JWT学习进阶

最新推荐文章于 2024-05-02 21:56:05 发布
最新推荐文章于 2024-05-02 21:56:05 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: 后端 文章标签: 后端 java 安全 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45268711/article/details/121594766
版权

JWT入门学习

文章目录

JWT

简介

JSON Web 令牌

官网网址:https://jwt.io

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输.在数据传输过程中还可以完成数据加密、签名等相关处理

基于传统的Session认证

HTTP协议是一种无状态的协议,因此每次请求时,要再一次的进行用户认证.为了识别是那个用户发出的请求,采用的是Session-cookie的机制.在服务器中存储用户登录信息,保存在session中,同时将登陆信息响应给浏览器,保存为cookie,以便下次请求再次发送,用于识别身份信息.

暴露的问题

  1. 由于session都是保存在内存中,随着认证用户的增多,服务端的开销会明显增大
  2. 用户认证之后,服务端做认证记录,意味着用户下次请求必须在这台服务器上,才可以拿到授权资源,这样在分布式的应用上,相应的限制了负载均衡的能力,限制了应用的扩展能力.需要实现session共享机制
  3. 基于cookie来进行用户识别,容易被截获,容易受到跨站请求伪造的攻击(CSRF)

基于JWT认证

image-20211125212133101

认证流程

  1. 前端将用户名和密码发送给后端
  2. 后端核对用户名和密码成功后,将用户ID等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token),形成的JWT就是一个形同lll.zzz.xxx的字符串
  3. 后端将JTW字符串作为登陆成功的返回结果返回给前端.前端可以将返回的结果保存在localStoragesessionStorage上,退出登陆时前端删除保存的JWT即可
  4. 前端在每次请求时将JWT放入HTTP Header中的Authorization位.(解决XSS和XSRF问题)
  5. 后端检查是否存在,如存在验证JWT的有效性.例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)
  6. 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果.

优势

  • 简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  • 自包含(Self-contained): 负载中包含了所有用户所需要的信息,避免了多次查询数据库
  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
  • 不需要在服务端保存会话信息,特别适用于分布式微服务

JWT结构

token string =====> header.payload.signature		 token

##令牌组成
1、标头(Header)
2、有效载荷(Payload)
3、签名(Signature)
JWT通常如下所示: xxxx.yyyyy.zzzzz 即Header.Payload.Signature




#Header
-标头通常由两部分组成: 令牌的类型(JWT)和所使用的签名算法,例如HMAC SHA256RSA. 它会使用Base64编码组成JWT结构的第一部分
-注意: Base64是一种编码,也就是说,它是可以被翻译回原来的样子,并不是一种加密过程.
{
  "alg": "SHA256",
  "typ": "JWT"
}


###Payload 不要放敏感信息
-令牌的第二部分是有效负载,其中包含声明. 声明是有关实体(通常是用户)和其他数据的声明,同样的,它会使用Base64编码组成JWT结构的第二部分

{
  "sub": "123456789",
  "name": "John Doe",
  "admin": true
}

###Signature
-前面两部分都是使用Base64进行编码的,即前端可以解开里面的信息. Signature需要使用编码后的header和payload以及我们提提供的一个密钥,然后使用header中指定的签名算法(HS256)进行签名. 签名的作用是保证JWT没有被篡改
如:
HMACSHA256(base64UrlEncoder(header) + "." + base64UrlEncode(payload),secret);

##签名目的
-最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改.如果有人对头部以及负载的内容解码之后进行修改,在进行编码,最后加上之前的签名组合形成新的JTW的话,那么服务器会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的.涂哥要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的.


##信息安全问题
Base64是一种编码,是可逆的.
--所以,JWT,不应该在负载里面加入任何敏感的数据.一般的,JWT,传输的是用户的User ID,这个值实际上不是什么敏感内容,一般情况下被知道也是安全,但是像密码这样的内容就不能放在JWT中了.如果将用户的密码放在了JWT,那么怀有恶意的第三方通过Base64解码就能知道用户密码.因此JWT适用于向Web应用传递一些非敏感信息.JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录.

使用JWT

<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.2</version>
        </dependency>

生成token

@Test
    void contextLoads() {
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 90);
        //生成令牌 链式调用
        String token = JWT.create()
                //payload
                .withClaim("username", "张三")
                .withClaim("username", 1)
                //设置过期时间
                .withExpiresAt(instance.getTime())
                //设置签名 保密 复杂
                .sign(Algorithm.HMAC256("token@HDLSDJDKF"));
        System.out.println("输出令牌:" + token);
    }

输出令牌:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MzgwNjQ2MTAsInVzZXJuYW1lIjoxfQ.-nUfEvCRcc_03dBjJp2EvuP93IL2Ns-ReParKO1u3G8

验签对象

 @Test
    void checkJWT(){
        //构建验签对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token@HDLSDJDKF")).build();
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MzgwNjUxOTYsInVzZXJJRCI6MSwidXNlcm5hbWUiOiLlvKDkuIkifQ.gNbzYHZsOMyd8rEGyPtTImRFnTQb6dhOa5jMzZq_lL0");
        Claim username = verify.getClaim("username");
        Claim userID = verify.getClaim("userID");
        //注意类型问题,否则拿不到对应的数据为null
        System.out.println(userID.asInt());
        System.out.println(username.asString());
    }

常见异常信息

-SignatureVerificationException: 签名不一致异常

-TokenExpireException: 令牌过期异常

-AlgorithmMismatchException: 算法不匹配异常

-InvalidClaimException: 失效的payload异常

封装工具类

public class JwtUtils {
    private static final String SECRECY = "luxiaobai@lsy";

    /**
     * 生成token
     * @param map 传入payload
     */
    public static String getToken(Map<String, String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach(builder::withClaim);
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 90);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(SECRECY));
    }

    /**
     * 验证token
     */
    public static void checkToken(String token){
       JWT.require(Algorithm.HMAC256(SECRECY)).build().verify(token);
    }

    /**
     * 获取token中的payload
     */
    public static DecodedJWT getPayload(String token){
        return JWT.require(Algorithm.HMAC256(SECRECY)).build().verify(token);
    }
}

Springboot整合JWT

<dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.2</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.23</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.26</version>
        </dependency>

server.port=8999

spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=Sal12345

mybatis.type-aliases-package=com.luxiaobai.entity
mybatis.mapper-locations=classpath:com/luxiaobai/mapper/*.xml

logging.level.com.luxiaobai.dao=debug

主要代码

JwtInterceptor
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求头中的令牌
        String token = request.getHeader("token");
        Map<String, Object> map = new HashMap<>();
        try {
            //验证令牌
            JwtUtils.getPayload(token);
            return true;
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "token过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不一致!");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token无效");
        }
        map.put("state", false);
        //将map转换为json jackson
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;

    }
}
Config
@Component
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/test")
                .excludePathPatterns("/user/login");
    }
}
Controller
@RestController
@Slf4j
public class TestController {

    @Autowired
    private UserServiceImpl userService;

    @GetMapping("/user/login")
    public Map<String, Object> login(User user) {
        log.info(("用户名[{}]" + user.getName()));
        log.info("密码[{}]" + user.getPassword());
        Map<String, Object> map = new HashMap<>();
        try {
            User userDb = userService.login(user);
            //生成令牌
            Map<String, String> payload = new HashMap<>();
            payload.put("userId", userDb.getId());
            payload.put("userName", userDb.getName());
            String token = JwtUtils.getToken(payload);
            map.put("token", token);
            map.put("state", true);
            map.put("msg", "认证成功");
        } catch (Exception e) {
            map.put("state", false);
            map.put("msg", e.getMessage());
        }
        return map;
    }

    @PostMapping("/user/test")
    public Map<String, Object> test(HttpServletRequest request) {
        String token = request.getHeader("token");
        log.info("token:[{}]", token);
        DecodedJWT payload = JwtUtils.getPayload(token);
        log.info("用户ID:[{}]", payload.getClaim("userId"));
        log.info("用户名:[{}]", payload.getClaim("userName"));
        Map<String, Object> map = new HashMap<>();
        //转换为拦截器  实际业务逻辑
//        try {
//            //验证令牌
//            DecodedJWT payload = JwtUtils.getPayload(token);
//            map.put("state", true);
//            map.put("msg", "认证成功");
//            return map;
//        } catch (TokenExpiredException e) {
//            e.printStackTrace();
//            map.put("msg", "token过期");
//        } catch (AlgorithmMismatchException e) {
//            e.printStackTrace();
//            map.put("msg", "算法不一致!");
//        } catch (Exception e) {
//            e.printStackTrace();
//            map.put("msg", "token无效");
//        }
        map.put("state", true);
        return map;
    }
}
源代码

[1]:https://github.com/luxiaobai007/JWT.git JWT源代码及学习笔记

路小白&
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Node.js学习笔记--进阶之路
JackieDYH的博客
05-10 1850
简介 Node 是一个软件, 可以脱离浏览器, 独立执行JS文件 Node实现了ECMAScript标准, 所以语言跟JavaScript基本一致 因为想成为全栈开发(前后端都可以的大拿) PHP等语言是阻塞的, 性能不如nodeJS node是事件驱动, 非阻塞的 Node中是大量的, 事件和回调函数 单线程(主线程单线程,后台I/O线程池) 跨平台 (Node软件可以安装在window系统/linux系统/mac系统/等等) 安装Node ...
使用Token进行身份验证
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
【黄啊码】PHP实现token验证登录(JWT鉴权登录)
黄啊码
03-29 5613
【黄啊码】PHP实现token验证登录(JWT鉴权登录)
如何用python请求接口
罗彬桦的博客
08-17 1万+
作用:用来重复插入数据 1、首先下载好python 然后 cmd 输入 python 判断是否全局安装成功 2、下载好PcIdea 3、下载好自己需要的库 4、查看请求网络 1. 按好F12 2. 对接口进行请求 3. 先将需要的header请求头标数据进行验证 4. 查看正文请求 5、给你一个模板自己慢慢体会 import requests #...
Python自动化—实现获取token
weixin_44249185的博客
09-16 1万+
python之获取token 在公共函数模块实现获取token函数,方便测试用例代码实现时直接调用拿到token值。 1、使用的模块 requests:第三方模块,用来发送http请求和获取返回的结果。 2、使用的方法 (1)requests的带参数get请求 requests.get(url=’’,params={’ ‘:’ ‘,’ ‘:’ ‘}) (2)或:字典类型的post请求方法 requ...
四柱八字预测请加微信zhxa2017
jcrsjcrs的专栏
01-17 2046
四柱八字预测请加微信zhxa2017
JWT学习
kedadiannao220的专栏
04-14 762
什么是JWT?jwt的全称是JSON Web Token;JSON Web Token是一个开源标准(rfc7519) ,是一个轻量,携带着用户信息的json Object对象,安全的进行服务器端与客户端交互;这个对象可以校验、信任,因为它由数字组成; 轻量:因为轻量,所以可以更好地放在http header里面,在服务器与客户端之间快速交互 携带用户信息:将用户的重要信息:userId
JWT学习笔记
大葱Blog
02-24 3614
为一个自娱自乐的项目开发WebAPI的时候,我尝试使用了Token验证机制。 对于我这样一个菜鸟来说,Token的验证机制在我理解中十分简单: 先使用用户名和密码登录系统,服务器会返回一个字符串,约定好这个字符串就是系统出入的通行令牌 客户端之后除了登录操作的所有请求只要带上这个字符串,系统就会放行。 好,到现在就明白了,“Token”在当时的我看来只是一个字符串,我...
后端自我进阶学习pdf
05-31
这篇“后端自我进阶学习pdf”显然旨在帮助开发者提升他们的后端技术能力,从而实现职业发展。以下是一些可能涵盖的重要知识点: 1. **编程语言基础**:后端开发通常涉及Java、Python、Node.js、Ruby等语言,理解...
在线学习平台的设计与实现(进阶版)
03-27
在线学习平台的设计与实现(进阶版)是一个涵盖了现代Web技术的综合项目,主要涉及到SpringBoot、前后端分离以及微服务架构等核心概念。在这个项目中,开发者将学习如何构建一个高效、可扩展且用户体验良好的在线教育...
2024年Java学习路线图(适合自学详细版)_java架构师技术进阶路线图
最新发布
2301_82257383的博客
05-02 497
学习常见的数据架构和算法,建立其良好的编程思维,形成自己的编程思想。掌握各种算法,提升自己的编程能力。掌握基本的数据结构,加深对程序底层的理解。利用编程思维解决生活和工作中的各种问题。数据库技术是软件开发中的必备技能,咱们从数据库基本操作到掌握数据库设计的能力,层层深入学习数据库设计思想,一个软件项目的底层逻辑中,数据的存储结构是重中之重,因此,数据库技术也是面试中常被面试官拿来考察面试者的必用问题。本阶段主要学习掌握MySQL数据库 MySQL数据库设计、E-R图等。
Web安全进阶:理解OAuth与JWT
# 第一章:理解Web安全的基础知识 ## 1.1 什么是Web安全? Web安全(Web Security)是指在Web应用程序中保护用户和数据免受恶意攻击和非法访问的一系列措施和技术。随着Web应用程序的广泛应用,Web安全变得尤为...
angular设置referer_Angular.js 无法设置Authorization头,该怎么解决?
weixin_39677538的博客
12-18 465
使用jwt方式去验证,在拦截器中添加Authorization,始终无法添加,请问下问题在哪?拦截器代码如下request : function(config){config.withCredentials = true;//演示tokenvar token = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NhbXBsZX...
轻量Http客户端工具VSCode和IDEA
qq_34168515的博客
12-22 2020
作为一个WEB工程师,在日常的使用过程中,HTTP请求是必不可少的。PostmanInsomniaApiFox但是使用以上的工具,需要安装使用,而且有些还需要收费,使用起来相对比较麻烦。如果想要快速的发送HTTP请求,一般人考虑是直接在浏览器或者CMD进行发送,但是局限性很大,往往达不到我们想要的效果在日常的开发过程中,我们离不开两个工具,微软的Visual Studio Code 和 IntelliJ IDEA两款工具,这两款工具自带HTTP简单发送。下面我为大家介绍这两款工具。
Python接口自动化之Token详解及应用
weixin_42485712的博客
04-17 3790
——————·今天距2021年258天·——————这是ITester软件测试小栈第113次推文在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、sess...
mysql8.0命令备份数据库告警
热门推荐
sinat_33201781的博客
07-15 4万+
之前做了一个备份工具,后来客户数据库升级到mysql8.0之后,备份出警告导致后续流程进行不了。警告是“mysql: [Warning] Using a password on the command line interface can be insecure”大意是在执行语句里带密码不安全,上网找了解决办法,使用命令mysql_config_editor mysql_config_editor出现在mysql5.6.6以后的版本,可以给指定的连接和密码生成一个加密文件.mylogin.cnf,默认位于
接收Request请求Bearer令牌参数
PHPer技术栈
06-06 4705
接收Request请求Bearer令牌参数
未经过token验证的用户A使用正常用户登录后的有效token访问A自己的资源
aeowuguozhi的博客
03-09 808
用户ID和token: 已经登陆的用户: { "status": 200, "msg": "登录成功!", "data": { "userId": "83c68099-6522-4d22-a841-7059089c18cd", "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6Ijgz YzY4MDk5LTY1MjItNGQyMi1hODQxLTcwNTkwODljMThjZCIsInR5
PHP接口数据安全解决方案(二)
withoutfear的博客
10-08 1万+
前言 实例演示token签名并创建token 解析token并校验token合法性 类库封装管理jwt实例 前言 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者
spring boot进阶
08-26
Spring Boot进阶包括以下几个方面: 1. 深入理解Spring Boot:了解Spring Boot的核心原理和机制,包括自动配置、起步依赖、条件注解等。可以通过阅读官方文档、参考书籍以及查阅源码来进行学习。 2. 定制化配置:掌握如何通过自定义配置文件、属性注入、配置类等方式来定制化配置Spring Boot应用。例如,可以通过@ConfigurationProperties注解来读取外部的配置文件并注入到Bean中。 3. 微服务与云原生:学习如何使用Spring Boot构建微服务架构,并结合Docker、Kubernetes等云原生技术进行部署和管理。了解服务注册与发现、负载均衡、断路器等相关概念和工具,例如使用Spring Cloud、Netflix OSS等框架。 4. 性能优化与监控:掌握Spring Boot应用的性能优化技巧,包括数据库连接池的配置、缓存技术的选择和使用、异步编程等。此外,了解如何使用监控工具和指标来对Spring Boot应用进行监控和调优。 5. 安全与认证:学习如何在Spring Boot应用中添加安全机制,保护应用和用户的数据安全。可以使用Spring Security框架来进行认证和授权,同时还可以了解其他的安全相关技术,如OAuth2、JWT等。 6. 集成测试与持续集成:了解如何编写集成测试,并结合持续集成工具进行自动化测试和部署。可以使用工具如JUnit、Mockito、Jenkins等来实现自动化测试和持续集成的流程。 希望以上内容对你的Spring Boot进阶有所帮助!如有更多问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路小白&

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值