JWT技术的介绍与使用

最新推荐文章于 2024-10-16 18:00:00 发布
最新推荐文章于 2024-10-16 18:00:00 发布
阅读量704 收藏
点赞数 1
分类专栏: 个人博客网站搭建 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44335707/article/details/129017911
版权
JWT是一种基于JSON的开放标准,用于在网络应用间安全地传递信息。它由头部、负载和签名三部分组成,常用于用户身份验证。JWT的头部包含签名算法和类型,负载则存储实际数据,签名确保数据未被篡改。文章提供了使用JWT的Java代码示例,包括生成和验证token。
摘要由CSDN通过智能技术生成

1. JWT介绍

JWT是JSON Web Token的简称,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,常用于登录认证,客户端请求时通过头部携带服务端生成的token令牌来验证身份。

2. JWT数据结构与原理

JWT令牌由头部(Header)、负载(Payload)、签名(Signature)三部分组成,每部分通过.符号连接,形式为

Header.Payload.Signature

2.1. 头部

JWT的头部是一个JSON对象,描述JWT的元数据类型,通常有两个字段:alg和typ, alg表示JWT的签名算法,默认是HS256算法,typ属性表示令牌的token类型,为JWT令牌时typ的值为JWT,
头部的常见形式如下:

{
“alg”:“HS256”,
“alg”:“JWT”
}

2.2. 负载

负载也是一个JSON对象,用来存放实际传输的数据,规定7个官方的字段如下:

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除了7个官方字段外,我们还可以自定义要传输的字段,比如:

{
“account”: “12334556”,
“name”:“xiaoming”
}

由于JWT默认对传输数据不加密,所以不要通过JWT传输敏感信息。

2.3 签名

JWT采用签名的方式来验证传输的数据是否被篡改。通过指定一个签名密钥,对前两部分头部和负载通过Base64URL算法编码后的内容进行加密,生成签名部分的数据,头部、负载、签名三部分通过.符号进行连接,形成一个JWT的token令牌返回给客户端。如果数据被篡改,通过原来签名组成新的token令牌,服务器端通过被篡改数据生成的签名与原来的不一样,携带纂改数据的请求无发通过验证;如果替换掉原来的签名,由于不知道服务器的加密秘钥,也无法通过认证。以HS256加密算法为例,生成签名的公式如下:

HS256(BaseURLEncode(Header) + “.” + BaseURLEncode(Payload), secret)

3. 使用JWT

引入JWT的依赖

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
</dependency>

创建生成token和验证token的工具类JWTUtils, 代码如下:

public class JWTUtils {
    // JWT加密秘钥,自定义
    private static  final  String jwtToken = "13suwbxsjxn!@#$%^&*!@$$";

    public static String createToken(Long userId) {
    	// 自定义负载
        Map<String, Object> clains = new HashMap<>();
        clains.put("userId", userId);
		// 生成JWT创建对象,自行设置需要的官方负载字段
        JwtBuilder jwtBuilder = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, jwtToken)
                .setClaims(clains)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 24 * 60 * 60 * 1000));
        // 生成token
        String token = jwtBuilder.compact();
        return token;
    }

    public static Map<String, Object> checkToken(String token) {

        try {
        	// 验证token,并返回负载中的数据
            Jwt parse = Jwts.parser().setSigningKey(jwtToken).parse(token);
            return (Map<String, Object>) parse.getBody();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
}

简单写个验证程序如下:

public static void main(String[] args) {
        String token = createToken(123456776543123456L);
        System.out.println("================生成的token==============" );
        System.out.println(token);
        System.out.println("================验证token================");
        System.out.println(checkToken(token));

 }

运行结果如图片所示:
在这里插入图片描述

德哥是程序员
关注
专栏目录
到底什么是JWT技术
Just Do It!
01-12 5315
什么是JWT 全称为JSON web token,是一个json对象,用于系统间身份验证。主要包括三部分组成: [header].[payload].[signature] 上面三部分用.分割。我们来看每一部分的具体内容: header部分 header部分用于描述签名的算法,也可以包括content type。是一个json对象,并且用BASE64处理。一个简单的header例子如下: { "typ":"JWT", "alg":"HS256" } typ字段告诉我们类
JWT介绍
luoyueliushuang的博客
02-26 1889
1 什么是JWT JWT,全称 JSON Web Token,是一个开发标准(rfc7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或者使用RSA或ECDSA的公钥/私钥对进行签名。 通俗来讲,就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密,签名等相关处理。 2 JWT认证流程 1.前端通过Web表单将自己
【接口测试】鉴权初了解
黑黑白白君的博客
06-05 4257
文章目录1.1 什么是鉴权?1.2 常见的鉴权方式1、HTTP Basic Authentication鉴权方式HTTP Basic Authentication鉴权方式的认证过程:HTTP Basic Authentication鉴权方式的注销HTTP Basic Authentication鉴权方式的适用范围2、token鉴权方式token鉴权方式流程:token鉴权方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie鉴权方式session+cookie认证流程:*s
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
最新发布
ZL_1618的博客
10-16 1747
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在Web 应用程序和服务之间尤其流行用于身份验证和信息交换。JWT 本身包含了所有必要的信息。一个 JWT 通常包含用户身份验证信息、token 的发行者、过期时间等。由于其较小的体积,JWT 可以通过 URL、POST 参数或在 HTTP 头中发送,这使得其在网络环境中传输非常高效。
JWT技术
weixin_45001033的博客
07-23 362
JWT简介 在传统的有状态服务应用中,服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。 例如登录:用户登录后,我们把用户的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步有浏览器自动完成),我们就能识别到对应session,从而找到用户的信息。这种方式目前来看最方便,但在分布式应用中,由服务端保存用户状态不是一种很好的选择(服务器集群高并发)
JWT+Log4net配置与使用详解
10-18
JWT+Log4net配置与使用详解中介绍了如何在.NET环境中使用JWT(JSON Web Tokens)和Log4net进行日志记录。文章主要讲解了Log4net的结构、优势以及如何在项目中配置和使用Log4net进行高效日志记录。此外,还涉及了JWT...
PHP 7的JWT库:php-jwt包的介绍使用
知识点: 1. JSON Web令牌(JWT)概述: ...以上信息点概述了PHP中JWT的基本概念、用途、结构、算法选择、实现、安装与使用注意事项,以及与库相关的重要信息,为PHP开发者在使用JWT技术时提供了一个详细的指导。
JWT介绍及用JAVA使用JWT生成token
longxianhua的博客
04-29 3011
应用场景 通常,在APP开发过程中会碰到一些场景,接口需要登录或者需要授权才能访问,一般的做法是登录成功之后服务器返回生成的token给客户端,客户端访问接口的时候带上token,用以验证登录.我们的方案是使用JWT来创建token,然后客户端带上,服务端再做解析。 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一...
前后端接口安全技术JWT极速入门教程.pdf
11-20
- 签名是通过将编码后的头部和载荷与秘钥(secret)结合,使用指定的签名算法(如 HMAC SHA256 或 RSA)计算得出。签名用于验证 JWT 的完整性和防止篡改。 6. **JWT使用**: - 客户端在登录时获取 JWT,然后在...
2小时学会前后端接口安全技术-JWT
06-18
本课程全程使用目前比较流行的开发工具idea进行开发,采用现在互联网流行的微服务架构SpringBoot+SpringCloud+JPA, 同时也使用了互联网的高并发中间件redis,ElasticSearch,RabbitMQ,MongoDB数据库,springSecurity安全框架,还会涉及到一些后期运维的相关技术如jenkins,influxdb,ranchar等技术,还会涉及到代码生成器。   本课程全程使用目前比较流行的开发工具idea进行开发,采用现在互联网流行的微服务架构SpringBoot+SpringCloud+JPA, 同时也使用了互联网的高并发中间件redis,ElasticSearch,RabbitMQ,MongoDB数据库,springSecurity安全框架,还会涉及到一些后期运维的相关技术如jenkins,influxdb,ranchar等技术,还会涉及到代码生成器,不需要写简单的代码了,可以直接生成,,此课程内容丰富实战性强,非常符合现在市场的新技术走势,你学完本课程会,让你完全感受到了互联网思维带来的高并发解决方案的思路,如果你是开发的小白,建议你学
JWT 技术
qq_46023503的博客
11-17 333
定义了一种简洁的、自包含的格式,用于在通信双方以 json 数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的
JWT技术--JSON Web Token
热门推荐
qq_25046827的博客
04-07 1万+
一、JWT简介 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 使用方式:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登录状态的办法,通过token来代表用户身份。 Authorization (授权) : 这是使用J
JWT技术分析
weixin_44279647的博客
09-01 256
什么是JWTJWT(JSON WEB Token)是一个标准,借助JSON格式数据作为WEB应用请求中的令牌,进行数据的自包含设计,实现各方安全的信息传输,在数据传输过程中还可以对数据进行加密,签名等相关处理 JWT数据结构 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名),其格式如下: xxxxx.yyyyy.zzzzz 例如 eyJhbGciOiJIUzI1NiJ9.eyJwZXJtaXNzaW9ucyI6InN5czpyZXM6
JWT技术简单理解和实现
星之空
06-01 1009
文章目录JSON Web TokenJWT结构JWT用途JWT实现要点Node.js实现 JSON Web Token JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information bet...
JWT技术快速入门
m0_72524605的博客
07-27 258
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全;...
JWT技术分析及应用
孤鸿的博客
08-02 302
1. 系统会话状态 1.1 会话状态 客户端与服务端通讯过程中产生的状态信息(类似会议记录),称之为会话状态. 1.2 会话状态存储方式 客户端浏览器与服务器端通讯时使用的是http协议,这个协议本身是无状态协议,也就是说通过此协议,无法存储会话状态,此时在服务端与客户端就采用一种Cookie与Session方式记录会话状态. 1.3 有状态的会话技术分析 Cookie 技术 Cookie是由服务端创建但在客户端存储会话状态的一个对象,此对象分为两种类型,一种为会话Cookie,一种为持久Cookie,浏
JWT Token验证技术介绍
03-03
JWT(JSON Web Token)是一种用于在网络应用程序之间安全传输信息的开放标准。它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 JWT 使用的签名算法信息,例如 HMAC SHA256 或 RSA。载荷包含需要传输的信息,例如用户 ID 或权限信息。签名是将头部、载荷和秘钥组合后生成的哈希值,用于验证信息的真实性。 JWT 的工作原理如下: 1. 用户使用用户名和密码进行身份验证。 2. 服务器验证用户名和密码的正确性。 3. 如果验证成功,服务器生成 JWT 并将其发送回客户端。 4. 客户端将 JWT 存储在本地并在每个后续请求中将其包含在请求头部中。 5. 服务器在接收到请求时,验证 JWT 的签名并检查载荷中的信息是否与所需的一致。如果验证成功,服务器会处理请求。 JWT 的优点是: 1. 轻量级和简单:JWT 以 JSON 格式编码,易于理解和实现。 2. 安全性:使用数字签名或消息认证码(MAC)验证信息的完整性和真实性,确保信息不被篡改或伪造。 3. 可扩展性:JWT 载荷可以包含任意数量的属性和元数据,使其非常适合用于身份验证和授权。 4. 无状态:JWT 包含所有必要的信息,因此服务器不需要存储任何会话信息,使其易于扩展和实现负载均衡。 然而,JWT 也存在一些缺点,例如: 1. JWT 一旦生成就无法撤销,因此必须确保密钥的安全性。 2. JWT 中包含的信息对于攻击者来说是可见的,因此敏感信息不应该存储在 JWT 中。 3. JWT 无法在传输过程中进行更新,因此在过期之前必须生成新的 JWT。 总体来说,JWT 是一种非常有用的身份验证和授权解决方案,但在使用时需要仔细考虑其安全性和缺点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值