JWT技术的介绍与使用

最新推荐文章于 2023-11-26 14:32:42 发布
最新推荐文章于 2023-11-26 14:32:42 发布
阅读量655 收藏
点赞数 1
分类专栏: 个人博客网站搭建 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44335707/article/details/129017911
版权

1. JWT介绍

JWT是JSON Web Token的简称,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,常用于登录认证,客户端请求时通过头部携带服务端生成的token令牌来验证身份。

2. JWT数据结构与原理

JWT令牌由头部(Header)、负载(Payload)、签名(Signature)三部分组成,每部分通过.符号连接,形式为

Header.Payload.Signature

2.1. 头部

JWT的头部是一个JSON对象,描述JWT的元数据类型,通常有两个字段:alg和typ, alg表示JWT的签名算法,默认是HS256算法,typ属性表示令牌的token类型,为JWT令牌时typ的值为JWT,
头部的常见形式如下:

{
“alg”:“HS256”,
“alg”:“JWT”
}

2.2. 负载

负载也是一个JSON对象,用来存放实际传输的数据,规定7个官方的字段如下:

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除了7个官方字段外,我们还可以自定义要传输的字段,比如:

{
“account”: “12334556”,
“name”:“xiaoming”
}

由于JWT默认对传输数据不加密,所以不要通过JWT传输敏感信息。

2.3 签名

JWT采用签名的方式来验证传输的数据是否被篡改。通过指定一个签名密钥,对前两部分头部和负载通过Base64URL算法编码后的内容进行加密,生成签名部分的数据,头部、负载、签名三部分通过.符号进行连接,形成一个JWT的token令牌返回给客户端。如果数据被篡改,通过原来签名组成新的token令牌,服务器端通过被篡改数据生成的签名与原来的不一样,携带纂改数据的请求无发通过验证;如果替换掉原来的签名,由于不知道服务器的加密秘钥,也无法通过认证。以HS256加密算法为例,生成签名的公式如下:

HS256(BaseURLEncode(Header) + “.” + BaseURLEncode(Payload), secret)

3. 使用JWT

引入JWT的依赖

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
</dependency>

创建生成token和验证token的工具类JWTUtils, 代码如下:

public class JWTUtils {
    // JWT加密秘钥,自定义
    private static  final  String jwtToken = "13suwbxsjxn!@#$%^&*!@$$";

    public static String createToken(Long userId) {
    	// 自定义负载
        Map<String, Object> clains = new HashMap<>();
        clains.put("userId", userId);
		// 生成JWT创建对象,自行设置需要的官方负载字段
        JwtBuilder jwtBuilder = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, jwtToken)
                .setClaims(clains)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 24 * 60 * 60 * 1000));
        // 生成token
        String token = jwtBuilder.compact();
        return token;
    }

    public static Map<String, Object> checkToken(String token) {

        try {
        	// 验证token,并返回负载中的数据
            Jwt parse = Jwts.parser().setSigningKey(jwtToken).parse(token);
            return (Map<String, Object>) parse.getBody();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
}

简单写个验证程序如下:

public static void main(String[] args) {
        String token = createToken(123456776543123456L);
        System.out.println("================生成的token==============" );
        System.out.println(token);
        System.out.println("================验证token================");
        System.out.println(checkToken(token));

 }

运行结果如图片所示:
在这里插入图片描述

德哥是程序员
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT基础
cookie的博客
10-20 278
JWT 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案。 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的优点 1,jwt基于json,非常方便解析。 2,可以在令牌钟定义丰富的内容,容易扩展 3,通过非对称加密算法及数字签名技术jwt防止篡改,安全性高 4,资源服务使用jwt可不依赖认证服务即可完成授权 缺点: 1,jwt令牌较长,占存储空间比较大 三个部分组成;用.号隔开。 1, Header {“typ”:“JWT”,“alg
jwt的构成部分
jiang2360的博客
08-05 972
一、 JWT 组成结构JSON Web Tokenv由三部分组成,它们之间用点连接。完整 JWT 结构如下:1. Header"JWT""HS256"最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第一部分。2. PayloadPayload 部分用来存放。JWT 规定了7个官方字段,供选用。除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把敏感信息(密码,手机号等)放在这个部分。
JWT基础介绍
Alan0517
03-13 2168
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
【接口测试】鉴权初了解
黑黑白白君的博客
06-05 3945
文章目录1.1 什么是鉴权?1.2 常见的鉴权方式1、HTTP Basic Authentication鉴权方式HTTP Basic Authentication鉴权方式的认证过程:HTTP Basic Authentication鉴权方式的注销HTTP Basic Authentication鉴权方式的适用范围2、token鉴权方式token鉴权方式流程:token鉴权方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie鉴权方式session+cookie认证流程:*s
JWT入门指南
白豆五的博客
06-20 1923
JWT(全称:JSON Web Token),通过数字签名的方式,以JSON对象作为载体,在不同的服务终端之间安全的传输信息。JWT 是实现Token无状态会话认证技术的一种标准。 JWT作用:通常用于web应用程序的 身份验证 和 鉴权 。 JWT令牌由Header、Payload、Signature三部分组成,每部分字符串中间用`.` 拼接。JWT令牌的最终格式是这样的: Header.Payload.Signature。
net core集成jwt
09-24
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,...本文主要介绍使用JWT进行接口身份认证。
drf的JWT认证.doc
07-08
**JWT认证介绍** JWT(Json Web Token)是一种轻量级的身份认证和授权机制,广泛应用于API安全。相比于传统的Session认证,JWT认证无需在服务器端存储会话信息,简化了服务器负载,且支持跨域认证。 **JWT的构成**...
jwt-handbook
03-23
签名用于验证消息在传输过程中是否被篡改,通过将头部和负载进行编码,然后与一个密钥结合,使用指定的算法计算得出。 书中详细讨论了JWT的生成和验证过程,以及如何在客户端和服务器之间安全地传递。它还涉及了JWT...
springboot 整合security jwt 身份鉴权
01-03
下面将详细介绍这两者如何结合使用以及其相关知识点。 首先,JWT是一种安全的、无状态的、自包含的方式来传输信息作为JSON对象。它通过加密技术保证了数据的安全性,使得信息可以在客户端和服务器之间安全地传递,...
新版前后端接口安全技术JWT+RSA加密
06-18
- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,...
JWT介绍使用
weixin_43790613的博客
02-13 3233
文章目录JWT数据结构headerpayloadsignature 作用:用户身份验证和数据信息交换 JWT数据结构 JWT的数据结构是:A.B.C,有英文字符点.来分割三部分数据 A - header 头信息 B -payload 有效荷载 C- signature 签名 header 数据结构:{“alg”:“加密算法名称”,“typ”:“JWT”} alg是加密算法名称,如HMACSHA256、RSA typ是token类型,这里固定为JWT payload 在payload数据块中一般记录实体(
jwt攻击
技术超强的网络安全平台
12-01 1152
jwt篇 组成 jwt由三部分组成header、payload、signaturesignature jwt的第三部分是一个签证信息,这个签证信息由三部分组成: header (base64编码) payload (base64编码) secret(密钥) 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。 传统token方式和jwt认证方式有什么差异? 传
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2795
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
JWT 的结构
m0_51976820的博客
04-08 1800
JWT 的结构
JWT
glycsdn的博客
08-28 223
JWT学习笔记
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
最新发布
m0_62201229的博客
11-26 1760
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
4、聊聊常见的加密与JWT
划水的小白白
09-28 2650
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文中存在“
JWT Token验证技术介绍
03-03
5. 服务器在接收到请求时,验证 JWT 的签名并检查载荷中的信息是否与所需的一致。如果验证成功,服务器会处理请求。 JWT 的优点是: 1. 轻量级和简单:JWT 以 JSON 格式编码,易于理解和实现。 2. 安全性:使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值