JWT使用

最新推荐文章于 2024-05-28 09:25:21 发布
最新推荐文章于 2024-05-28 09:25:21 发布
阅读量337 收藏
点赞数
分类专栏: JWT 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45850630/article/details/112385854
版权

JWT的认识及使用

代码:https://github.com/chenchang123abc/jwt_test.git
JWT(Json Web Token)的结构
JWT包含三部分,之间以点(.)连接

  • Header(头部)
  • Payload(负载)
  • Signature(签名)
eyJhbGciOiJIUzI1NiJ9.
eyJqdGkiOiI0ODM0YjVlZC1jODI4LTRmNmMtYTI1Ni1lMTE5NTJkZGYwYWUiLCJpYXQiOjE2MTAxMTgyMDQsImV4cCI6MTYxMDEyMTgwNCwiYWRkcmVzcyI6IuW5v-W3niIsInNleCI6MTIzLCJ1c2VyTmFtZSI6Iua1i-ivlSIsInVzZXJJZCI6MTIzfQ.
0CwxIxVVpzdQUbYAFSnHnnvo_FLJ51gtzfc0l4_uzuc

Header

Header部分是一个json对象,典型的header包含两部分:

  • alg:使用的签名算法,比如HMACSHA256或RSA
  • typ:token的类型,比如JWT
{
	"alg":"HS256",
	"typ":"JWT"
}

最后,用Base64Url将这个json对象编码后,作为JWT的第一部分

Payload

Payload部分也是json对象,用来存放数据。JWT有7个官方字段:

  • iss(issuer):签发人
  • exp(expiration time):过期时间,以秒为单位
  • iat(Issued At):签发时间,能够算出JWT的存在时间
  • nbf(Not Before):生效时间
  • jti(JWT ID):JWT的唯一标识。用来防止JWT重复
  • sub(subject):主题(很少使用)
  • aud(audience):token的受众(很少被使用)
    除了上面字段也可以自定义私有字段,比如:
{
	"userId":"1001",
	"userName":"张三"
}

最后,用Base64Url将这个json对象编码后,作为JWT的第二部分

Signature

使用Header指定的算法对Header、payload、密钥 三部分进行签名,生成的字符串作为JWT的第三部分。
比如使用HMACSHA256算法进行签名:

HMACHA256(
	Base64Url.encode(header)+"."+Base64Url.encode(payload),secret
)

签名可以用来验证数据是否被篡改,而且如果token使用私钥进行了签名,那么该签名还可以验证JWT发送者的身份。

怎么使用JWT?

客户端收到服务器返回的JWT,可以存储在Cookie里面,也可以存储在localStorage。
此后,客户端每次请求服务器,都要带上这个JWT.所以可以把他放在Cookie里面自动发送,但是这样并不能跨域,所以更好的做法是放在HTTP请求的头信息Authorization字段里面。

Authorization:Bearer<token>

另一种做法是,跨域的时候,JWT就放在POST请求的数据体里面。

JWT的特点

  1. JWT默认是不加密,但是也可以加密。
  2. JWT不加密的情况下,不能将敏感数据写入JWT (例如:密码)
  3. JWT不仅可以用于认证,也可以用于交换信息
  4. JWT最大的缺点是,由于服务器不保存session状态,因此无法在使用过程中废止某个token,或者更改token的权限。也就说,一旦签发了JWT,在到期之前就会始终有效
  5. JWT本身包含了认证信息,一旦泄密,任何人都可以获得该令牌的权限。为了减少盗用,JWT的有效期应该设置比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
  6. 为了减少盗用,JWT不应该使用HTTP协议明码传输,要使用HTTPS协议传输

和Session-Cookie相比

Session-Cookie方式:客户端每次请求使用cookie携带session_id,服务器根据session_id区分不同的会话。
JWT方式:客户端每次请求都使用请求头携带token,服务器根据token区分不同的客户。

直接上代码操作,简单例子

引入依赖:

<!--jwt-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.10.7</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.10.7</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.10.7</version>
    <scope>runtime</scope>
</dependency>
<!--jwt-->
<!--单元测试-->
<dependency>
    <groupId>org.junit.jupiter</groupId>
    <artifactId>junit-jupiter</artifactId>
    <version>RELEASE</version>
    <scope>compile</scope>
</dependency>
<!--单元测试-->

JWT测试例子

public class JwtTest {
    //简单的例子进行对jwt说明
    @Test
    public void JwtDemo(){
        //1.生产密钥
        String key="0123456789_0123456789_0123456789";//自定义一个字符串(字符串不能太短,不然报错)
        SecretKey secretKey=new SecretKeySpec(key.getBytes(), SignatureAlgorithm.HS256.getJcaName());

        //2.生成token
        String token= Jwts.builder()         // 创建jwt对象
                .setSubject("Json Web Token")//设置主题(声明信息)
                .signWith(secretKey)         //设置安全密钥(生产签名所需要的密钥和算法)
                .compact();                  //生成token(1.header和payload  2.生成签名 3.拼接字符串)
        System.out.println(token);

        //3.验证token
        try{
            Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(token);
            System.out.println("验证成功");
        }catch(Exception e)
        {
            System.out.println("验证失败");
        }

        //4.解析token
        Claims body=Jwts.parser()       //创建解析对象
                .setSigningKey(secretKey)//设置安全密钥(生成签名所需的密钥和算法)
                .parseClaimsJws(token)   //解析token
                .getBody();              //获取payload部分内容
        System.out.println("setSubject:"+body);
    }
}

创建JWT的工具类

/*
    jwt工具类
 */
public class JwtUtils {
    //key:按照签名算法的字节长度设置key
    private final static String SECRET_KEY="0123456789_0123456789_0123456789";
    //过期时间
    private final static long TOKEN_EXPIRE_MILLIS=1000*60*60;
    //创建token
    public static String createToken(Map<String,Object> claimMap){
        long currentTimeMillis=System.currentTimeMillis();
        return Jwts.builder()
                .setId(UUID.randomUUID().toString())
                .setIssuedAt(new Date(currentTimeMillis))
                .setExpiration(new Date(currentTimeMillis+TOKEN_EXPIRE_MILLIS))
                .addClaims(claimMap)
                .signWith(generateKey())
                .compact();
    }
    //验证token
    public static String verifyToken(String token){
        try{
            Jwts.parser().setSigningKey(generateKey()).parseClaimsJws(token);
            return "验证成功";
        }catch (Exception e)
        {
            e.printStackTrace();
            return "验证失败";
        }
    }
    //解析token
    public static Map<String,Object> parseToken(String token){
        return Jwts.parser()
                .setSigningKey(generateKey())
                .parseClaimsJws(token)
                .getBody();
    }
    //生成token
    public static Key generateKey(){
        return new SecretKeySpec(SECRET_KEY.getBytes(), SignatureAlgorithm.HS256.getJcaName());
    }
}

使用工具类测试:

    @Test
    public void JwtDome2(){
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("userId", 1001);
        map.put("userName", "张三");
        map.put("age",20);
        String token = JwtUtils.createToken(map);
        System.out.println(token);
        }

token:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4YWQwMThmNS05NWU1LTQ5NzEtYjZhMi1lNTQ1Y2EzYTM4YmYiLCJpYXQiOjE2MTAxNjY4ODMsImV4cCI6MTYxMDE3MDQ4MywidXNlck5hbWUiOiLlvKDkuIkiLCJ1c2VySWQiOjEwMDEsImFnZSI6MjB9.7fDzkHZ8NTfEwtSasXa0xyp-7zBFfkGFmeKA84OAni0

    @Test
    public void JwtDome2(){
//        Map<String, Object> map = new HashMap<String, Object>();
//        map.put("userId", 1001);
//        map.put("userName", "张三");
//        map.put("age",20);
//        String token = JwtUtils.createToken(map);
//        System.out.println(token);
        //eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4YWQwMThmNS05NWU1LTQ5NzEtYjZhMi1lNTQ1Y2EzYTM4YmYiLCJpYXQiOjE2MTAxNjY4ODMsImV4cCI6MTYxMDE3MDQ4MywidXNlck5hbWUiOiLlvKDkuIkiLCJ1c2VySWQiOjEwMDEsImFnZSI6MjB9.7fDzkHZ8NTfEwtSasXa0xyp-7zBFfkGFmeKA84OAni0

        String token="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4YWQwMThmNS05NWU1LTQ5NzEtYjZhMi1lNTQ1Y2EzYTM4YmYiLCJpYXQiOjE2MTAxNjY4ODMsImV4cCI6MTYxMDE3MDQ4MywidXNlck5hbWUiOiLlvKDkuIkiLCJ1c2VySWQiOjEwMDEsImFnZSI6MjB9.7fDzkHZ8NTfEwtSasXa0xyp-7zBFfkGFmeKA84OAni0";
        String result = JwtUtils.verifyToken(token);
        System.out.println(result);
        Map<String,Object> map=JwtUtils.parseToken(token);
        System.out.println(map);
    }

输出结果:

验证成功
{jti=8ad018f5-95e5-4971-b6a2-e545ca3a38bf, iat=1610166883, exp=1610170483, userName=张三, userId=1001, age=20}
不想做外包的外包程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT使用公钥解密
silenceyobbo的博客
07-15 8306
添加JWT工具包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.5</version> </dependency> <dependency> ...
Laravel配合jwt使用的方法实例
01-19
测试使用的是Laravel5.5版本。 安装 composer require tymon/jwt-auth=1.0.0-rc.5 配置 生成配置 php artisan vendor:publish --provider=Tymon\JWTAuth\Providers\LaravelServiceProvider ...
JWT使用教程
m0_50202747的博客
08-28 1591
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
jwt使用详解
u013029883的博客
08-10 1815
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
golang-jwt使用
a1023934860的博客
06-07 3796
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
Tp6 jwt使用
CS__Love的博客
03-03 522
jwt使用
JWT使用HS512算法生成全局服务token原理
永远积极向上、永远热泪盈眶、永远豪情满怀、永远坦坦荡荡
12-28 1576
最近需要使用C++服务中根据用户名生成全局服务的token,然后在java服务中印证token正确性。因为java服务中使用jwt库生成全局的token, 我就对应找C++中jwt的库, github中有开源库叫jwt-cpp然后我就下载了, 我使用没有找到java中生成token好使用的接口、没有办法我只有看一下jwt生成token的步骤实现一遍。
JWT详细教程与使用
热门推荐
Top_L398的博客
10-29 6万+
JWT JSON Web Token(JSON Web令牌) 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 JWT作用: 授权:一旦用户登录,每个后续请求将包
java使用jwt
Linlietao0587的博客
01-27 1684
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
djangorestframework-jwt使用
weixin_69282249的博客
04-26 1802
1.在pycharm中安装djangorestframework-jwt插件 pip install djangorestframework-jwt 2.在settings.py中进行配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES' ( 'rest_framework_jwt_authentication.JSONWebTokenAuthentication', ) } import datetime
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
在SpringBoot中使用JWT的实现方法
08-26
主要介绍了在SpringBoot中使用JWT的实现方法,详细的介绍了什么是JWTJWT实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java学习和项目总结
2301_79390585的博客
05-24 626
JRE:JRE是Java 运行时环境,主要包括了两个运行需要的组件:JVM 和 Java 核心类库,如果不进行java开发只想运行就可以只下载JRE。而Java语言,它的代码会先通过javac编译成字节码,再通过jvm将字节码转换成机器码(0和1)执行,即解释运行和编译运行配合使用,所以是混合型。在程序运行之前,通过编译器将源程序编译成机器码可运行的二进制,以后执行这个程序时,就不用再进行编译了。JVM:JVM是java进行编译的虚拟机,是Java 能够跨平台运行的核心。特点:执行速度慢、效率低;
Java高级面试精粹:问题与解答集锦(一)
Layla_c的博客
05-23 1377
答案多态是Java中的一个核心概念,它允许不同类的对象对同一消息做出响应,但具体的行为会根据对象的实际类型而有所不同。重载(Overloading):当多个方法具有相同的名称,但参数列表不同时,这称为方法重载。编译器根据方法调用时传递的参数类型和数量来确定调用哪个方法。重写(Overriding):当子类有一个与父类同名、同参数列表的方法时,子类可以提供特定的实现来覆盖父类的方法。运行时,Java虚拟机(JVM)会根据对象的实际类型调用相应的方法,这个过程称为动态绑定或晚期绑定。答案。
数据访问与Spring Data JPA
无远弗届
05-25 482
假设我们要处理一个用户表(users),可以创建一个User@Entity // 标识这是一个实体类 public class User {@Id // 标识这是主键字段 @GeneratedValue(strategy = GenerationType . AUTO) // 主键生成策略 private Long id;// Getter 和 Setter ... }@Entity // 标识这是一个实体类 public class User {
operator <=> (spaceship operator)
最新发布
janeqi1987的专栏
05-28 580
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
gin jwt 使用
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和授权功能。JWT是一种用于在网络应用间传递信息的安全方法,它由三部分组成:header、payload和signature[^1]。 下面是在Gin框架中使用JWT的示例代码[^2]: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值