JWT令牌

最新推荐文章于 2024-03-10 22:06:45 发布
最新推荐文章于 2024-03-10 22:06:45 发布
阅读量246 收藏
点赞数
分类专栏: 登录 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44552168/article/details/121201153
版权

什么是JWT令牌?

JWT是JSON Web Token的缩写,即JSON Web令牌,是一种无状态(服务端不存储)的自包含令牌(自身包含数据)。

JWT的作用

JWT 最重要的作用就是对 token信息的防伪作用

JWT的原理

一个JWT由三个部分组成:JWT头、有效载荷、签名哈希

最后由这三者组合进行base64编码得到JWT

JWT令牌的组成

  • JWT头:

    • JWT头部分是一个描述JWT元数据的JSON对象

  • 有效载荷:

    • 有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

    • sub: 主题 iss: jwt签发者 aud: 接收jwt的一方 iat: jwt的签发时间 exp: jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

    • 也可以自定义字段

    • "userName": "Chen", "admin": true, "avatar": "Chen.jpg"

  • 签名哈希:

    • 签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

JWT的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。

当跨域时,也可以将JWT放置于POST请求的数据主体中。

JWT问题和趋势

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用该令牌再次对其进行加密。

2、当JWT未加密时,一些私密数据无法通过JWT传输。

3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。

5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行身份验证。

6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

JWT整合

添加pom依赖

<dependencies>
    <!-- JWT -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.7.0</version>
    </dependency>
    <!--junit-->
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
    </dependency>
</dependencies>

生成token

public class JwtTests {
​
    //过期时间,毫秒,24小时
    private static long tokenExpiration = 24*60*60*1000;
    //秘钥:越复杂越好
    private static String tokenSignKey = "ChenHaiTao";
​
    @Test
    public void testCreateToken(){
        String token = Jwts.builder()
                //头部信息
                .setHeaderParam("typ", "JWT") //令牌类型
                .setHeaderParam("alg", "HS256") //签名算法
                //固定有效载荷
                .setSubject("token-theme") //令牌主题
                .setIssuer("wystawca")//签发者
                .setAudience("receiver")//接收者
                .setIssuedAt(new Date())//签发时间
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration)) //过期时间
                .setNotBefore(new Date(System.currentTimeMillis() + 20*1000)) //20秒后可用
                .setId(UUID.randomUUID().toString())
                //自定义有效载荷
                .claim("userName", "Chen")
                .claim("avatar", "Chen.jpg")
                //签名哈希
                .signWith(SignatureAlgorithm.HS256, tokenSignKey)//签名哈希
                .compact(); //转换成字符串
        System.out.println(token);
    }
}

解析token

@Test
public void testGetUserInfo(){
​
    String token = "jwt字符串";
    Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
​
    Claims claims = claimsJws.getBody();
​
    String subject = claims.getSubject();
    String issuer = claims.getIssuer();
    String audience = claims.getAudience();
    Date issuedAt = claims.getIssuedAt();
    Date expiration = claims.getExpiration();
    Date notBefore = claims.getNotBefore();
    String id = claims.getId();
​
    System.out.println(subject);
    System.out.println(issuer);
    System.out.println(audience);
    System.out.println(issuedAt);
    System.out.println(expiration);
    System.out.println(notBefore);
    System.out.println(id);;
​
    String nickname = (String)claims.get("userName");
    String avatar = (String)claims.get("avatar");
​
    System.out.println(nickname);
    System.out.println(avatar);
}

my陈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 ...
JWT学习笔记(1) —— JWT原理和结构
Rickie_7的博客
10-19 566
转载自知乎专栏 https://zhuanlan.zhihu.com/p/86937325 原文来源JWT官网 https://jwt.io/ 1.JSON Web Token是什么 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2.什么时候你应该用JSON Web Token 下列场景中使用JSON Web Token是很有用的: Aut
JWT基础(一)
Kiddyup的博客
04-16 3170
1、JWT的作用 什么是JWT jwt 简称 JSON Web Token ,也就是以Json的形式作为web中的令牌。在数据传输过程中还可以完成数据加密、签名等操作。 主要的作用: 授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。 2.信息交换 JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名
JWT令牌详细解读
。。。。
07-05 3058
什么是JWT令牌 JWT是JSON Web Token的缩,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
.NET Core 生成JWT令牌源码
最新发布
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
3. **实现JWT令牌生成**:引入如`jjwt`库,用于生成和验证JWT令牌。在OAuth2的令牌颁发过程中,当用户成功认证后,服务器将生成一个JWT并返回给客户端。 4. **配置安全拦截器**:设置Spring Security的HTTP安全配置...
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌。 重要信息:该库不会验证令牌,任何格式正确的JWT都可以解码。 您应该使用 , , 等在服务器端逻辑中验证令牌。 警告:从版本2升级到版本3 ,...
网关与Jwt令牌.doc
10-16
这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: ...• 服务器进行验证用户的信息 • 服务器通过验证发送给用户一个token ...
JWT令牌认证技术.zip
11-29
以下是对JWT令牌认证技术的详细说明: 1. **JWT结构**: JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是JSON对象,然后它们被Base64编码。签名是通过编码后的头部、编码后...
用户登录实现(拦截器,JWT令牌)
05-28
用户登录实现(拦截器,JWT令牌)
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
该项目旨在将JWT令牌身份验证功能引入Tomcat 8 ,从而将身份验证过滤器实现为Tomcat Valve。 JWT操作基于项目。 对于Tomcat 7,请使用或克隆。 基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全...
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
"jwt-token-verifier"是一个专门用于验证JWT令牌的工具或库,它专注于与OpenID Connect提供程序(OP,OpenID Provider)交互。OpenID Connect是基于OAuth 2.0协议的身份认证层,它允许用户通过一个可信的第三方认证...
三、JWT(JSON Web Tokens)令牌(token)
HiDaJing
03-18 3757
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
JWT令牌技术
不能再留遗憾了的博客
03-10 1438
JWT令牌技术实现用户登录信息的验证
JWT令牌技术快速入门
2301_79024228的博客
07-12 1679
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
JWT令牌技术(详解)
m0_63144319的博客
06-23 846
JWT令牌技术
OAuth和jwt令牌
04-24
OAuth(开放授权)是一种用于授权访问第...OAuth主要用于授权访问第三方应用程序,而JWT令牌则用于在各方之间传输信息并进行身份验证。OAuth通过授权服务器颁发访问令牌,而JWT令牌则是由发行者签名并可被验证的令牌

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值