使用JWT进行跨域身份验证

最新推荐文章于 2024-09-18 13:40:44 发布
最新推荐文章于 2024-09-18 13:40:44 发布
阅读量268 收藏
点赞数
文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45079474/article/details/119876764
版权
本文深入探讨了传统的用户身份验证方式及其局限性,然后详细介绍了JWT(JSON Web Token)的工作原理,包括其三部分组成:头部、有效载荷和签名哈希。JWT使得服务器实现无状态,易于扩展。文中还展示了如何在Spring Boot项目中创建JWT工具类,用于生成、验证和解析JWT,并提供了相关依赖和示例代码。
摘要由CSDN通过智能技术生成

传统用户身份验证:
用户向服务器发送用户名和密码。
验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
服务器向用户返回session_id,session信息都会写入到用户的Cookie。
用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
服务器收到session_id并对比之前保存的数据,确认用户的身份。

这种模式最大的问题是,没有分布式架构,无法支持横向扩展。

JSONWeb Token 使用自包含令牌,通过客户端保存数据,而服务器不保存会话数据。

JWT由三部分组成:
1.头部分:是一个描述JWT元数据的JSON对象
2.有效载荷:有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

3.签名哈希:签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,之后,当用户与服务器通信时,客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据,服务器将在生成对象时添加签名。
服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。
此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时,也可以将JWT被放置于POST请求的数据主体中。

整合JWT
在pom中添加依赖:

<dependencies>
    <!-- JWT-->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
    </dependency>
</dependencies>

创建JWT工具类

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import java.util.Date;

/**
 * @author
 */
public class JwtUtils {

    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";

    public static String getJwtToken(String id, String nickname){

        String JwtToken = Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                .setSubject("guli-user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();

        return JwtToken;
    }

    /**
     * 判断token是否存在与有效
     * @param jwtToken
     * @return
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) return false;
        try {
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 判断token是否存在与有效
     * @param request
     * @return
     */
    public static boolean checkToken(HttpServletRequest request) {
        try {
            String jwtToken = request.getHeader("token");
            if(StringUtils.isEmpty(jwtToken)) return false;
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 根据token获取会员id
     * @param request
     * @return
     */
    public static String getMemberIdByJwtToken(HttpServletRequest request) {
        String jwtToken = request.getHeader("token");
        if(StringUtils.isEmpty(jwtToken)) return "";
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        Claims claims = claimsJws.getBody();
        return (String)claims.get("id");
    }
}
伊人秋采唐
关注
JWT跨域身份验证
辰伏的博客
03-27 562
1. JWT概念 常用的用户身份认证方法 用户向服务器发送用户名和密码 验证通过后,相关信息(用户角色,登录时间)保存到当前会话 服务器向用户返回session_id,session信息写入用户Cookie 用户的每个后续请求都会通过Cookie中取出的session_id传给服务器 服务器收到session_id并对比之前保存数据,确认用户身份 存在的缺陷和问题 没有分布式架构,无法支持横向扩展 如果使用一个服务器,该模式完全没有问题。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要
Vue之jwt跨域身份验证,令牌)
qq_65975514的博客
05-16 4615
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:56"} 2. 之后,当用户...
JWT跨域认证
最新发布
Bob516516的博客
09-18 876
用户认证的流程:用户向服务器发送用户名和密码。服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等。服务器向用户返回一个session_id,写入用户的Cookie。用户随后的每一次请求,都会通过Cookie,将session_id传回服务器。服务器收到session_id,找到前期保存的数据,由此得知用户的身份。session认证的方式应用非常普遍,但也存在一些问题:扩展性不好。如果是,或者是的服务导向架构,就。
JWT跨域
m0_64171591的博客
01-16 944
1)预检请求问题:对于非简单请求,会向服务器发起两个请求,先发送一个OPTIONS的预检请求(preflight request),用于获取服务器响应头信息,比如CorsFilter设置的响应头,浏览器判断返回的响应头,如果允许跨域访问,则发起第二次请求,请求到具有的资源,否则不再发送第二次请求。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
跨域JWT
dawnwindyj的博客
10-16 335
跨域jwt
JWT完全跨域的实现
ybbgrain的历程
09-17 1177
概述 什么是JWTJWT全称JSON Web Token是一个开放标准。而今天要学习的是如何使用JWT来做单点登录,也就是跨域认证的实现。 认证的过程 首先用户向服务器发送用户名和密码。 然后服务器将数据保存再,session里面。 服务器向用户返回一个session_id,写入给用户的Cookie。 用户之后的每一次请求,都会将通过Cookie将session_id返回到服务器。 服务器收到了session_id,找到前期保存的数据,从而得到用户的身份。 优点:简单容易实现。..
c#关于JWT跨域身份验证的实现代码
08-25
本文将详细介绍C#关于JWT跨域身份验证的实现代码,通过示例代码对JWT的组成、JWT与传统session的对比、JWT的实现代码等方面进行了详细的介绍,对大家的学习或者工作具有一定的参考学习价值。 一、JWT的组成 JWT...
asp.net基于JWT的web api身份验证跨域调用实践
10-18
本文将介绍使用 JWT(JSON Web Tokens)在 *** 中实现 Web API 身份验证以及如何处理跨域调用的实践技巧。 首先,我们来解释什么是 JWTJWT 是一种开放标准(RFC 7519),它定义了一种简洁的、自包含的方式用于...
2.JWT原理
weixin_51733230的博客
11-02 195
1.cookie使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理:用户名+秘密 ​ *cookie是保存在用户浏览器端,用户名和密码等文明信息 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ajKdCnag-1604289627722)(C:\Users\马浩伟\AppData\Local\Temp\1604286749628.png)] 1.2 session使用原理 ​ *session是
了解JWT跨域
weixin_50999696的博客
11-22 2062
什么是JWT呢? 1、JWT(JSON Web Token) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 简单的讲就是,JWT是一个带签名及用户相关的信息加密成串,页面请求校验登录接口时,请求头中携带JWT串到后端服务,后端通过签名加密串匹配校验,保证信息未被篡改。校验通过则认为是可靠的
详解使用JWT实现单点登录(完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT实现跨域请求
qq_49723651的博客
04-26 923
JWT实现跨域请求 文章目录JWT实现跨域请求cookie的弊端使用JWT实现跨域案例 cookie的弊端 最近在做一个web项目,我想实现一个功能:客户端浏览器每次访问首页的时候,就从请求中获取cookie,如果cookie中含有用户信息,就自动为用户登录,否则就不登陆。 但是我的前端是基于vue实现的,起在8080端口,服务端起在9090端口,众所周知cookie是不可以跨域的,满足不同协议,不同域名,不同端口即为跨域,虽然前后端都部署在localhost,但是不同端口造成了跨域。 虽然我们可以采取
JWT跨域身份验证解决方案)
weixin_45703565的博客
03-15 1545
因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVAJavaScript、NodeJS、PHP等很多语言都可以使用。因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展相比传统token的优势?
JWT
P_YUX的博客
09-08 635
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “20...
JWT——跨域认证解决方案
mmklo的博客
10-05 2064
官方定义:其大致意思就是:JWT是一个以JSON格式传输信息,且传输过程中是安全的,因为他有数字签名,所以可以做验证(其中的加密或者签名算法有RSA/CDSA)自我理解就是:通过以JSON的形式把数据封装成一个令牌,用于保证数据交互过程中的安全性(在传输过程中可以进行加密和签名)。
Jwt 最流行的跨域身份验证解决方案
Jinmindong
01-09 503
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT进行跨域身份验证
scorpio的博客
04-20 1672
JWT进行跨域身份验证
十分钟理解JWT跨域身份验证的灵活解决方案
总结来说,JWT是一种轻量级的身份验证技术,通过客户端与服务器之间的令牌传递,简化了跨域身份验证流程,提高了系统的可伸缩性和安全性。理解并掌握JWT的原理和使用方法,有助于开发人员构建高效、安全的Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伊人秋采唐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值