基于JWT的token认证实现#

最新推荐文章于 2022-04-07 01:54:42 发布
最新推荐文章于 2022-04-07 01:54:42 发布
阅读量181 收藏
点赞数
原文链接:https://www.cnblogs.com/54chensongxia/p/13491214.html
版权

JWT(JSON Web Token)就是基于token认证的代表,这边就用JWT为列来介绍基于token的认证机制。

需要引入JWT的依赖

Copy

com.auth0
java-jwt
3.8.2

生成token和验证token的工具类如下:

Copy
public class JWTTokenUtil {
//设置过期时间
private static final long EXPIRE_DATE=3060100000;
//token秘钥
private static final String TOKEN_SECRET = “ZCfasfhuaUUHufguGuwu2020BQWE”;

public static String token (String username,String password){

    String token = "";
    try {
        //过期时间
        Date date = new Date(System.currentTimeMillis()+EXPIRE_DATE);
        //秘钥及加密算法
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
        //设置头部信息
        Map<String,Object> header = new HashMap<>();
        header.put("typ","JWT");
        header.put("alg","HS256");
        //携带username,password信息,生成签名
        token = JWT.create()
                .withHeader(header)
                .withClaim("username",username)
                .withClaim("password",password).withExpiresAt(date)
                .sign(algorithm);
    }catch (Exception e){
        e.printStackTrace();
        return  null;
    }
    return token;
}

public static boolean verify(String token){
    /**
     * @desc   验证token,通过返回true
     * @params [token]需要校验的串
     **/
    try {
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        return true;
    }catch (Exception e){
        e.printStackTrace();
        return  false;
    }
}
public static void main(String[] args) {
    String username ="name1";
    String password = "pw1";
    //注意,一般不会把密码等私密信息放在payload中,这边只是举个列子
    String token = token(username,password);
    System.out.println(token);
    boolean b = verify(token);
    System.out.println(b);
}

}
执行结果如下:

Copy
Connected to the target VM, address: ‘127.0.0.1:11838’, transport: ‘socket’
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwYXNzd29yZCI6IjEyMyIsImV4cCI6MTU5NzM5Nzc0OCwidXNlcm5hbWUiOiJ6aGFuZ3NhbiJ9.LI5S_nX-YcqtExI9UtKiP8FPqpQW_ccaws2coLzyOS0
true
关于DecodedJWT这个类,大家可以重点看下,里面包含了解码后的用户信息。

JWT的使用说明#
客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Copy
Authorization: Bearer
另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。(或者是对JWT在前后端之间进行加密之后在传输)

关于JWT的一个问题#
上面生成JWT token的过程关键点就是密钥,假如这个密钥泄露了,那是不是就可以伪造token了。

还有就是生产环境的密钥值,开发的程序员大概率是知道的,怎么防止程序要监守自盗,伪造token值呢?希望有经验的大佬指教下。

Copy
//token秘钥
private static final String TOKEN_SECRET = “ZCfasfhuaUUHufguGuwu2020BQWE”;
深圳网站建设www.sz886.com

福伴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT Token 的生成及解密
arlene 的博客
02-16 5770
文章目录 一、登录流程? 二、使用步骤 1.引入jwt 库 2.生成 token 3.验证 token 总结 一、登录流程? 前端发送请求 -> 后端验证通过后签发 Token ->前端存入token,在请求其他接口是将token带入header头中 二、使用步骤 1.引入jwt 库 安装: composer require firebase/php-jwt 依赖composer,通过cmd进入项目根目录 或者项目终端安装: 检...
基于JWTToken认证
互联网叫兽
03-02 2142
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
Java实现Token登录验证(基于JWTtoken认证实现)
热门推荐
javaeEEse的博客
02-28 2万+
文章目录一、JWT是什么?二、使用步骤1.项目结构2.相关依赖3.数据库3.相关代码三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中
基于jwttoken验证
weixin_34266504的博客
06-06 1035
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
JWT实现Token认证
北辰
03-11 1787
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。JWT全称为Json Web Token,说白了是什么呢?
基于JWTToken认证机制实现
没有到不了的明天
04-26 626
基于JWTToken认证机制实现 1.常见的认证机制 1.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对...
Django+JWT实现Token认证实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
Java实现基于token认证的方法示例
08-25
Java实现基于token认证的方法示例 一、 token认证的优势 在介绍 Java 实现基于 token 认证的方法示例之前,我们首先需要了解 token 认证相比传统的 cookie 认证的优势。token 认证有以下几个优势: 1. 支持跨域...
Python 基于jwt实现认证机制流程解析
09-16
### Python 基于JWT实现认证机制流程解析 #### 一、JWT简介及优缺点分析 JWT(JSON Web Token)是一种用于用户身份验证的技术,在现代Web应用开发中被广泛采用。它通过创建一个包含用户信息的令牌来实现认证,这个...
gateway和jwt网关认证实现过程解析
08-25
Gateway 和 JWT 网关认证实现过程解析 ...Gateway 和 JWT 网关认证实现过程可以分为四步:依赖项、编写 Jwt 工具类、全局过滤器和刷新 token。通过这些步骤,我们可以实现一个安全可靠的身份验证和授权系统。
后端架构token授权认证机制:spring security JSON Web TokenJWT)简例
Zhang Phil
02-10 6856
spring security JSON Web TokenJWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token认证-授权访问流程一般情况是这
使用JWT生成token实现权限验证
m0_59359926的博客
04-07 9344
一、给登录按钮添加单击事件@click="doSubmit"。给账文本框密码文本框都添加@blur="checkInfo"事件。发送请求 <script type="text/javascript"> var baseUrl = "http://localhost:8080/"; var vm = new Vue({ el:"#container", data:{ username:"", password:"", ..
JWT 实现 token 认证
javaTalk
06-15 6445
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT 的使用方式 六 JWT的优点 七 JWT的使用注意 八 JWT 等待解决的问题 九 参...
【java】基于JWTtoken身份认证方案
九师兄
02-13 1372
1.概述 转载:基于JWTtoken身份认证方案 2.使用JSON Web Token的好处 2.1 性能问题 验证信息可以由前端保存,后端不需要为保存token消耗内存。JWT方式将用户状态分散到了客户端中,相比于Session,可以明显减轻服务端的内存压力。 Session方式存储用户id的最大弊病在于Session是存储在服务器端的,所以需要占用大量服务器内存,对于较大型应用而言可能还要保存许多的状态,一般还需借助nosql和缓存机制来实现Session存储,如果是分布式应用还需Session共享.
详解基于JWTtoken认证(Java实现
weixin_43611145的博客
03-04 2691
详解基于JWTtoken认证(Java实现)1.简介2.JWT2.1 header2.2 payload2.3 signature3.使用4.例子 观前提示: 本文所使用的IDEA版本为ultimate 2019.1,JDK版本为1.8.0_141。 1.简介 在计算机身份认证中是令牌(临时)的意思,token其实说的更通俗点可以叫暗,在一些数据传输之前,要先进行暗的核对,不同的暗被授权不...
基于JWTToken认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web TokenJWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
关于JWT的理解
Ybbb的博客
06-28 1886
转自https://www.cnblogs.com/java-jun-world2099/p/9146143.html 基于jwttoken验证 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被...
JWT Token实现与用户登录验证详解
总结,后台用户登录-Token模块是基于JWT的身份验证核心,它确保了用户身份的合法性并限制了会话的生命周期。理解并正确配置这一模块对于构建安全的Web应用至关重要。通过集成JWT技术,开发者能够简化用户认证过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值