jwt ---- json web token

最新推荐文章于 2024-04-18 13:09:54 发布
最新推荐文章于 2024-04-18 13:09:54 发布
阅读量1.4k 收藏 2
点赞数
文章标签: json 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44235759/article/details/126790687
版权

文章目录

一、cookie与session

image-20220909123942091

image-20220909123947891

之后的请求都会携带cooKie和session

image-20220909123958390

二、为什么需要jwt

cookie 和 session的缺点

  • session都存储在服务端内存中
  • 集群环境中需要额外处理,ip_hash,分布式session…
  • Csrf: Cross-site request forgery, cookie被截获后可能发生跨站请求伪造
  • cookie的跨域(前后端分离)读写不方便

image-20220909222601960

三、jwt的实现方式

  • 官网: https://jwt.io/
  • Token: 令牌,字符串

3.1 java-jwt

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.2</version>
</dependency>

package com.zs.jwt;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.junit.Test;
import sun.misc.Cache;

import java.nio.charset.StandardCharsets;
import java.util.Calendar;

public class JavaJwtTest {

    //hmac256摘要算法,跟md5的区别是需要指定一个key(salt盐)
    String key = "123456abc";


    /**`在这里插入代码片`
     * 测试java-jwt生成token字符串
     */
    @Test
    public void testGenerateToken() {

        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND,60);

        // claim 声明
        JWTCreator.Builder builder = JWT.create()
                //payload的内容,由一个个的claim组成
                .withClaim("userId", 123)
                .withClaim("userName", "zs")
                .withClaim("url", "https://jwt.io/")
                .withExpiresAt(calendar.getTime());
        String token = builder.sign(Algorithm.HMAC256(key));
        System.out.println(token);
    }


    /**
     * 测试验证令牌
     */
    @Test
    public void testVerifyToken() {
        String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6InpzIiwiZXhwIjoxNjYyNzAwNjYzLCJ1c2VySWQiOjEyMywidXJsIjoiaHR0cHM6Ly9qd3QuaW8vIn0.lp7MhOEd7vPM5t4Rosk82PWHfLx1cGn1rG1ZakkDwt8";
        DecodedJWT verify = null;
        try {
            verify = JWT.require(Algorithm.HMAC256(key)).build().verify(token);
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            System.out.println("签名不一致");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            System.out.println("令牌过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            System.out.println("签名算法不匹配");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            System.out.println("payload不可用");
        } catch (Exception e) {
            e.printStackTrace();
            System.out.println("校验失败");
        }
        System.out.println(verify);

        if (verify != null) {
            //获取payload里面的聂鑫,注意类型,如果类型不一致,是获取不到的
            Integer userId = verify.getClaim("userId").asInt();
            String userName = verify.getClaim("userName").asString();
            String url = verify.getClaim("url").asString();

            System.out.println(userId);
            System.out.println(userName);
            System.out.println(url);
        }
    }

}

3.2 jjwt

<dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.9.1</version>
</dependency>

package com.zs.jwt;


import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.Test;

import java.util.Calendar;
import java.util.HashMap;

public class JJwtTest {

    //hmac256摘要算法,跟md5的区别是需要指定一个key(salt盐)
    String key = "123456abc";


    /**
     * 测试jjwt生成token字符串
     */
    @Test
    public void testGenerateToken() {
        //过期时间
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND,60*60);

        //创建payload的私有声明(根据特定的业务需要添加)
        HashMap<String, Object> claims = new HashMap<>();
        claims.put("userId",123);
        claims.put("userName","zs");
        claims.put("url","https://jwt.io/");

        JwtBuilder builder = Jwts.builder()
                .setClaims(claims)
                .setExpiration(calendar.getTime())
                //设置签名使用的签名算法和签名使用的秘钥
                .signWith(SignatureAlgorithm.HS256, key);
        String token = builder.compact();
        System.out.println(token);
    }




    /**
     * 测试验证令牌
     */
    @Test
    public void testVerifyToken() {
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6InpzIiwiZXhwIjoxNjYyNzA0NzEyLCJ1c2VySWQiOjEyMywidXJsIjoiaHR0cHM6Ly9qd3QuaW8vIn0.Nn1HXpdFAtwXLKMnF6mtLuE09IoPwSJ1x3Qxku0OFfU";
        Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        if (claims != null) {
            //获取payload里面的聂鑫,注意类型,如果类型不一致,是获取不到的
            Integer userId = claims.get("userId",Integer.class);
            String userName = claims.get("userName",String.class);
            String url = claims.get("url",String.class);

            System.out.println(userId);
            System.out.println(userName);
            System.out.println(url);
        }
    }
}

四、工具类封装

4.1 后端工具类

    <!--jwt依赖-->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.0</version>
    </dependency>

编写token工具类

package com.zs.jwt.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;

/**
 * JWT工具类
 */
public class JJwtUtil {

    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000  一个小时

    //设置秘钥明文
    public static final String JWT_KEY = "123456abc";


    public static String getUUID(){
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }

    //对秘钥加密
    public static SecretKey generalKey() {
        //base64编码
        byte[] encodedKey = Base64.getEncoder().encode(JJwtUtil.JWT_KEY.getBytes(StandardCharsets.UTF_8));
        //AES秘钥类型
        return new SecretKeySpec(encodedKey,"AES");
    }

    public static void main(String[] args) throws Exception {
        String jwt = createJWT("{zs666}");
        System.out.println(jwt);

        Claims claims = parseJWT(jwt);
        System.out.println(claims);
    }




    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
        return builder.compact();
    }
    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间
        return builder.compact();
    }


    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }



    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        if(ttlMillis==null){
            ttlMillis=JJwtUtil.JWT_TTL;
        }
        long nowMillis = System.currentTimeMillis();
        Date nowData = new Date(nowMillis);
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);

        return Jwts.builder()
                .setId(uuid)           //唯一的ID
                .setSubject(subject)        // 主题  可以是JSON数据
                .setIssuer("zs")            // 签发者
                .setIssuedAt(nowData)       // 签发时间
                .signWith(SignatureAlgorithm.HS256, generalKey()) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);    //过期时间
    }
}
悠闲的线程池
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jwt, json web token
while(True): print('adorable')
12-06 403
用于登录,session的替代品。
jwt(json web token)
prigilm的博客
11-04 431
Python之jwt(json web token) 一、什么是jwt 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 jwt全称json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间
JSON Web Tokens 官网和官方文档
你今天真好看呀
05-12 2002
官网:https://jwt.io/ 官方文档:https://jwt.io/introduction
JSON Web Token (JWT)
lizsy的博客
04-10 842
JSON Web Token (JWT) 是一种开放标准 (),我们常说的jwt token(令牌),其实就是按照jwt制定的标准生成的字符串令牌。
JWT的使用
m0_74295055的博客
04-18 159
JWT第一部分是header,header主要包含两个部分,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。JWT第二部分是payload,payload是token的详细内容,一般包括iss (发行者), exp (过期时间), sub(用户信息), aud (接收者),以及其他信息,详细介绍请参考官网,也可以包含自定义字段。
快速使用JWTJson Web Token
EpiphyllumLove的博客
08-10 339
本文章主要为了方便将工具类代码复制粘贴,快速开发,将JWT封装为工具类使用。
JSON Web Token
m0_54355172的博客
11-28 6667
JWT
3、JWT深入理解及实战
Java__EE小白成长之路
08-26 1229
JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可 以解析检验token
一个用于在c++ - Thalhammer/jwt-cpp中创建和验证json web令牌的头库
01-27
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在C++中,Thalhammer/jwt-cpp是一个...
REST2SQL11 基于jwt-go生成token与验证
03-08
在本主题中,我们将深入探讨如何使用`jwt-go`库在Go语言中生成和验证JSON Web Tokens(JWT),这是RESTful API设计中的一个重要组件。JWT是一种轻量级的身份验证机制,用于安全地传递信息,而无需在服务器之间共享...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
JWTJSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 在身份验证和授权场景中...
JWT-Json Web Token-目前最流行跨域身份验证解决方案
最新发布
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
JWTjson+web+token>具体实现(后端)
f234344435的博客
05-04 777
前言:jwt介绍看我的上一篇博客,里面很详情的介绍jwt的基础知识与应用场景JWTjson+web+token)的详情与细节_@小杨爱偷懒的博客-CSDN博客 1.添加pox依赖: <!-- JWT生成Token--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version
node使用JSON Web Token (JWT)身份验证
失眠时间的博客
12-15 749
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT是由header(头部)payload(数据)signature(签名)三部分组成,中间用点分隔开,并且都会使用 Base64 编码。 ———————————————— 版权声明:本文为CSDN博主「失眠时间」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
JWTJSON WEB TOKEN
S_ZaiJiangHu的博客
08-26 589
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。......
JWT(Json Web Token)的原理、渗透与防御
ElsonHY的博客
05-16 2392
JWT(Json Web Token)的原理、渗透与防御。
SpringBoot整合JWT生成Token
该用户名和简介纯属整活
07-19 322
/</</</
JSON Web Token 入门教程
weixin_34067102的博客
07-24 930
2019独角兽企业重金招聘Python工程师标准>>> ...
怎么解析jwt-go的token
08-20
要解析jwt-go的token,可以按照以下步骤进行操作: 1. 首先,引入`jwt-go`包并导入所需的其他依赖项。可以使用以下代码来实现: ``` import ( "fmt" "github.com/dgrijalva/jwt-go" ) ``` 2. 然后,定义自定义声明结构体,该结构体包含要在token中解析的声明信息。例如,可以定义一个名为`MyCustomClaims`的结构体,如下所示: ``` type MyCustomClaims struct { Foo string `json:"foo"` jwt.StandardClaims } ``` `MyCustomClaims`结构体中的`Foo`字段表示在token中包含的自定义声明。 3. 接下来,使用`jwt.ParseWithClaims`函数解析token并将其与自定义声明结构体进行绑定。可以使用以下代码实现: ``` tokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6I***XVCJ9.eyJmb28iOiJiY***iLCJleHAiOjE1***AwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c" claims := &MyCustomClaims{} token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) { // 返回用于验证token的加密密钥 return []byte("AllYourBase"), nil }) ``` 在`jwt.ParseWithClaims`函数中,传入token字符串、自定义声明结构体的指针和一个回调函数。回调函数用于提供用于验证token的加密密钥。 4. 最后,检查解析和验证token的结果。可以使用以下代码来检查是否成功解析和验证了token: ``` if token.Valid { fmt.Printf("%v %v", claims.Foo, claims.ExpiresAt) } else { fmt.Println(err) } ``` 如果token有效,可以通过`claims`变量访问其中的声明信息。在上述示例中,我们打印了`Foo`字段和`ExpiresAt`声明的值。如果token无效,将打印出解析和验证错误。 综上所述,这就是解析`jwt-go`的token的步骤。请注意,需要根据自己的实际情况修改代码中的token字符串和自定义声明结构体。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(4)go web开发之 JWT-Token认证机制Access Token与Refresh Tokenjwt-go 库介绍及在项目中使用](https://blog.csdn.net/pythonstrat/article/details/121875782)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悠闲的线程池

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值