JWT的介绍与使用

最新推荐文章于 2024-04-22 08:53:10 发布
最新推荐文章于 2024-04-22 08:53:10 发布
阅读量454 收藏
点赞数
分类专栏: 环境搭建 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45526725/article/details/117443282
版权

一、什么是jwt

​ 来自官方的回答:

​ JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSAECDSA的公钥/私钥对进行签名

​ 虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是对其进行签名的一方。

​ 通俗的说,jwt就是将个人信息加密存储在一个签名令牌中,通过这个令牌验证个人信息。

二、什么时候要使用到jwt呢?

  • 授权:这是使用 JWT 最常见的场景。用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小,并且能够轻松跨不同域使用。
  • 信息交换:JSON Web Tokens 是一种在各方之间安全传输信息的好方法。因为 JWT 可以被签名——例如,使用公钥/私钥对——你可以确定发件人就是他们所说的那样。此外,由于使用标头和有效负载计算签名,因此您还可以验证内容是否未被篡改。

要是仍然觉得还不是特别理解,那举一个很简单的例子。你想去一个游乐场,买个一张门票,这个门票就相当于你的jwt令牌。游乐场里的每个项目都要你出示门票才能玩,避免有人没买票翻墙混入游乐场(这里每个项目就相当于令牌允许的路由、服务和资源)。

三、jwt的组成

在其紧凑形式中,JSON Web Tokens 由用点 ( .)分隔的三个部分组成,它们是:

  • 标题
  • 有效载荷
  • 签名

四、jwt的第一个案例

因为jwt就是做登录验证的,所以我们首先要准备登录最基本的环境。

  1. 数据库建立user表

    最基本的三个字段即可,包含用户名密码即可。

  2. pom依赖配置

    准备最基本的环境,以及jwt的环境依赖

    <artifactId>spring-boot-starter-web</artifactId>
<artifactId>spring-boot-starter-test</artifactId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<artifactId>lombok</artifactId>
<artifactId>mysql-connector-java</artifactId>
<artifactId>druid</artifactId>
<artifactId>jjwt</artifactId>

  3. 准备好jwt的工具类

    import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import java.util.Date;

public class JwtUtil {
    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";

    public static String getJwtToken(String id, String nickname){

        String JwtToken = Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                .setSubject("chenhang")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();

        return JwtToken;
    }

    /**
     * 判断token是否存在与有效
     * @param jwtToken
     * @return
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) return false;
        try {
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 判断token是否存在与有效
     * @param request
     * @return
     */
    public static boolean checkToken(HttpServletRequest request) {
        try {
            String jwtToken = request.getHeader("token");
            if(StringUtils.isEmpty(jwtToken)) return false;
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 根据token获取会员id
     * @param request
     * @return
     */
    public static String getMemberIdByJwtToken(HttpServletRequest request) {
        String jwtToken = request.getHeader("token");
        if(StringUtils.isEmpty(jwtToken)) return "";
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        Claims claims = claimsJws.getBody();
        return (String)claims.get("id");
    }
}

  4. 搭建最基本的包环境,包括entity,mapper,service,controller

    mapper:
    <select id="login" parameterType="User" resultType="User">
        select * from user where username = #{username} and password = #{password}
    </select>
controller:
    //用户登录生成token令牌
    @PostMapping("/user/login")
    public Map<String,Object> login(@RequestBody User user){
        log.info("用户名:[{}]",user.getUsername());
        log.info("密码:[{}]",user.getPassword());
        Map<String,Object> map = new HashMap<>();

        try {
            User login = userService.login(user);
            //生成jwt令牌
            String token = JwtUtil.getJwtToken(user.getId(), user.getUsername());
            map.put("token",token);
            map.put("state",true);
            map.put("msg","登陆成功");
        } catch (Exception e) {
            map.put("state",false);
            map.put("msg","登陆失败");
        }
        return map;
    }
	//通过token令牌验证是否合法
	@PostMapping("/user/getInfo")
    public Map<String,Object> getInfo(String token){
        log.info("当前token为:[{}]",token);
        Map<String,Object> map = new HashMap<>();
        try {
            boolean b = JwtUtil.checkToken(token);
            if (b){
                map.put("state",true);
                map.put("msg","验证通过");
                return map;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        map.put("state",false);
        map.put("msg","验证失败");
        return map;
    }

  5. 以上只是在当个接口中去验证token的合法性,若按照以上方法,则每个接口、方法都要去验证,造成代码冗余。所以在单体架构中,我们可以去写一个拦截器。在访问接口之前就通过拦截器去验证token的合法性,让代码更简洁,逻辑更清晰。

    拦截器的编写
import com.chen.utils.JwtUtil;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        Map<String,Object> map = new HashMap<>();
        try {
            boolean b = JwtUtil.checkToken(token);
            if (b){
                return true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        map.put("state",false);
        map.put("msg","请先登录!");
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}

  6. 最后将拦截器配置到spring当中。

    import com.chen.interceptors.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/getInfo")
                .excludePathPatterns("/user/login");
    }
}
言念君子~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT简单介绍使用
weixin_51980047的博客
07-27 2192
JWT简单介绍使用
JWT介绍以及使用
lanlan112233的博客
03-25 496
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
什么是JWTJWT全称是(Json Web Token)
最新发布
Romantic丶的博客
04-22 973
Jwt是一种认证协议,常见的用户名、密码登录去请求接口不安全,所以就有了它,就首次或者过期了,才会要求输入用户名密码,之后会对信息加密,并产生一个token(令牌),便于下次访问,服务期内Api资源;私钥加密,应用端公钥解密token。
JWT能够干什么,不应该干什么?
weixin_34085658的博客
11-28 439
http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/ At the start of this article, I said that therearegood usecases for JWT, but that they're just not suitable as a session m...
什么是JWT以及具体应用
weixin_30849403的博客
03-19 161
jwt理论阮大神已经解释的很到位了 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html jwt官网收录了多种实现库,各个库对比详见搬运博文: https://www.cnblogs.com/zh-ch/p/10557741.html jwt只适合部分场景,目前确实不太适合完全替代session、token模...
常见的JWT到底有什么用?
码农桃子的博客
07-10 2441
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其...
在SpringBoot中使用JWT的实现方法
08-26
在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是一种基于 token 的身份验证机制,可以...
springboot中使用jwt
03-06
7. **验证JWT**:在`JwtRequestFilter`中,解码JWT,验证其签名和过期时间,如果有效则将用户信息放入SecurityContextHolder,供后续的Controller使用。 8. **处理异常**:配置全局异常处理,处理JWT验证失败或其他...
jwt简单的介绍和了解
10-27
3. **签名(Signature)**:将头部和载荷使用Base64URL编码后,与一个密钥(secret)结合,通过指定的签名算法(如HS256)计算得出,用于验证JWT的完整性和来源。 ### JWT的优势 1. **无状态**:与基于Session的...
JWT介绍和实践,带demo
03-03
3. **Signature**:由编码后的Header和Payload加上一个秘密(Secret)使用Header中指定的算法(如HMAC SHA256)计算得出,用于验证JWT的完整性和来源。 使用JWT的过程: 1. 用户成功登录后,服务端生成JWT,包含...
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)...
springboot-jwt-starter:用于无状态和基于令牌的身份验证应用程序的Spring Boot JWT入门工具包
01-29
_ _ _ _ _ _ _ ___ _ __ _ __(_)_ __ __ _| |__ ___ ___ | |_ (_)_ _| |_ ___| |_ __ _ _ __| |_ ___ _ __ / __| '_ \| '__| | '_ \ / _` | '_ \ / _ \ / _ \| __| | \ \ /\ / / __| / __| __/ _` | '__| __/ _ \ '__| \__ \ |_) | | | | | | | (_| | |_) | (_) | (_) | |_ | |\ V V /| |_ \__ \ || (_| | | | || __/ | |___/ .__/|_| |_|_| |_|\__, |_.__/ \___/ \___/ \__| _/ | \_/\_/ \__| |___/\__\__,_|_| \__\___|_| |_|
Jwt介绍
weixin_66202611的博客
09-17 1540
JWT运行机制1.第一次发送登录请求,必然会携带用户信息(用户名&密码)2.通过用户信息(用户名&密码)登录成功,会将用户信息通过jwt工具类生成一个加密的字符串3.加密字符串 会以 response header 响应头的形式 响应到前端4.前端服务器,会有响应拦截器拦截,截取到响应头承载的jwt串,有会放到Vuex中5.当第二次请求,前端服务器中有一个请求拦截器,会将Vuex中的jwt串放入request header请求头中的jwt串。
JWT是个啥?JWT的原理和应用
Liquor的博客
01-27 547
JWT简介 JWT:Json Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,他的两大使用场景是:认证和数据交换 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登录状态 的办法,通过token来代表用户身份。 JWT生成 JWT校验 一些问题 token到底生成什么样最好?(规则),每个用户要唯一 token
JWT介绍
凉茶铺的博客
04-28 557
介绍JWT的基本概念和其使用方式
JWT简单介绍
白羊座的橙子
08-03 362
在上面的代码中,alg 属性表示签名使用的算法,默认为 HMAC SHA256(写为 HS256);在计算出签名哈希后,JWT 头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个 JWT 对象。有效载荷部分,是 JWT 的主体内容部分,也是一个 JSON 对象,包含需要传递的数据。通过检查签名,期望的颁发者(issuer),期望的接收者aud(audience),或者scope,签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。........
做基于Spring Security Jwt认证的Starter包
qq_41090272的博客
09-19 670
以前老的项目大多采用的是session进行用户身份的管理,目前很多公司的项目都是前后端分离, 这样使用session 成本就会变高,然后多数项目会采用Jwt进行用户的身份的管理。 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。有不清楚的同学可以先看看者篇文章:10分钟了解JSON Web令牌(JWT) 今天要做的事就是将Jwt认证和授权的过程封装成一个Springboo...
为什么要使用JWT?实战项目怎么应用?
weixin_43504955的博客
11-12 760
Java八股文...技术装逼指数:4颗星
Jwt使用场景
安迪爸爸
07-02 8165
什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成token的框架或规范。既然也是token那我们可以换一种问法,token是什么?为什么要使用token? token是什么 Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需...
java 使用jwt
09-03
- *1* *2* *3* [JWT介绍以及java-jwt使用](https://blog.csdn.net/oscar999/article/details/102728303)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值