JWT-认证

最新推荐文章于 2023-09-02 09:17:51 发布
最新推荐文章于 2023-09-02 09:17:51 发布
阅读量95 收藏
点赞数
分类专栏: Vue前端框架 文章标签: vue shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44141393/article/details/117093281
版权
本文深入探讨了JSON Web Token (JWT) 的工作原理,包括它的四个阶段,以及它在身份验证、跨域访问、无状态性和性能优化等方面的优势。通过实例展示了如何使用jjwt库创建和解析JWT,以及如何存储自定义信息。JWT作为现代Web应用的身份验证机制,简化了前后端分离的场景下用户信息的传递。
摘要由CSDN通过智能技术生成

JWT

4阶段的知识, JSON WEB TOEKN , json是指类型, 是个字符串, web 用于web请求, token就是令牌! 身份证!

什么时候出现的这个?? 登录成功 后! 发送到你的浏览器, 你可以自己定义存在什么地方!然后每次发送后台请求的时候, 在请求头中携带着token传到后端!后端解析token,拿到用户信息!

jwt进行token auth 认证! 取消 账号密码明文的认证方式!

前后端分离! cookie 是无法获取到后端的session信息! 那么我们后端如何获取用户登录后的信息?

JWT有什么好处?

1、支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.

2、无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.

4、更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可.(居于前面两点得出这个更适用于CDN内容分发网络)

5、去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.(这个似乎也在继续说前面第一点和第二点的好处。。。)

6、更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。

7、CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。(如果token是用cookie保存,CSRF还是需要考虑,一般建议使用1、在HTTP请求中以参数的形式加入一个服务器端产生的token。或者2.放入http请求头中也就是一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中)
ps:后面会推出一些常见的网络安全的处理

8、性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多.

9、不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理.(知识面太窄,不是太明白这个的意思)

10、基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).

快速入门

1.token的创建

(1)创建maven工程,引入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

(2)创建类CreateJwtTest,用于生成token

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * @author: mayuhang  <br/>
 * Date: 2021/4/29:1:45  <br/>
 * Description:
 */
public class CreateJwtTest {
        public static void main(String[] args) {
            JwtBuilder builder= Jwts.builder().setId("888")
                    .setSubject("管理员")
                    .setIssuedAt(new Date())
                    .signWith(SignatureAlgorithm.HS256,"woniuxy");
            System.out.println( builder.compact() );
        }
}

(3)测试运行,输出如下:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLnrqHnkIblkZgiLCJpYXQiOjE2MTk2MzIwMzJ9.5de6yHqZn7SMBduX9Xxu04w4WfREjyRLp5e9iqzSnjE

2.token的解析

我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token 应该解析出token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。
创建ParseJwtTest

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

import java.io.UnsupportedEncodingException;

/**
 * @author: mayuhang  <br/>
 * Date: 2021/4/29:1:48  <br/>
 * Description:
 */
public class ParseJwtTest {
    public static void main(String[] args) {
        String token="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJBRE1JTiIsImlhdCI6MTYxOTYzMjQ3NH0.-TJRtXOjhjoU1oD7Y1VLAp2dSQeaVK7aBzRj0ZtTfPw";
        Claims claims =
                Jwts.parser().setSigningKey("woniuxy").parseClaimsJws(token).getBody();
        System.out.println("id:"+claims.getId());
        System.out.println("subject:"+claims.getSubject());
        System.out.println("IssuedAt:"+claims.getIssuedAt());
    }
}

3.自定义claims

我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims
(1) 创建CreateJwtTest3,并存储指定的内容

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * @author: mayuhang  <br/>
 * Date: 2021/4/29:1:45  <br/>
 * Description:
 */
public class CreateJwtTest {
        public static void main(String[] args) {
            //为了方便测试,我们将过期时间设置为1分钟
            long now = System.currentTimeMillis();//当前时间
            long exp = now + 1000*60;//过期时间为1分钟
            JwtBuilder builder= Jwts.builder().setId("888")
                    .setSubject("ADMIN")
                    .setIssuedAt(new Date())
                    .signWith(SignatureAlgorithm.HS256,"woniuxy")
                    .setExpiration(new Date(exp))
                    .claim("roles","admin") //自定义claims存储数据
                    .claim("logo","logo.png");;
            System.out.println( builder.compact() );
        }
}

(2) 解析

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

import java.io.UnsupportedEncodingException;
import java.text.SimpleDateFormat;
import java.util.Date;

/**
 * @author: mayuhang  <br/>
 * Date: 2021/4/29:1:48  <br/>
 * Description:
 */
public class ParseJwtTest {
    public static void main(String[] args) {
        String token="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJBRE1JTiIsImlhdCI6MTYxOTYzMjg1NSwiZXhwIjoxNjE5NjMyOTE1LCJyb2xlcyI6ImFkbWluIiwibG9nbyI6ImxvZ28ucG5nIn0.D5SFUTBzCvGKp6MECT4-L3pIvU0Umnm__tm-zPSrf1U"; 
        Claims claims =
                Jwts.parser().setSigningKey("woniuxy").parseClaimsJws(token).getBody();
        System.out.println("id:"+claims.getId());
        System.out.println("subject:"+claims.getSubject());
        System.out.println("IssuedAt:"+claims.getIssuedAt());
        System.out.println("roles:"+claims.get("roles"));
        System.out.println("logo:"+claims.get("logo"));
        SimpleDateFormat sdf=new SimpleDateFormat("yyyy-MM-dd hh:mm:ss");
        System.out.println("签发时间:"+sdf.format(claims.getIssuedAt()));
        System.out.println("过期时间:"+sdf.format(claims.getExpiration()));
        System.out.println("当前时间:"+sdf.format(new Date()) );
    }
}
程十肆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
NodeJS-JWT-认证测试
02-13
在本文中,我们将深入探讨Node.js中JSON Web Token(JWT)...通过以上步骤,我们可以确保Node.js应用中的JWT认证系统运行良好,提供了安全的身份验证和授权功能。同时,通过详尽的测试,可以提高系统的稳定性和安全性。
SpringCloud(15) JWT生成密钥证书jwt.jks
郑清
06-13 4775
SpringCloud JWT Keytool生成密钥证书jwt.jks & 获取jks文件的公钥
JWT认证与IdentityServer4的理解和定义
最新发布
mc_ChenF_B的博客
09-02 674
它基于OAuth2.0和OpenID Connect标准实现,支持多种认证方式,例如:用户名/密码、社交媒体登录、外部身份提供方等。虽然JWT和IdentityServer4都用于身份认证和授权,但它们的应用场景和功能不同。而IdentityServer4更适合于多应用场景,例如,公司内部多应用系统集成、跨组织身份认证等。JWT具有轻便、可扩展、方便传输等优点,被广泛应用于网络身份认证和授权中。JWT认证和IdentityServer4都是用于身份认证和授权的工具。
IdentityServer4之JWT签名(RSA加密证书)及验签
weixin_34395205的博客
10-29 495
一、前言 在IdentityServer4中有两种令牌,一个是JWT和Reference Token,在IDS4中默认用的是JWT,那么这两者有什么区别呢? 二、JWT与Reference Token的区别 1、JWT(不可撤回)     JWT是一个非常轻巧的规范,一般被用来在身份提供者和服务提供者间传递安全可靠的信息。JWT令牌是一个自包...
cookie、session、token的区别和相似点,JWT和数字签名以及签名证书的了解
weixin_54515240的博客
03-10 1817
浅谈cookie、session、token的相似与不同之处,并且对于了解过程中产生的一些疑问进行解答,例如:token为什么会更安全?为什么哈希值不可逆?什么是对称和非对称加密,数字签名是如何保证安全性的等等问题的探究
详解Go-JWT-RESTful身份认证教程
09-18
Go语言中实现JWT认证的过程通常包含生成Token和验证Token两个步骤。开发者首先需要使用一个包来生成JWT,这可以通过安装第三方的JWT库来实现,比如常用的`jwt-go`库。当一个用户成功登录系统后,系统会生成一个JWT,...
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌...赞助 如果你想安全的基于令牌的认证快速添加到您JavaScript项目,随时检查Auth0JavaScript SDK和自由计划安装 使用NPM或Yarn安装。 运行npm in
jwt-demo.zip
09-01
通过这个示例项目,开发者可以学习如何在Java应用中集成JWT,了解JWT的工作原理,以及如何安全地存储和传递用户认证信息。同时,它也展示了如何在实际项目中实现JWT的生命周期管理,包括签发、验证和刷新等操作。
jwt-decode.js
06-16
JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,广泛应用于Web应用、API接口的安全认证jwt-decode.js是一个JavaScript库,专门用于解析和解码JWT令牌,它可以帮助开发者在前端或后端轻松地处理JWT。在这...
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8504
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT认证实现
qq_36636312的博客
12-07 4144
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
Java基于JWT的token认证
热门推荐
黑马程序员官方博客
07-30 3万+
一、背景引入 由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeion和cookie实现的。大致流程如下: 用户向服务器发送用户名和密码请求 用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中 服务器将sessionId回写到用户浏览器cookie中 用户以后的请求,都会鞋带cookie发...
JWT token认证
supertor的博客
02-26 470
什么是JSON Web Token JWT 是 Json Web Tokens 的缩写,与传统 Web 的 Cookies 或者 Session 方式的认证不同的是,JWT 是无状态的,服务器上不需要对 token 进行存储,也不需要和客户端保持连接。而 JWT 的 token 分3个部分,首先是头部 ,表明这是一个JWT,并指明加密方式,第二部分是负载,其中可以包含 账户名、ID、邮箱等用户信息...
如何设置Java Spring Boot JWT授权和认证
08-19 497
In the past month, I had a chance to implement JWT auth for a side project. I have previously worked with JWT in Ruby on Rails, but this was my first time in Spring. 在过去的一个月中,我有机会为辅助项目实现JWT auth。 我以前...
基于JWT的Token认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
kong 使用jwt RSA256证书
wsyyyyy的博客
01-30 4410
1  为用户创建JWT RSA256证书 利用postman工具发送restfull请求 请求地址:http://${konghost}:8001/consumers/${consumerId}/jwt 1.1 添加header内容  [{"key":"Content-Type","value":"application/x-www-form-urlencoded"}] 1.2  利用op...
Spring Security 整合JWT(四)
mengfch的博客
11-19 189
一、前言 本篇文章将讲述Spring Security 简单整合JWT 处理认证授权 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)https://blog.csdn.net/qq_38225558/article/details/101754743 Spring Security 自定义登录认证
JWT源码浅析(四层封装,有示意图)
あなたの可愛い41
04-21 810
1`JWT`在哪里使用了`defineProperty`,为什么要用? 2`jwt.sign`中竟然还有`callback`函数,何时会去调用呢? 3`JWT`的默认加密算法是什么? 4 `jwt.verify`如何验证`option`中的`jwtid`和`payload.jti`是否相等?(方便了`sessionid`的比对) 5`option`中的一些其他不常用的参数,比如`complete`。 6为什么`jws.createSign`可以使用回调函数? 7`jwa`如何使用正则提取需要的参
oauth2-jwt-server
04-30
OAuth2-JWT-Server是一个基于OAuth2.0和JSON Web Tokens(JWTs)的认证和授权解决方案。它提供了一种可扩展的方式来管理和保护API,允许定义用于访问API的权限范围和角色。OAuth2-JWT-Server授权服务器允许应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值