenAPI Specification,是一种规范,用于描述RESTful API。在WebApiDemo中,...
auth-jwt:一个通过逆向工程学习JWT的演示
02-05
通过逆向工程学习JWT的演示如何使用它转到的(或在您的本地计算机上运行它:clone > npm install-> npm start) 玩转配置阅读每页的提示,获得更多资源,以深入了解概念文献资料如果您想扩展代码以获得更多功能,...
jwt开发源码--入门级参考
09-22
总的来说,这份"jwt开发源码--入门级参考"资料应该包含了jjwt库的基本使用示例和JWT协议的基础知识,对于初学者来说是很好的学习起点。通过阅读源码和实践,开发者可以深入理解JWT的工作原理,并在实际项目中灵活...
JWT学习教程
weixin_45773632的博客
03-02 409
文章目录1. 简介2. JWT的使用场景 1. 简介 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。 JWT定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。 JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。 JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。 JWT 常用于代替
jwt教程学习
QQwli的博客
05-26 693
JWT 1、什么是JWT 官网:https://jwt.io/ 学习资料:https://baobao555.tech/archives/40 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于作为JSON对象在各方之间安全地传输信息。可以验证和信任该信息,因为它是数字签名的。jwt可以使用一个秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 简单来说,就是通过JSON形式作为Web应用中的令牌,用于在各方面之间安全的将
JWT 实战教程】
学习的流浪者
01-28 3558
编程不良人-JWT实战教程
JWT实战教程
weixin_43924444的博客
01-19 247
​ —[摘自官网]# 1. 翻译 - 官网地址 : https : / / jwt . io / introduction / - 翻译 : jsonwebtoken( JWT )是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以 JSON 对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥 / 私钥对进行签名。
JWT基础教程
我有故人折剑去,斩尽春风不曾归
03-24 569
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
JWT(Json Web Token)框架 jjwt 教程
zhuzj12345的博客
11-21 3335
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替换了 SessionId 的资源访问和状态的保持。基于JWT的Token认证的方式有很多优点,本文将介绍 JJWT 的相关用法。 jwt是什么? JWTs是JSON对象...
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
热门推荐
小爽帅到拖网速的博客
03-30 1万+
JWT 1、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
springboot shiro jwt vue
最新发布
01-30
Spring Boot是一个用于创建独立的、基于生产级别的Spring应用程序的框架。它简化了Spring应用程序的配置和部署过程,并提供了许多开箱即用的功能,如自动配置、嵌入式服务器和监控等。 Shiro是一个功能强大且灵活的开源安全框架,用于处理身份验证、授权、企业会话管理和加密等安全相关的功能。它提供了易于使用的API和丰富的功能,可以轻松地集成到Spring Boot应用程序中。 JWT(JSON Web Token)是一种用于在网络应用间传递声明的安全传输方式。它由三部分组成:头部、载荷和签名。在Spring Boot应用程序中,可以使用JWT来实现无状态的身份验证和授权机制。 Vue是一种用于构建用户界面的渐进式JavaScript框架。它易于学习和使用,并且可以与Spring Boot、Shiro和JWT等后端技术进行无缝集成。Vue提供了丰富的组件和工具,可以帮助开发人员构建交互性强、响应式的Web应用程序。 综上所述,Spring Boot、Shiro、JWT和Vue可以一起使用来构建一个安全、高效的前后端分离应用程序。Spring Boot提供了后端的基础框架和功能,Shiro提供了安全相关的功能,JWT用于实现无状态的身份验证和授权,而Vue用于构建用户界面。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值