jwt学习

最新推荐文章于 2023-10-13 11:50:32 发布
最新推荐文章于 2023-10-13 11:50:32 发布
阅读量139 收藏
点赞数
文章标签: jwt
原文链接:https://gitee.com/chillyCUI/springboot-jwt-2020#jwt%E5%8E%9F%E7%90%86
版权

JWT原理

服务器认证以后会生产一个json对象,服务器完全只靠这个json对象校验用户身份, 为了防止json串被篡改,服务器在生成这个json对象时会进行签名

也就是说服务器端不保存这个数据,每次客户端请求时需要带着这个json对象

JWT数据结构

形如 xxxx.yyy.zzz 由三部分组成,每部分用英文句号连接

JWT的三个部分: header 头部 payload 负载 signature 签名

也就是 Header.Payload.Signature

1、Header 头部

是一个JSON 对象, 描述JWT的元数据,形如: {"alg": "HS256", "typ": "JWT"}

alg属性表示签名的算法(algorithm),默认是 HMAC SHA256

typ属性表示这个令牌的类型(type),JWT 令牌统一写为JWT

2、payload 负载

是一个JSON 对象, 用来存放实际需要传递的数据,形如: {"sub": "1234567890", "name": "John Doe","admin": true}

一般是在这个部分定义私有字段: 例如{"userId":"1","userName":"jack"}

其中payload官方规定了7个字段:

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把机密信息放在这个部分。

3、signature 签名

signature 是对前两部分的签名,防止数据篡改

1、需要指定一个密钥(secret) 2、这个密钥只有服务器才知道,不能泄露给客户端 3、使用 Header 里面指定的签名算法,按照下面的公式产生签名。

`HMACSHA256(
   base64UrlEncode(header) + "." +
   base64UrlEncode(payload),
   secret
 )`

也就是signature等于上面公式算出来的

把 Header、Payload、Signature 三个部分拼成一个字符串: xxxx.yyy.zzz

其中base64UrlEncode是串型化算法,处理特殊字符,=被省略、+替换成-,/替换成_

JWT 使用方式

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage 以后客户端每次与服务器通信,都要带上这个 JWT

方式1、可以放在 Cookie 里面自动发送,但是这样不能跨域

方式2、更好的做法是放在 HTTP 请求的头信息Authorization字段里面

Authorization: Bearer <token>

方式3、JWT放在POST请求的数据体body里面

JWT 的几个特点

(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。

(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

serien-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT(简介)
qq_65345936的博客
09-18 2078
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
jwt认证 js如何处理header_你是如何优雅的处理token认证登录?
weixin_35725310的博客
12-31 1142
导读首发于公众号:JAVA大贼船,原创不易,喜欢的读者可以关注一下哦!一个分享java学习资源,实战经验和技术文章的公众号!前言优雅,意味着优美雅致,用猿话讲就是这代码看得舒服,用得也舒服。登录认证方式有很多,有的是用cookie,有的是用session,有的是用token认证。而本文主要讲述基于jwt以自定义注解方式优雅地处理token认证,此处的优雅只是作者个人口味,萝卜青菜各有所爱,还拦着你...
JWT的简单介绍
qq_39691226的博客
06-06 599
  由于HTTP协议是无状态的协议,因此用户登陆后保持登陆状态就是第一个需要解决的问题 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。当用户登录成功,服务端会保存一个session,会给客户端一个sessionId客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。 cookie+session这种模式通常是保存在内存中...
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT
cherrylovedog的博客
06-16 256
1.什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 token是在服务端产生的。如果前端使用用户名和密码向服务端发送请求认证,服务端认证成功,那么在服务端会返回token给前端。 前端可以在每次请求的时候带上token证明自己的合法地位。如果token在服务端持久化,那他就是一个永久的身份令牌。 服务端收到请求,然后去验证客户端请求里面带着的...
jvm学习
m0_50507927的博客
05-12 3589
jvm
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
jwt学习Spring-security
01-18
jwt学习Spring-security Spring Security 是一个广泛使用的 Java 认证和授权框架,用于保护基于 Java 的 web 应用程序。它提供了一个灵活的安全机制来保护 web 应用程序免受未经授权的访问。Spring Security 提供...
JWT学习资料.zip
11-18
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过深入学习和实践,你可以掌握使用JWT和Spring Boot构建安全、可扩展的微服务系统的技能。
JWT学习1
08-08
JSON Web Token(JWT)是一种广泛使用的身份验证和信息交换的标准,尤其在Web应用程序中。JWT允许客户端和服务器之间安全地传递信息,而无需在每个请求中携带完整的认证信息。JWT的结构由三个部分组成:头部(Header...
JWT学习笔记1
08-03
本文主要围绕JWT(JSON Web Token)这一流行的认证机制进行讲解,首先介绍传统的Session验证方式,然后详细解析JWT的工作原理、组成部分及使用方法,并探讨JWT在实际项目中的应用及其优势。 一、Session验证方式 ...
JWT详解
qq_52030824的博客
03-17 4414
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
http认证JWT
weixin_45346239的博客
07-04 917
http认证JWT
JWT的讲解和使用
weixin_59244784的博客
09-21 612
JWT的讲解和使用
php 模数 指数 公钥生成_php实现JWT认证
weixin_39760967的博客
11-21 243
什么是JWTJWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。JWT定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名...
JWT(json web token)
努力学习,努力爱你!
07-22 1131
JWT,全称是JsonWebToken,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;https//jwt.iohttps我们最终可以利用jwt实现无状态登录在Web应用中,别再把JWT当做session使用,绝大多数情况下,传统的cookie-session机制工作得更好。...
JWT介绍
weixin_47414034的博客
10-20 506
一旦用户登录了,后续的每一个请求都会包含JWT,服务器每次处理用户请求之前,都要先进行JWT安全校验,通过之后再处理请求。将header用base64加密,将payload也用base64加密,然后用点连接起来得到encodedString。再用header里面规定的加密算法(HS256)对encodedString进行加密,得到第三部分signature。第二个信息是算法的名称:(采用的加密算法),这里是HS256算法。包含两个信息,第一个信息是token的类型,这里是JWT。step2:加密和解密。
b051银行客户管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
最新发布
07-23
系统根据B/S,即所谓的电脑浏览器/网络服务器方式,运用Java技术性,挑选MySQL作为后台系统。系统主要包含对客服聊天管理、字典表管理、公告信息管理、金融工具管理、金融工具收藏管理、金融工具银行卡管理、借款管理、理财产品管理、理财产品收藏管理、理财产品银行卡管理、理财银行卡信息管理、银行卡管理、存款管理、银行卡记录管理、取款管理、转账管理、用户管理、员工管理等功能模块。 文中重点介绍了银行管理的专业技术发展背景和发展状况,随后遵照软件传统式研发流程,最先挑选适用思维和语言软件开发平台,依据需求分析报告模块和设计数据库结构,再根据系统功能模块的设计制作系统功能模块图、流程表和E-R图。随后设计架构以及编写代码,并实现系统能模块。最终基本完成系统检测和功能测试。结果显示,该系统能够实现所需要的作用,工作状态没有明显缺陷。 系统登录功能是程序必不可少的功能,在登录页面必填的数据有两项,一项就是账号,另一项数据就是密码,当管理员正确填写并提交这二者数据之后,管理员就可以进入系统后台功能操作区。进入银行卡列表,管理员可以进行查看列表、模糊搜索以及相关维护等操作。用户进入系统可以查看公告和模糊搜索公告信息、也可以进行公告维护操作。理财产品管理页面,管理员可以进行查看列表、模糊搜索以及相关维护等操作。产品类型管理页面,此页面提供给管理员的功能有:新增产品类型,修改产品类型,删除产品类型。
微服务开发v1.0-密码加密与微服务鉴权JWT学习目标
本文主要介绍了《十次方微服务开发v1.0》...总之,《十次方微服务开发v1.0》第6章的内容涵盖了密码加密与微服务鉴权JWT的相关知识,通过学习这部分内容,可以帮助我们提升微服务开发的水平,保障系统的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值