SDU信息门户(14)项目的Jwt代码解析

最新推荐文章于 2024-05-23 21:33:20 发布
最新推荐文章于 2024-05-23 21:33:20 发布
阅读量267 收藏
点赞数
文章标签: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45670101/article/details/122163352
版权

2021SC@SDUSC

目录

一.引言

二.代码分析

1.基本概念

2.生成jwtToken

3.解析校验Token

三.总结

一.引言

        我们使用Jwt来保卫我们的系统。因为在SDU信息门户项目中,我们有三种角色:管理员、教师、学生。如果其他用户知道了项目的管理员接口,可能导致软件的失败。如果仅仅是通过调用的接口路径的不同来区分这些角色的话,还是无法完全避免软件缺陷。

二.代码分析

1.基本概念

JWT 由三部分构成,第一部分是 header,第二部分为 payload,第三部分是 signature。

在 header 中存放着令牌类型和令牌使用的加密算法。

在 payload 存放有效信息,这些有效信息包含三个部分:标准中注册的声明、共有的声明和私有的声明。jwt.StandardClaims定义的就是标准中注册的声明。

在signature存放签证信息,用于校验消息在整个过程中有没有被篡改。

jwt.SandardClaims结构体中,Audience是受众,即接受 JWT 的一方,ExpiresAt是所签发的 JWT 过期时间,Id是 JWT 的唯一标识,IssueAt是签发时间,Issuer是 JWT 的签发者,NotBefore是 JWT 的生效时间,Subject是主题。

2.生成jwtToken

GenerateToken方法用于生成 JWT Token,它利用参数中传入的appKeyappSecret,以及配置文件中的Issuer(签发者)、Expire(有效时间),根据指定的算法生成签名后的 Token。time.Now可以获取当前时间,用这个时间加上 Token 的有效时间Expire,得到过期时间expireTime,再利用Unix方法,得到一个int64类型的、从时间点 January 1, 1970 UTC 到时间点t所经过的时间(单位 s)。参数中的appKeyappSecret并没有直接传入Claims结构体,而是经过了 MD5 加密。NewWithClaims会根据加密算法和Claims对象来创建Token实例,这个实例中的Header就是之前提到的 JWT 三部分之一。signedString方法会利用传入的密钥生成签名字符串。它利用t.Signing Stringt.Method.Sign返回的字符串以.为分隔符拼装在一起并返回。

func GenerateToken(appKey, appSecret string) (string, error) {
	nowTime := time.Now()
	expireTime := nowTime.Add(global.JWTSetting.Expire)
	claims := Claims{
		AppKey:    util.EncodeMD5(appKey),
		AppSecret: util.EncodeMD5(appSecret),
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: expireTime.Unix(),
			Issuer:    global.JWTSetting.Issuer,
		},
	}

	tokenClaims := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	token, err := tokenClaims.SignedString(GetJWTSecret())
	return token, err
}
func (t Time) Unix() int64 {
	return t.unixSec()
}
func (t Time) Unix() int64 {
	return t.unixSec()
}
func EncodeMD5(value string) string {
	m := md5.New()
	m.Write([]byte(value))

	return hex.EncodeToString(m.Sum(nil))
}
func NewWithClaims(method SigningMethod, claims Claims) *Token {
	return &Token{
		Header: map[string]interface{}{
			"typ": "JWT",
			"alg": method.Alg(),
		},
		Claims: claims,
		Method: method,
	}
}
func (t *Token) SignedString(key interface{}) (string, error) {
	var sig, sstr string
	var err error
	if sstr, err = t.SigningString(); err != nil {
		return "", err
	}
	if sig, err = t.Method.Sign(sstr, key); err != nil {
		return "", err
	}
	return strings.Join([]string{sstr, sig}, "."), nil
}

SigningString会将 header(头部)和 payload(荷载)部分做一次 base64Url 编码,在下面的代码中,parts用于盛放编码后的字符串,最后利用strings.Join将这两个字符串以.为分隔符连接在一起。 t.Method.Sign利用它的签名算法(这里是jwt.SigningMethodHS256)、t.SigningString得到的字符串、密钥secret,生成一个签名字符串,即 JWT 三部分之一的 signature(签名)。由此可以看出,签名是由头部、荷载、密钥、加密算法共同生成的,因此可以用来校验消息是否被篡改,一旦被篡改,签名就无法对上。

func (t *Token) SigningString() (string, error) {
	var err error
	parts := make([]string, 2)
	for i, _ := range parts {
		var jsonValue []byte
		if i == 0 {
			if jsonValue, err = json.Marshal(t.Header); err != nil {
				return "", err
			}
		} else {
			if jsonValue, err = json.Marshal(t.Claims); err != nil {
				return "", err
			}
		}

		parts[i] = EncodeSegment(jsonValue)
	}
	return strings.Join(parts, "."), nil
}
func (m *SigningMethodHMAC) Sign(signingString string, key interface{}) (string, error) {
	if keyBytes, ok := key.([]byte); ok {
		if !m.Hash.Available() {
			return "", ErrHashUnavailable
		}

		hasher := hmac.New(m.Hash.New, keyBytes)
		hasher.Write([]byte(signingString))

		return EncodeSegment(hasher.Sum(nil)), nil
	}

	return "", ErrInvalidKeyType
}

3.解析校验Token

ParseTokenGenerateToken的反过程,它用来解析和校验 Token。该方法调用jwt.ParseWithClaims获取tokenClaims,然后对它进行格式的校验,并检查它是否有效,最终将Claims返回。ParseWithClaims用于解析鉴权的声明,它调用Parser.ParseWithClaims进行解码和校验,并返回*Token。Token结构体如下图所示,其中的Valid用于表示该 Token 是否有效,它的值与ExpiresAtIssuerNot Before有关。

func ParseToken(token string) (*Claims, error) {
	tokenClaims, err := jwt.ParseWithClaims(token, &Claims{}, func(token *jwt.Token) (interface{}, error) {
		return GetJWTSecret(), nil
	})

	if tokenClaims != nil {
		claims, ok := tokenClaims.Claims.(*Claims)
		if ok && tokenClaims.Valid {
			return claims, nil
		}
	}

	return nil, err
}
func ParseWithClaims(tokenString string, claims Claims, keyFunc Keyfunc) (*Token, error) {
	return new(Parser).ParseWithClaims(tokenString, claims, keyFunc)
}
type Token struct {
	Raw       string
	Method    SigningMethod
	Header    map[string]interface{} 
	Claims    Claims
	Signature string
	Valid     bool
}

三.总结

       经过这次的代码分析,我基本上掌握了Jwt的基本用法,Jwt可以让我们的访问变得更加安全,而且 Jwt的优点有很多,比如Jwt简洁,Token数据量小,传输速度快;因为JWT Token是以JSON加密形式保存在客户端的,所以原则上任何web形式都支持,不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。本次主要分析的语言是go语言。

 

我剑未尝不利
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jwt参考代码
01-29
Jwt参考代码 包含各种工具类,加密解密,数据校验全部JWT相关代码
JWT技术的解析代码
weixin_58276266的博客
07-26 723
在测试类中@Test 在测试类中关于@Test注解的说明 如果导入的是import org.junit.Test;这个包那么就要在使用@Test修饰的方法中加public 修饰符 如果导入的是import org.junit.jupiter.api.Test;这个包就要在使用@Test修饰的方法中可以不加public 修饰符 jwt 背景 在传统的有状态服务应用中,服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。例如登
JWT(Java web token)全网最快上手
最新发布
java_tgs的博客
05-23 140
工具类和配置类代码已在其中,直接上手使用
JWT 详解及源码分析
y368769的博客
04-22 3544
1. 什么是JWT 介绍 JSON Web Token,没错就是用来身份认证的,使用了行业流行的RFC 7519方法标准,用官方点的话说是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范,他使用Json及签名和响应算法进行认证 jwt支持很多种算法: 同样也支持多种语言库 特点: 简洁:可以通过URL或者http请求头的方式发送,发送的数据量少,传输速度快 安全:使用了签名...
初识JWT及部分源码解析
开心博客
05-11 1203
今天开发项目时遇到一个问题,两个系统对接,对方才有JWT对数据进行加密传输,我这边必须进行解密之后才能获取到数据,这里进行记录一下 1.JWT加密 加密秘钥 这个随便整就好,主要是用于保证加密端和解密端解析前后数据一致 private static final String JWT_SECRET = "ADSADSFGRHART1192765DMSNPOST99238S"; 加密 public static String createToken() { try {
JWT代码实现
weixin_46894136的博客
06-13 533
前后端传输数据时,一般是使用 session 或是 cookie,但是都相对有自己的弊端,JWT 是利用 token 来对用户身份进行验证的方式,具体流程是前端使用用户名和密码来登录,服务器收到请求后验 证用户名和密码,验证成功后,服务器会签发一个 token ,将 token 返回给前端,前端将收到的 token 存储起来,在每次请求资源时都必须携带 token,服务器收到请求,会先验证 token 是否有效,验证成 功就给前端返回请求的数据。JWT 的组成 JWT 由 3 部分组成,用.拼接。
sdu-oidc-jwt-client:从oidc-jwt-provider获取JWT以进行API访问
02-15
oidc-jwt-client 从oidc-jwt-provider获取用于API访问的JWT安装npm install oidc-jwt-client --save 如何使用< OidcJwtProvider xss=removed xss=removed xss=removed> // Contents of your app< / ...
sdu.rar_SDU
09-23
【标题】"sdu.rar_SDU" 指的是一个名为 "sdu.rar" 的压缩文件,其中包含了与“SDU”相关的内容。"SDU" 是“山东大学”的缩写,这所学校位于中国,是一所享有盛誉的高等教育机构。结合描述中的“亚洲高校软件设计大赛...
sdu 软院 本科二年级 web技术 课程设计项目——选课系统.zip
11-17
大学生课程设计毕业设计项目、系统开发,供计算机等专业同学参考,提供说明材料+源代码 大学生课程设计毕业设计项目、系统开发,供计算机等专业同学参考,提供说明材料+源代码 大学生课程设计毕业设计项目、系统开发...
SDU软件学院,信息安全导论实验1
02-19
参考了往年的实验代码,比往年的要求多了一些,个人觉得写的还是非常清楚,基本实现了所有必须的功能,代码中的注释也很多,函数的命名也比较的清晰,最后老师实验分数给了95+,希望可以帮到有需要的人
SDU软件学院,信息安全导论实验2
02-19
参考了往年的实验代码,比往年的要求多了一些,个人觉得写的还是非常清楚,基本实现了所有必须的功能,代码中的注释也很多,函数的命名也比较的清晰,最后老师实验分数给了95+,希望可以帮到有需要的人
JWT(简述一下,附简单代码例子)
weixin_45969142的博客
11-21 410
什么是JWT? JSON Web令牌(Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 组成是什么? 这里是引用 ...
p2p_JWTToken
maqingbin8888的专栏
09-18 162
package com.cmiinv.shp.auth; import com.auth0.jwt.JWT; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.interfaces.DecodedJWT; import lombok.EqualsAndHashCode; import lombo...
记:关于Jwt解析的一个小坑(setClaims)
u010372750的博客
07-06 3734
今天做解析JWT的时候出现了一个问题,就是通过setClaims设置的内容在解析中能够正常解析出来,但是通过类似内置的setSubject,setIssusAt这种设置的却没有被解析出来。原因是出现在生成jwt的阶段。 原来的代码JwtBuilder builder = Jwts.builder() .signWith(SignatureAlgorithm.HS256,jwtConfig.getSecret()) .setIssued
JWT原理实现代码
中阳里士的博客
03-25 317
目录 代码实现 新建常量类:Const 新建控制器:AuthController 为了过滤哪些接口需要验证,此处新建一个特性:AuthAttribute 修改原有的Home控制器: 新建静态类:AuthExtension,并且增加一个IApplicationBuilder的扩展方法: 在启动类Startup的请求管道中(Configure)添加上面的扩展方法: 测试 上一篇学习了JWT的基本理论,这一篇将根据原理进行代码实现。 要想实现jwt的加密解密,要先生成一个SecurityKey
jwt原理 过程 代码
qq_52395816的博客
12-17 201
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWT 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全
关于jwt介绍和代码分析
qq_47949604的博客
07-14 350
JWT这是一个很长的字符串,中间用点()分隔成三个部分。JWT 内部是没有换行的,一行数据。
JWT概念(登录代码实现)
NanCheng_666的博客
11-14 324
JWT的优点是可以在各种网络环境下使用,如移动设备、Web应用程序、API等,并且不需要存储在服务器端。JWT是一种基于JSON的轻量级令牌,包含了一些声明和签名,可以用于认证和授权。JWT(JSON Web Token)是一种用于安全传输信息的开放标准,它由三部分组成:头部、负载和签名。以上是一个简单的 JWT 实现示例,实际使用中应该根据需求进行修改和优化。载荷是JWT中的主体,包含了一些要传输的信息,如用户ID、角色、权限等。签名是使用密钥对头部和载荷进行签名生成,用于验证消息的完整性和真实性。
山东大学2022春人工智能导论试题附答案
07-05
10. **选择题涉及应用HMM的领域**:除了已给出的选项外,HMM还可应用于生物信息学中的基因识别、推荐系统、文本分类等。 这些知识点是人工智能导论课程中的核心概念,对于理解序列建模和统计学习方法至关重要。通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值