分布式session解决方案 — — JWT(生成token)

最新推荐文章于 2023-07-26 13:35:47 发布
最新推荐文章于 2023-07-26 13:35:47 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: 实习 文章标签: 分布式 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45565886/article/details/126557256
版权

JWT 跨域认证解决方案

1 介绍

  • JWT(JSON Web Token)是目前最流行的跨域认证解决方案,是一种基于Token的认证授权机制,JWT本身也是Token,是一种规范化之后的JSON结构的Token。
  • JWT自身包含了验证所需要的所有信息,因此,我们的服务器不需要存储Session信息(其他解决方案:hash、session共享),增加了系统的可用性和伸缩性,大大减轻了服务端的压力。
  • JWT更符合RESTFul API的无状态原则
  • JWT认证可以有效避免CSRF(跨站请求伪造攻击),因为JWT一般是存在在localStorage中,使用JWT进行身份验证的过程中不会涉及到Cookie

2 组成部分

JWT本质就是一组字符串,通过(.)切分成三个为Base64编码的部分:

  1. Header:描述JWT元数据,定义生成签名的算法及Token类型
  2. Payload:存放实际要传递的数据
  3. Signature(签名):服务器通过Payload、Header和一个密钥(Secret)使用Header里面指定的签名算法(默认是HMAC SHA256)

实例:用点分割,分为三部分
在这里插入图片描述

3 JWT工具类的编写(企业开发)

3.1 定义对应编码及盐值(加密时)

//定义对应的编码算法
static SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
//盐值,盐值随意,看公司要求【此处我采用UUID】
static String secretKey = "d8de020f63754a9fa746ea74b831afc3";

3.2 获取key

//获取key(指定算法和盐值的key对象)
private static Key generateKey(){
    //将盐值转成字节
    byte[] bytes = DatatypeConverter.parseBase64Binary(secretKey);
    //根据算法和盐值生成对应的key值
    Key key = new SecretKeySpec(bytes, signatureAlgorithm.getJcaName());
    return key;
}

3.3 生成token(generatorToken)

/**
 * 将我们的数据使用JWT的方式变成一个token xxx.yyy.zzz
 * @param payLoad   负载(数据信息)
 * @return
 */
public static String generatorToken(Map<String, String> payLoad){
    ObjectMapper objectMapper = new ObjectMapper();
    try{
        //构建jwt生成器
        JwtBuilder builder = Jwts.builder();
        //将负载信息设置到jwt生成器中
        JwtBuilder jwtBuilder = builder.setPayload(objectMapper.writeValueAsString(payLoad));
        //根据签名算法和key值,生成新的jwtBuilder
        JwtBuilder jwtBuilder1 = jwtBuilder.signWith(signatureAlgorithm, generateKey());
        String token = jwtBuilder1.compact();
        return token;
    } catch (JsonProcessingException e) {
        e.printStackTrace();
    }
    return null;
}

3.4 获取token中的body信息

/**
  * 根据指定的token, 返回对应的body信息
  * @param token
  * @return
  */
 public static Claims phaseTokenGetBody(String token){
     JwtParser jwtParser = Jwts.parser().setSigningKey(generateKey());
     Jws<Claims> claimsJws = jwtParser.parseClaimsJws(token);
     Claims body = claimsJws.getBody();//主要存放的信息
     return body;
 }

3.5 获取token中的signature信息

/**
  * 根据指定的token获取签名信息
  * @param token
  * @return
  */
 public static String phaseTokenGetSignature(String token){
     JwtParser jwtParser = Jwts.parser().setSigningKey(generateKey());
     Jws<Claims> claimsJws = jwtParser.parseClaimsJws(token);
     String signature = claimsJws.getSignature();
     return signature;
 }

3.6 获取token中的头信息

/**
 * 根据指定的token获取头信息
 * @param token
 * @return
 */
public static JwsHeader phaseTokenGetHeader(String token){
    //获取解析器
    JwtParser parser = Jwts.parser();
    //设置签名key(盐值)
    parser = parser.setSigningKey(generateKey());
    //解析token
    Jws<Claims> claimsJws = parser.parseClaimsJws(token);
    JwsHeader header = claimsJws.getHeader();
    return header;
}

3.7 测试

①在map中存入自己的数据,调用自定义API生成对应token

public static void main(String[] args) {
    //随机获取盐值
//        System.out.println(UUID.randomUUID().toString().replaceAll("-", ""));
    Map<String, String> payLoad = new HashMap<>();
    payLoad.put("name", "curry");
    String s = generatorToken(payLoad);
    //eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiY3VycnkifQ.Sf3GiF3p56nLzoAxEHLXcAckPmmPTtecj1_lGT9oV8s
    System.out.println(s);
}

②在jwt官网https://jwt.io/中进行解析,也可以调用自己的API进行解析
在这里插入图片描述
调用自己API:

//调用自定义API获取结果
Claims claims = phaseTokenGetBody(s);
//{name=curry}

③如果所给token有误,则会报错

Exception in thread "main" io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.

4 全部代码包含测试

package com.zi.api.commons.util;

import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.ObjectMapper;
import io.jsonwebtoken.*;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import java.util.HashMap;
import java.util.Map;

/**
 * 生成jwt工具类
 */
public class JJWTRootUtils {

    //定义对应的编码算法
    static SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
    //盐值
    static String secretKey = "d8de020f63754a9fa746ea74b831afc3";

    //获取key(指定算法和盐值的key对象)
    private static Key generateKey(){
        //将盐值转成字节
        byte[] bytes = DatatypeConverter.parseBase64Binary(secretKey);
        //根据算法和盐值生成对应的key值
        Key key = new SecretKeySpec(bytes, signatureAlgorithm.getJcaName());
        return key;
    }

    /**
     * 将我们的数据使用JWT的方式变成一个token xxx.yyy.zzz
     * @param payLoad   负载(数据信息)
     * @return
     */
    public static String generatorToken(Map<String, String> payLoad){
        ObjectMapper objectMapper = new ObjectMapper();
        try{
            //构建jwt生成器
            JwtBuilder builder = Jwts.builder();
            //将负载信息设置到jwt生成器中
            JwtBuilder jwtBuilder = builder.setPayload(objectMapper.writeValueAsString(payLoad));
            //根据签名算法和key值,生成新的jwtBuilder
            JwtBuilder jwtBuilder1 = jwtBuilder.signWith(signatureAlgorithm, generateKey());
            String token = jwtBuilder1.compact();
            return token;
        } catch (JsonProcessingException e) {
            e.printStackTrace();
        }
        return null;
    }

    /**
     * 根据指定的token, 返回对应的body信息
     * @param token
     * @return
     */
    public static Claims phaseTokenGetBody(String token){
        JwtParser jwtParser = Jwts.parser().setSigningKey(generateKey());
        Jws<Claims> claimsJws = jwtParser.parseClaimsJws(token);
        Claims body = claimsJws.getBody();//主要存放的信息
        return body;
    }

    /**
     * 根据指定的token获取签名信息
     * @param token
     * @return
     */
    public static String phaseTokenGetSignature(String token){
        JwtParser jwtParser = Jwts.parser().setSigningKey(generateKey());
        Jws<Claims> claimsJws = jwtParser.parseClaimsJws(token);
        String signature = claimsJws.getSignature();
        return signature;
    }


    /**
     * 根据指定的token获取头信息
     * @param token
     * @return
     */
    public static JwsHeader phaseTokenGetHeader(String token){
        //获取解析器
        JwtParser parser = Jwts.parser();
        //设置签名key(盐值)
        parser = parser.setSigningKey(generateKey());
        //解析token
        Jws<Claims> claimsJws = parser.parseClaimsJws(token);
        JwsHeader header = claimsJws.getHeader();
        return header;
    }


    public static void main(String[] args) {
        //随机获取盐值
//        System.out.println(UUID.randomUUID().toString().replaceAll("-", ""));
        Map<String, String> payLoad = new HashMap<>();
        payLoad.put("name", "curry");
        String s = generatorToken(payLoad);
        //eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiY3VycnkifQ.Sf3GiF3p56nLzoAxEHLXcAckPmmPTtecj1_lGT9oV8s
        System.out.println(s);

        //调用自定义API获取结果
        Claims claims = phaseTokenGetBody(s);
        //{name=curry}
        System.out.println(claims);
    }

}
NPE~
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
【Redis 与 JWT 实现session分布式 区别】
weixin_59565183的博客
06-07 586
在Redis中,Session的数据是以Key-Value的形式进行存储,其中Key是一个唯一的Session ID,Value则是Session中包含的所有信息,如Session的创建时间、最后访问时间、Session属性等。比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。根据实际的应用场景,我们可以选择不同的Session管理解决方案
JWT在java中的应用以及分布式应用下登录校验
ITzhongzi的博客
12-11 357
简介:讲解单机和分布式应用下登录校验,session共享,分布式缓存使用 1、单机tomcat应用登录检验 sesssion保存在浏览器和应用服务器会话之间 用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId, 客户端会把sessionId保存在cookie中,每次请求都会携带这个session...
社交登陆,分布式session,单点登陆,jwt
chenfl的博客
05-20 715
社交登陆,分布式session,单点登陆,jwt 一、社交登录 QQ、 微博、 github 等网站的用户量非常大, 别的网站为了简化自我网站的登陆与注册逻辑, 引入社交登陆功能; 步骤: 1) 、 用户点击 QQ 按钮 2) 、 引导跳转到 QQ 授权页 3) 、 用户主动点击授权, 跳回之前网页。 OAuth2.0 OAuth: OAuth(开放授权) 是一个开放标准, 允许用户授权第三方网站访问他们存储 在另外的服务提供者上的信息, 而不需要将用户名和密码提供给第三方网站或分享他们 数据的所有
JWT或者session,两者有啥区别?
weixin_45575405的博客
04-06 391
WT或者session,两者有啥区别?
分布式应用中session共享
tanwu1的博客
05-18 114
服务端使用UUID生成随机64位或128为token,放入redis中,然后返回给客户端并存储在cookie中,用户每次访问都携带此token,服务端去redis中检验是否有此用户即可。方法中,从客户端的Cookie中获取Token,并检查Redis中是否存在该Token生成一个随机的UUID Token,并将其存储在Redis中。接口中,生成一个Token,并将其设置到响应的Cookie中。接口中,验证客户端请求中携带的Token是否有效。请注意,以上代码仅作为示例,并没有完整的错误。
asp.net session 如何知道是哪个浏览器客户端_从session、cookie到tokenJWT
weixin_39731271的博客
11-22 140
相信每一个做过web开发的人,都或多或少用过或者听说过session、cookie,以及token以及JWT。有时候感觉很困惑,仿佛都是差不多的东西,这里就简单的对这几个概念做一个阐述。首先必须要知道的是:http协议是无状态的什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系,互不相识的。这种无状态的好处是快速,而坏处可想而知:用户发起登陆请求,成功后,发起另一个页面跳转请求,...
关于JWT
qq_45891099的博客
06-07 981
数据加密的基本过程,就是对原来为明文的文件或者数据按某种算法进行处理,使其成为不可读的一段代码。通常称为密文,通过这样的处理,来达到保护数据不被非法人窃取的目的。加密算法分为对称加密和非对称加密,其中对称加密算法的加密和解密的密钥相同,非对称加密算法的密钥不同,常见的 对称加密 算法主要有 、、 等,常见的非对称算法主要有 、 等.对称加密算法又称为共享密钥加密算法,在对称加密算法中,使用的密钥是同一个,发送和接收双方用这个密钥对数据进行加密和解密,这就要求双方事先都知道这个密钥。数据加密过程:在对称加密算
SpringBoot集成JWT生成token及校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token及校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT-Json Web Token-目前最流行跨域身份验证解决方案
最新发布
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证 —— 单端登录、多端登录、同...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
在Angular中使用JWT认证方法示例
12-09
在基于session的认证中,每个用户都要生成一份session,这份session通常保存在内存中,随着用户量的增加,服务端的开销会增大,而且对分布式应用不是很友好。 在token认证中,服务端不需要保留用户认证信息。当用户...
net core集成jwt
09-24
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单...
【C#】.Net Framework框架使用JWT
小5聊的博客
07-26 4943
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
【面试】ASP.NET Core+Redis+Mysql面试题&答案
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
08-09 4135
.NET Core 1.如何在ASP.NET Core中激活Session功能 2.什么是中间件 3.Applicationbuilder的Use和Run方法有什么区别 4.如何使taghelper在元素这一层上失效 5.何为ASP.NET Core 6.ASP.NET Core中AOP的支持有哪些 7.ASP.NET Core Filter的注册方式有哪些 8.ASP.NET Core Filter 如何支持依赖注入 9.ASP.NET Core如何读取配置文件的内容 10.ASP.NET Core有哪些
.NET和NET CORE 100道基础面试题
极客神殿
04-12 8444
1.面向对象的语言特性? A:封装性、继承性、多态性。 2.在.NET中所有类的基类是? A:Object。 3.在C#中,&和&&的区别? A:&是按位与运算符(或取地址运算符),&&是条件与运算符(也叫逻辑与运算符)。 4.委托声明的关键字是? A:delegate。 5.在.NET中所有可序列化的类都被标记为? A:Serializable。 6.一个类不想被继承应该? A:标记为sealed。 7.简单描述CLR? A:CLR(Common Langu
详细介绍一下session cookie token jwt
08-09
### 回答1: Session、Cookie、TokenJWT都是在Web开发中用于管理用户身份认证和会话管理的工具。 1. SessionSession指的是服务器端保存的用户信息。当用户登录成功后,服务器会创建一个session,为该用户分配一个session ID,并将该ID保存到cookie中,发送给客户端。客户端浏览器保存了这个cookie,以后每次请求都会带上这个cookie,服务器通过这个cookie就可以识别出用户身份,从而进行相应的操作。Session机制存在一定的风险,比如会话劫持、会话固定等问题,需要注意安全性。 2. Cookie:Cookie是一种客户端保存用户信息的机制,它是由服务器在响应HTTP请求时通过Set-Cookie头部字段发给客户端浏览器的一小段文本信息。浏览器将这些信息保存在客户端,以后每次向服务器发送请求时都会自动带上这些cookie,从而实现身份认证和会话管理。但是Cookie也存在一些安全问题,比如会话劫持、跨站脚本攻击等问题。 3. TokenToken是一种用户身份认证和授权的机制,通常由服务器生成,以便在客户端和服务端之间进行身份认证和授权。客户端在登录成功后,服务器会为该用户生成一个Token,并将Token发送给客户端浏览器。客户端在之后的请求中需要携带该Token,服务器验证Token的有效性后,就可以识别出用户身份,并进行相应的操作。Token相比Session和Cookie,具有更高的安全性和可扩展性。 4. JWTJWT是一种基于Token的身份认证和授权机制。JWT包含三部分,分别是头部、载荷和签名。头部包含加密算法和类型等信息;载荷包含用户的身份信息和相关的元数据等信息;签名则是对头部和载荷进行签名生成的一段密文,用于验证Token的有效性。JWT具有无状态、可扩展、跨域等特点,被广泛用于Web开发中的用户身份认证和授权。 ### 回答2: Session、Cookie、TokenJWT都是常见的身份验证和会话管理方法。下面我会分别介绍它们。 SessionSession是服务器端记录用户状态的一种机制。当用户通过用户名和密码登录后,服务器会为该用户创建一个唯一的Session。之后,用户再发送请求时,服务器会根据Session来识别用户并获取用户的状态信息。 Cookie:Cookie是一种在客户端存储的小型文本文件。在用户通过用户名和密码登录成功后,服务器可以将一个包含Session信息的Cookie发送给客户端,客户端会将该Cookie保存下来。之后,客户端发送请求时,会自动附带上该Cookie,用于向服务器证明用户的身份。 TokenToken是一种代表用户身份的令牌。与Cookie不同,Token是在客户端保存的,并且不需要服务器端存储用户状态。当用户登录成功后,服务器会生成一个Token并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将Token作为请求头信息的一部分发送给服务器,服务器根据Token验证用户身份。 JWTJWT(JSON Web Token)是一种基于JSON的开放标准,用于在各方之间安全传输信息。它由三部分组成:Header、Payload和Signature。其中,Header用于描述JWT的元数据,Payload用于存储实际传输的数据,Signature用于验证JWT的合法性。在使用JWT进行身份验证时,服务器会生成一个JWT并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将JWT作为请求头信息的一部分发送给服务器,服务器根据JWT验证用户身份的合法性。 总结:Session、Cookie、TokenJWT都是常用于身份验证和会话管理的方法,它们各有优劣和适用场景。Session和Cookie依赖于服务器端存储用户状态,而TokenJWT则可以减轻服务器的负担,并且适用于分布式系统。其中,JWT由于其自包含性和可扩展性,在分布式系统和前后端分离的架构中得到了广泛应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值