JWT使用简介

已于 2022-02-17 00:08:31 修改
阅读量5.2k 收藏 11
点赞数 2
分类专栏: Spring Boot 文章标签: http java json web安全
于 2022-02-01 23:59:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45118180/article/details/122767217
版权

前言:本文主要简单介绍了什么是JWT和在JavaEE环境下如何使用JWT,简述JWT技术能够为Web开发带来什么样的帮助。

简介

JWT(JSON Web Token),可以生成一个加密的token,作为用户登录的令牌,当用户登录成功之后,发送给客户端。请求需要登录的资源或者接口的时候,将token携带,后端验证token是否合法。提供JSON形式作为Web应用中的令牌,用于在各发之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等处理。

作用

  1. 授权
    最常见方案:JWT。一旦用户登录,每个后续请求将包含JWT,从而允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用JWT的一项功能,因为开销很小并且可以在不同的域中轻松使用。
  2. 信息交换
    JWT能在各方之间安全地传输信息,因为可以对JWT进行签名,所以可以确保发件人真实性。此外,由于签名是使用标头和有效负载计算的,因此还可以验证内容是否被篡改。

两种认证方式

基于传统的Session认证

在这里插入图片描述

基于JWT认证

在这里插入图片描述

JWT组成

  • Header:标头,头部信息(固定),令牌类型和所使用的签名算法

    变量作用
    密钥用于比对
    算法将Header和Payload加密成Signature
    {
  "alg": "HS256",
  "typ": "JWT"
}

  • Playload:有效载荷,存放信息(可以被解密,不安全),不能存放敏感信息

    变量作用
    签发人Token令牌归属人
    创建时间令牌创建时间
    失效时间令牌失效时间
    唯一标识算法生成的唯一标识(jti -> sessionId)
    {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

  • Verify Signature:签名,Header和Playload加上密钥加密而成,用于比对信息,防止篡改Header和Playload

JWT验证,主要验证 Verify Signature 部分是否合法

优势

  1. 简洁
    数据量小,传输速度快
  2. 自包含
    负载中包含了所有用户所需要的信息,避免了多次查询数据库

依赖包

jjwtjava-jwt

<!-- jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

<!-- java-jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.2</version>
</dependency>

使用JWT

引入依赖

java-jwt是Java推荐使用的JWT实现库

<!-- java-jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.2</version>
</dependency>

生成令牌 token

HashMap<String, Object> map = new HashMap<>();	// Header
// 设置过期时间 600s
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 600);
// 创建Token令牌
String token = JWT.create()
    .withHeader(map)                            // Header
    .withClaim("userId", 21)        		   // Payload
    .withClaim("username", "张三")			 // Payload
    .withExpiresAt(instance.getTime())          // 指定令牌过期时间
    .sign(Algorithm.HMAC256("!WENCLJNE"));      // 签名
// 输出令牌
System.out.println("token = " + token);
// 输出结果:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MzIwMzQyNTgsInVzZXJJZCI6MjEsInVzZXJuYW1lIjoi5byg5LiJIn0.iaPw0l_7i0Ff96AzKd-RTm7S1p1WJYePbKF29n6hmJ0

验证令牌 token

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!WENCLJNE")).build();	// 创建验证对象
DecodedJWT verify = jwtVerifier.verify(token);	// 验证token
System.out.println(verify.getClaim("userId"));
System.out.println(verify.getClaim("username"));
System.out.println("过期时间:" + verify.getExpiresAt());

常见异常

  • SignatureVerificationException:签名不一致
  • AlgorithmMismatchException:算法不匹配
  • TokenExpiredException:令牌过期
  • InvalidClaimException:失效的payload异常

封装工具类

JwtUtils.java

public class JWTUtils {
    private static String TOKEN = "token!Q@W3e4r";
    /**
     * 生成token
     * @param map  //传入Payload
     * @return 返回token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);	// Payload 有效载荷
        });
        // 设置过期时间 7秒
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,7);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(TOKEN));	// 签名
    }
    /**
     * 验证token
     * @param token
     * @return
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);  // 如果验证通过,则不会把报错,否则会报错
    }
    /**
     * 获取token中payload
     * @param token
     * @return
     */
    public static DecodedJWT getToken(String token){
        return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
}
少年小子
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 中 JWT使用介绍
禅与计算机程序设计艺术
09-22 971
JWTJSON Web Token)是一个基于 JSON 对象传输的、用于身份认证和信息交换的一种令牌规范。它允许在需要的时候通过共享密钥进行加密签名验证。短期 JWT - 有效期较短,一般几分钟到几小时。普通 JWT - 有效期一般较长,甚至几个月都可能有效。长期 JWT - 在某些情况下,用户可能会使用超过一年的时间。JWT 可以在单点登录(Single Sign On)、API 授权(Authorization)、信息交换等方面提供巨大的便利。
JWTJWTVerifier
mingzq123的博客
03-27 821
verify(Algorithm algorithm):使用指定的算法验证JWT的签名是否有效。withAudience(String... audience):指定JWT的受众(audience),以确保该JWT只能被特定的受众使用。withSubject(String subject):指定JWT的主题(subject),以确保该JWT只能用于特定的目的或场景。withIssuer(String issuer):指定JWT的发行者(issuer),以确保该JWT只能由特定的发行者签发。
JWT使用
m0_60385807的博客
11-17 6269
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt的介绍 1、jwt是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2、为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3、JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Ad
java jwt使用
最新发布
alisande1的专栏
05-30 164
【代码】java jwt使用
JWT的基本使用
ilove_story的博客
11-13 240
1、什么是JWT 官网介绍 JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
JWT简单使用
weixin_45794641的博客
11-05 3249
JWT简单使用 目录JWT简单使用一、概述1.JWT是什么2.JWT能做什么?3.为什么要使用JWT?二、JWT结构1.Header2.payLoad3.signature三、使用JWT1.JWT代码2.JWT的工具类封装3.SpringBoot整合JWT 一、概述 1.JWT是什么 ​ JWT全称是JSON Web Token,通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。 2.JWT能做什么? 授权 ​
JWT简单介绍与使用
weixin_51980047的博客
07-27 2208
JWT简单介绍与使用
JWT使用教程
m0_50202747的博客
08-28 1649
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT简介使用
A121212789的博客
03-24 1030
在实际的开发中,token不可能一直有效,比如30分钟内一次都没有进行操作,则认证过期,需要重新登录,如果一直在进行请求访问则token一直有效,直到上一次访问距离下一次访问的时间超过了30分钟,则认证过期。有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。在 nimbus-jose-jwt 中,使用 Header 类代表 JWT 的头部,不过,Header 类是一个抽象类,我们使用的是它的子类。
JWT简介
qq_65345936的博客
09-18 2164
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
Django rest framework jwt使用方法详解
01-01
是可以通过反编码的方式获取到这个原来的Json,所以JWT中存放的一般是不敏感的信息)生成的字符串,Header中存放的内容是说明编码对象是一个JWT以及使用“SHA-256”的算法进行加密(加密用于生成Signat
JWT使用详解
qq_45737165的博客
08-18 432
JWT使用
Node express项目(1)JWT验证
qq_39404437的博客
03-28 1683
node项目+jwt
JWT身份验证原理简单讲解与nodejs简单实现
AKGWSB 's blog
08-14 8889
目录前言JWT简单介绍node中使用JWT安装jsonwebtoken包签发token验证token 前言 上一篇【基于token的持久化登录讲解及其实现】讲到token的机制,以及token的2大特性,即:只有服务器能够签发token,服务器可以验证token是否由自己签发。 可是上一篇博客编写的时候,对token的理解还不够深入,上一篇博客的token是最最最基本的token验证,而现在互联网应用的登录验证普遍使用JWT,即 JSON WEB TOKEN 的规范化验证,所以今天来学习一蛤,并且学习如何在
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
Jwt选型和实现
qq_45317823的博客
02-19 516
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
中间件学习-jwt登录验证
weixin_43596589的博客
07-30 935
中间件学习-jwt登录验证 jwt json web token 简要说明 前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少服务器的压力,不用向以前一样将对象保存在session里面,或者是利用redis保存信息,因为
JWT,这一篇就够了
qq_18841277的博客
09-05 756
比如客户端传入 Header(A)、Payload(B)、Signature(C),我们需要通过A、B和密钥通过Base64编码后的值和C进行对比,如果值相同则正确。包含两个部分:令牌的类型和所使用的签名算法.标头使用的是Base64编码,注意Base64编码不是一种加密的过程,可以被解码为初始值。签名是将编码后的(标头、有效载荷和我们提供的一个密钥)和我们Header中指定的签名算法进行编码。有效载荷存放的是用户的数据信息,通过Base64进行加密,不要在Payload中存放重要的值。
JWT Handbook: 安全使用与实践应用解析
1. JSON Web Token (JWT)简介 - JWT是什么:JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。信息是以JSON对象的形式编码,被签名,可以被验证和信任。 - 解决的问题:JWT解决了身份验证和授权过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值