JWT 认证介绍与使用

最新推荐文章于 2024-06-19 15:59:42 发布
最新推荐文章于 2024-06-19 15:59:42 发布
阅读量811 收藏 4
点赞数 2
分类专栏: 笔记 文章标签: http restful https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45278293/article/details/123522038
版权
本文详细介绍了JWT(JSON Web Token)的概念、作用、为何选择JWT以及其结构。JWT常用于授权和信息交换,它具有体积小、自包含、跨语言等优点。在实际应用中,JWT的使用涉及生成和验证Token,并通过封装工具类简化操作。文章还展示了如何在SpringBoot项目中整合JWT,包括引入依赖、生成和验证Token,并提供了自定义拦截器的实现,确保API的安全访问。
摘要由CSDN通过智能技术生成

JWT 认证介绍与使用

文章目录

一、JWT 介绍

JWT 官网

1. 什么是JWT

JWT简称 JSON Web Token ,也就是通过 JSON 形式作为 Web 应用中的令牌,用于各方之间安全地将信息作为 JSON 对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

2. JWT 能做什么

  1. 授权:这是使用 JWT 的最常见的方案。一旦用户登录,每个后续请求将包括 JWT ,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
  2. 信息交换:JSON Web Token 是在各方之间安全地传输信息的好方法。因为可以对 JWT 进行签名(例如:使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名使用标头和有效负载计算的,因此您可以验证内容是否遭到篡改。

3. 为什么选择JWT

传统基于 Session 认证:

  1. 认证方式

我们知道,http 协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为更具 http 协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求。我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保护为 cookie ,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于 session 认证。

  1. 认证流程

在这里插入图片描述

  1. 暴露的问题

1:每个用户经过我们的应用认证之后,我们的应用都要在服务器做一个记录,以方便用户下次请求的鉴别,通常而言 session 都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。
2:用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也就意味着限制了应用的扩展能力。
3:因为是基于 cookie 来进行用户识别的,cookie 如果被拦截,用户就会很容易受到跨站请求伪造的攻击。
4:在前后端分离系统中就更加痛苦:如下图所示,也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发。如果用 session 每次携带 sessionid 到服务器,服务器还要查询用户信息。同事如果用户很多。这些信息存储在服务器内存中,给服务器增加负担,还有就是 CSRF (跨站伪造请求攻击)攻击,session 是基于cookie 进行用户识别的,cookie 如果被截获,用户就会很容易受到跨站请求伪造的攻击。还有就是 sessionid 就是一个特征值,表达的信息不够丰富。不容易扩展。而且如果你后端应用是多借点部署。那么就需要实现session共享机制,不方便集群应用。
在这里插入图片描述

基于 JWT 认证
在这里插入图片描述

认证流程:

  1. 首先,前端通过 Web 表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个 HTTP POST 请求。建议的方式是通过 SSL 加密的传输 (https 协议),从而避免敏感信息被嗅探。
  2. 后端核对用户名和密码成功后,将用户的 id 等其他信息作为 JWT Payload(负载),将其与头部分别进行 Base64 编码拼接后签名。形成一个 JWT。形成的 JWT 就是一个形同111.zzz.xxx 的字符串。
  3. 后端将 JWT 字符串作为登录成功的返回结果返回给前段。前端可以将返回的结果保存在 localStorage 或 sessionStorage 上,退出登录时情断删除保存的 JWT 即可。
  4. 前端在每次请求时将 JWT 放入 HTTP Header 中的Authorization 位。(解决 XSS 和 XSRF 问题)。
  5. 后端检查是否存在,如存在验证 JWT 的有效性。例如,检查签名是否正确;检查 Token 是否过期;检查 Token 的接受方是否是自己(可选)。
  6. 验证通过后后端使用 JWT 中包含的用户信息进行其他逻辑操作,返回相应结果。

JWT 优势:

  • 简介:可以通过 URL,POST 参数或者 HTTP Header 发送,因为数据量小,传输速度也很快。
  • 自包含(Self - contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。
  • 因为 Token 是以 JSON 加密的形式保存在客户端的,所以 JWT 是跨语言的,原则上任何 web 形式都支持。
  • 不需要在服务端保存绘画信息,特别适用于分布式微服务。

4. JWT的结构是什么

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、JWT 使用

引入依赖:

<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

生成token:

Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 90);
//生成令牌
String token = JWT.create()
  .withClaim("username", "张三")//设置自定义用户名
  .withExpiresAt(instance.getTime())//设置过期时间
  .sign(Algorithm.HMAC256("token!Q2W#E$RW"));//设置签名 保密 复杂
//输出令牌
System.out.println(token);

生成结果:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg

根据令牌和签名解析数据:

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
System.out.println("用户名: " + decodedJWT.getClaim("username").asString());// 存的是时候是什么类型,取得时候就是什么类型,否则取不到值。
System.out.println("过期时间: "+decodedJWT.getExpiresAt());

常见异常信息:

SignatureVerificationException:		签名不一致异常
TokenExpiredException:    			令牌过期异常
AlgorithmMismatchException:				算法不匹配异常
InvalidClaimException:			失效的payload异常

三、JWT 封装工具类

public class JWTUtils {
    private static String TOKEN = "token!Q@W3e4r";
    /**
     * 生成token
     * @param map  //传入payload
     * @return 返回token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,7);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(TOKEN));
    }
    /**
     * 验证token
     * @param token
     * @return
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);  // 如果验证通过,则不会把报错,否则会报错
    }
    /**
     * 获取token中payload
     * @param token
     * @return
     */
    public static DecodedJWT getToken(String token){
        return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
}

四、整合springboot

引入依赖:

<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

<!--引入mybatis-->
<dependency>
  <groupId>org.mybatis.spring.boot</groupId>
  <artifactId>mybatis-spring-boot-starter</artifactId>
  <version>2.1.3</version>
</dependency>

<!--引入lombok-->
<dependency>
  <groupId>org.projectlombok</groupId>
  <artifactId>lombok</artifactId>
  <version>1.18.12</version>
</dependency>

<!--引入druid-->
<dependency>
  <groupId>com.alibaba</groupId>
  <artifactId>druid</artifactId>
  <version>1.1.19</version>
</dependency>

<!--引入mysql-->
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
  <version>5.1.38</version>
</dependency>

配置信息:

server.port=8989
spring.application.name=jwt

spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root

mybatis.type-aliases-package=com.baizhi.entity
mybatis.mapper-locations=classpath:com/baizhi/mapper/*.xml

logging.level.com.baizhi.dao=debug

自定义验证 token 拦截器:


public class JWTInterceptor implements HandlerInterceptor{

	@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  String token = request.getHeader("token");
  Map<String,Object> map = new HashMap<>();
  try {
    JWTUtils.verify(token);
    return true;
  } catch (TokenExpiredException e) {
    map.put("state", false);
    map.put("msg", "Token已经过期!!!");
  } catch (SignatureVerificationException e){
    map.put("state", false);
    map.put("msg", "签名错误!!!");
  } catch (AlgorithmMismatchException e){
    map.put("state", false);
    map.put("msg", "加密算法不匹配!!!");
  } catch (Exception e) {
    e.printStackTrace();
    map.put("state", false);
    map.put("msg", "无效token~~");
  }
  String json = new ObjectMapper().writeValueAsString(map);
  response.setContentType("application/json;charset=UTF-8");
  response.getWriter().println(json);
  return false;
}

}

添加自定义拦截器:

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtTokenInterceptor()).
          excludePathPatterns("/user/**")  // 放行
          .addPathPatterns("/**"); // 拦截除了"/user/**的所有请求路径
    }
}

注意:token 是放在请求头中的,如使用 postman 工具调用:
在这里插入图片描述

mobº
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT认证
Yietong的博客
10-12 1604
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
JWT 应用
wyy的博客
04-10 959
文章目录JWT工具模块Token认证微服务JWT授权监测网关认证过滤消费端获取JWT JWT工具模块 如果要想在项目之中去使用JWT技术,那么就必须结合到已有的模块之中,最佳的做法就是将JWT的相关的处理 操作做为一个自动的starter组件进行接入 1、【microcloud项目】既然要开发一个starter组件,最佳的做法就是开发一个新的模块,模块名称:“yootk-starter.jwt ” 2、【microcloud 项目】需要为“yootk-starter-jwt”模块配置所需要的依赖库,这些依赖
JJWT最新版本0.12.x使用指南,实现登陆功能,JwtUtils
最新发布
shenyunmomie的博客
06-19 1221
JWT(JSON Web Token)令牌登录,是一种用于身份验证的开放标准。它是一个基于JSON格式的安全令牌,主要用于在网络上传输声明或者用户身份信息。JWT通常被用作API的认证方式,以及跨域身份验证。JWT令牌由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。Header:记录令牌类型,加密算法Payload:包含声明,声明是有关实体(通常是用户)和其他数据的语句。
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8488
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT认证使用
子午的博客
08-23 216
1. 前景介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 1.1 基于session认证暴露问题 Session: 每个用户经过我们的应用认
详解Django配置JWT认证方式
09-16
Django REST framework与`djangorestframework-simplejwt`库结合使用,可以轻松实现JWT的集成。 首先,我们需要安装必要的库。在命令行中运行以下命令,安装`djangorestframework-simplejwt`和`djangorestframework...
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity来使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
详解JWT token心得与使用实例
10-16
- 服务器通过重新计算签名来验证JWT的合法性,使用相同的算法和密钥,对比生成的新签名与JWT中的签名是否一致。 5. **Token 的安全性考虑**: - 因为签名是基于密钥生成的,只有服务器知道这个密钥,所以其他人...
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
2. **配置JWT**:在`Startup.cs`的`ConfigureServices`方法中,使用`AddAuthentication`和`AddJwtBearer`方法来配置JWT认证。需要设置密钥(`IssuerSigningKey`)、令牌过期时间(`TokenValidationParameters`的`...
JWT(JSON Web Token)认证
缘友一世的博客
02-27 920
JSON Web Token官网JSON Web 令牌 (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。通俗理解:JWT简称JSONWebToken,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5134
分布式跨域认证的解决新方案
Jwt认证
weixin_44727617的博客
03-05 931
jwt认证、拦截器、token过期时间
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2706
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
DRF JWT认证实战与原理解析
2. 简单使用:配置settings.py,添加JWT认证认证后端,然后在视图或全局设置中启用JWT认证。 3. 自定义返回格式:可以通过重写默认的返回格式,如在返回的响应中添加自定义的HTTP头或调整数据结构。 4. 使用自定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值