jwt

最新推荐文章于 2024-06-26 22:36:00 发布
最新推荐文章于 2024-06-26 22:36:00 发布
阅读量156 收藏
点赞数
分类专栏: 工作笔记 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43839457/article/details/88907410
版权

为什么使用JWT?
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。项目为了实现前后端分离。开始采用jwt技术,同时这样也可以减轻服务端压力,服务器无需存储存储。

了解一下JWT的组成
一个jwt实际上就是一个字符串,它由三部分组成,头部、载荷与签名,这三个部分都是json格式。

在这里插入图片描述
3部分之间用“.”号做分隔。例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  1. JWT头
    JWT头
    JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。
    {
    “alg”: “HS256”,
    “typ”: “JWT”
    }
    在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。
    最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

  2. 有效载荷
    有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
    iss:发行人
    exp:到期时间
    sub:主题
    aud:用户
    nbf:在此之前不可用
    iat:发布时间
    jti:JWT ID用于标识该JWT
    除以上默认字段外,我们还可以自定义私有字段,如下例:
    {
    “sub”: “1234567890”,
    “name”: “chongchong”,
    “admin”: true
    }
    请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
    JSON对象也使用Base64 URL算法转换为字符串保存。

  3. 签名哈希
    签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
    首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
    HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret)
    在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。

代码实现

  1. jwt maven依赖

    <dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

  2. JWTUtil 用于生成token,解析token

public class JWTUtil {

	private static SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS512;

	private static Key getSecretKey(String key) {
		return new SecretKeySpec(key.getBytes(), signatureAlgorithm.getJcaName());
	}

	//生成token
	public static String createJsonWebToken(UserToken userToken, String key) {
		String token = Jwts.builder()
				.setSubject(userToken.getId().toString())
				.claim("name", userToken.getName())
				.claim("role", userToken.getRole().toString())
				.claim("orgId", userToken.getOrgId().toString())
				.claim("userName", userToken.getUserName())
				.signWith(signatureAlgorithm, getSecretKey(key)).compact();
		return token;
	}
	
	//解析token
	public static UserToken parseAndValidate(String token, String key) {
		UserToken authTokenDetails = null;
		try {
			Claims claims = Jwts.parser().setSigningKey(getSecretKey(key)).parseClaimsJws(token).getBody();
			String userId = claims.getSubject();
			String name = (String) claims.get("name");
			String roleNames = (String) claims.get("role");
			String orgId = (String) claims.get("orgId");
			authTokenDetails = new UserToken();
			authTokenDetails.setId(Long.valueOf(userId));
			authTokenDetails.setName(name);
			authTokenDetails.setRole(Role.valueOf(roleNames));
			authTokenDetails.setOrgId(Long.valueOf(orgId));
		} catch (JwtException ex) {
			log.error("TOKEN解析异常###key->{}, token->{}", key, token);
			log.error(ex.getMessage(), ex);
		}
		return authTokenDetails;
	}
}
  1. 添加使用jwt认证的filter
@AllArgsConstructor
public class JWTAuthenticationFilter extends GenericFilterBean {

    private static final String HEADER_STRING = "Authorization";// 存放Token的Header Key
    
    private String jwtKey;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        if (!((HttpServletRequest) request).getRequestURI().startsWith("/manage/")) {
            String token = ((HttpServletRequest) request).getHeader(HEADER_STRING);
            if (StringUtils.isBlank(token)) {
                token =  request.getParameter("token");
            }
            if (StringUtils.isNotEmpty(token)) {
                UserToken userToken = JWTUtil.parseAndValidate(token, jwtKey);
                if (userToken != null) {
                    // 得到 权限(角色)
                    List<GrantedAuthority> authorities = AuthorityUtils
                            .commaSeparatedStringToAuthorityList("ROLE_" + userToken.getRole().toString());
                    Authentication authentication = new UsernamePasswordAuthenticationToken(userToken.getId(), null,
                            authorities);
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                    UserContext.setUser(userToken);
           	   }
            }
        }
        chain.doFilter(request, response);
    }
}
  1. 补充代码
    Role:
@AllArgsConstructor
@Getter
public enum Role {

	ADMIN("管理员",""),
	
	private String name;

	private String appname;
	
	private static Map<String, String> RoleMap = new HashMap<>();
	
	static {
		for (Role role : values()) {
			RoleMap.put(role.toString(), role.name);
		}
	}

	public static Map<String, String> getMap() {
		return RoleMap;
	}
}

UserToken:

@Getter
@Setter
public class UserToken {

	private Long id;
	private String name;
	private Role role;
	private LocalDate expireDate;
	private Long orgId;
	private String userName;
	private Long clazzId;

}
瘦_猴
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
Vue+elementui+JWT+AOP+回车键+token自动续期 实现登录功能
jq1223的博客
03-09 973
功能介绍:登录成功后,用户页面1分钟无操作返回登录页面,包括新增等按钮 效果: vue登录 首先导jar包: <!-- jwt jar 包--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
JWT详解
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT和Token之间的区别
分享思想,留下痕迹。
11-24 14万+
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉✨特色专栏:🥭本文内容:JWT和Token之间的区别,欢迎大家访问📚个人知识库:,欢迎大家访问。
Jwt
weixin_45174537的博客
09-06 1658
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 2. JWT的工作原理 1、是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:...
JWT产生和验证Token
热门推荐
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
JWT鉴权
wdy00000的博客
04-25 1982
文章目录一、什么是JWT二、JWT能做什么三、JWT介绍以及和传统Session的区别1)基于传统的Session认证2)基于JWT认证四、JWT的构成和认证流程五、JWT的优缺点 一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a
JWT
xiaochao_bos的博客
01-07 4695
JWT   前段时间我也简单的用了一下JWT,感觉它很废(个人观点),why?,下面是我整合其他人的一些观点。   声明 本文内容的作用范围仅限 Web 应用。 词汇定义 无状态 JWTJWT 中存储所有认证授权信息,服务端不存储任何相关数据。 有状态 JWTJWT 中存储认证授权信息的 ID,具体数据存储在服务端。 Session / Cookie :有几种实现形式: 签
JWT 认证机制
最新发布
m0_54007573的博客
06-26 1099
JWT 认证机制
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWT(JSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
thinkphp+jwt实现前后端分离
03-15
本项目是基于Thinkphp6框架和JWT(Json Web Token)技术实现的前后端分离示例,旨在帮助开发者理解如何在实际项目中运用这两种技术。 **Thinkphp6** 是一个轻量级、高性能的PHP框架,具有良好的模块化设计,支持MVC...
nexus-3.16.2-01 cmd启动报错“Could not start service. Error code: 1060”
weixin_43839457的博客
06-25 3907
进入到nexus的bin目录 “nexus /start” 执行会出现“Could not start service. Error code: 1060”,这是因为nexus版本造成的启动命令不一样,改为“nexus /run”就可以正常启动了 ...
sql 以某个字段升序排序排除0
weixin_43839457的博客
06-15 1741
今天遇到这样一个问题,数据初始化时排序字段为0,但是产品需求是排序字段升序排列,但是排序字段为0又想在最后进行展示。那我就只能修改之前sql了。 先展示最初sql写法: SELECT pd.id AS "detailId", pd.title, IFNUll(pd.brief_cont,'') AS briefCont, pd.content, case when (pd.content is not null AND pd.show_type='1') then nu
Maven编译报错 Unknown lifecycle phase "mvn" 解决办法
weixin_43839457的博客
06-27 1076
今天打包项目出现以下错误: [ERROR] Unknown lifecycle phase “mvn”. You must specify a valid lifecycle phase or a goal in the format : or :[:]:. Available lifecycle phases are: validate, initialize, generate-sources...
ERR Client sent AUTH, but no password is set
weixin_43839457的博客
11-13 432
今天项目中尝试添加redisson依赖,一些配置添加完成之后项目启动,就会出现这样“ERR Client sent AUTH, but no password is set… Unable to connect to Redis server”等一连串错误。我已经设置了redis密码,并且redis已经正常启动。那到底是什么原因呢? 尝试cmd启动redis试试,看看会是什么效果呢? 于是怀...
SpringBoot整合JWT实战指南
"在SpringBoot应用中使用JWT的实践指南" 在现代Web开发中,安全性是至关重要的,尤其是在构建RESTful API时。JSON Web Token(JWT)作为一种轻量级的身份验证机制,被广泛应用于SpringBoot项目中。JWT允许在不存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值