JWT快速入门

最新推荐文章于 2024-07-20 22:27:15 发布
最新推荐文章于 2024-07-20 22:27:15 发布
阅读量559 收藏 10
点赞数 11
分类专栏: 项目实战 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45972546/article/details/139410330
版权

文章目录

概念

基本概念

JWT全称是JSON Web Tokens,它是一种通用的基于文本的消息传输格式。常作为用户进入Web系统的令牌

JWT组成

JWT由三段Base64编码组成,它们之间用.分隔,从左到右依次是JWT头部的Base64编码、JWT载荷的Base64编码、JWT签名的Base64编码
例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • JWT头部
    JWT头部经过Base64解码后是一串JSON字符串,记录签名算法类型等信息
  • JWT载荷
    JWT载荷经过Base64解码后是一串JSON字符串,记录有效信息,如用户标识等信息就可以存储到载荷中
  • JWT签名
    *JWT签名记录签名信息,签名信息是JWT头部的base64编码+JWT载荷的base64编码+key通过签名算法生成的

JWT使用

准备工作

  • 引入maven依赖
 <dependencies>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt-api</artifactId>
      <version>0.12.5</version>
    </dependency>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt-impl</artifactId>
      <version>0.12.5</version>
      <scope>runtime</scope>
    </dependency>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
      <version>0.12.5</version>
      <scope>runtime</scope>
    </dependency>
  </dependencies>

JWT演示

  • HS256算法 – 通过 subject 方法设置载荷信息
    void jwtByHS256() {
        // 签名需要用到的key
        SecretKey key = Jwts.SIG.HS256.key().build();
        // 默认使用HS256算法进行签名,带有签名的JWT成为JWS
        String jws = Jwts.builder().subject("小红").signWith(key).compact();
        System.out.println("生成的JWS:" + jws);
        Claims payload = Jwts.parser().verifyWith(key).build().parseSignedClaims(jws).getPayload();
        System.out.println("载荷信息:" + payload);
    }

通过 subject 方法设置载荷信息,其实就是将载荷信息存到名为sub的属性中

  • HS384算法 – 通过 claims 方法设置载荷信息
    void jwtByHS384() {
        MacAlgorithm hs384 = Jwts.SIG.HS384;
        SecretKey key = hs384.key().build();
        Map<String, Object> info = new HashMap<>();
        info.put("name", "小北");
        info.put("age", 19);
        String jws = Jwts.builder().claims(info).signWith(key, hs384).compact();
        System.out.println("生成的JWS:" + jws);
        Claims payload = Jwts.parser().verifyWith(key).build().parseSignedClaims(jws).getPayload();
        System.out.println("载荷信息:" + payload);
    }

如果载荷信息是一个map集合,可以通过 claims 方法设置载荷信息

  • HS512算法 – 通过 content 方法设置载荷信息
    void jwtByHS512() throws JsonProcessingException {
        MacAlgorithm hs512 = Jwts.SIG.HS512;
        SecretKey key = hs512.key().build();
        Map<String, Object> info = new HashMap<>();
        info.put("name", "小林");
        info.put("age", 18);
        ObjectMapper objectMapper = new ObjectMapper();
        String infoStr = objectMapper.writeValueAsString(info);
        String jws = Jwts.builder().content(infoStr).signWith(key, hs512).compact();
        System.out.println("生成的JWS:" + jws);
        Claims payload = Jwts.parser().verifyWith(key).build().parseSignedClaims(jws).getPayload();
        System.out.println("载荷信息:" + payload);
    }

如果载荷信息是一个JSON字符串,可以通过 content 方法设置载荷信息

  • RSA算法 – 通过 claims 方法设置载荷信息
    void jwtByRSA() {
        SignatureAlgorithm rs512 = Jwts.SIG.RS512;
        KeyPair keyPair = rs512.keyPair().build();
        Map<String, Object> info = new HashMap<>();
        info.put("name", "小兰");
        info.put("age", 20);
        // 私钥加密
        String jws = Jwts.builder().claims(info).signWith(keyPair.getPrivate(), rs512).compact();
        System.out.println("生成的JWS:" + jws);
        Claims payload = Jwts.parser().verifyWith(keyPair.getPublic()).build().parseSignedClaims(jws).getPayload();
        System.out.println("载荷信息:" + payload);
    }

使用RS512非对称加密算法生成JWS

参考来源

小林是程序员
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成JWT快速入门Demo
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4121
SpringSecurity+JWT快速入门
jwt快速入门
axbhealj的博客
06-08 150
JWT快速入门JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息
spring快速入门教程
10-29
快速入门教程将引导您踏入Spring的世界,了解其核心特性以及如何在实际项目中应用。 一、Spring概述 Spring框架由Rod Johnson于2003年创建,它的核心目标是简化企业级Java应用程序的开发。Spring通过提供依赖注入...
express-starter:快速入门
05-15
快速入门 这是Express和Node> = 8的入门项目,具有: 码头工人 PostgreSQL 基于JWT的身份验证 async / await到处async / await 专为简化测试而设计,重点是“几毫秒之内”的端到端测试 基于服务的文件夹结构( /...
jwt:Go的快速,简单的JWT实现
05-07
智威汤逊 用编写的快速简单的实现。 该软件包在设计时考虑了安全性,性能和简便性,它保护令牌免受。 请为这个开源项目加注以吸引更多的开发人员,以便我们共同改善它!安装唯一的要求是。 $ go get github....
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 809
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 510
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 565
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1060
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 653
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 832
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 914
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
HLS加密技术:保障流媒体内容安全的利器
jiamisoft的博客
07-17 974
HLS是一种由苹果公司提出的基于HTTP的流媒体网络传输协议,它允许将音视频文件编码为可播放的多媒体流,并通过HTTP协议进行传输。这种传输方式不仅具有广泛的网络适应性,还支持自适应比特率和分辨率,从而为用户提供流畅的观看体验。然而,HLS本身并不包含专门的加密方式,需要配合其他加密和防护措施来实现内容的安全传输。HLS加密技术的核心思想是将视频流分段,并对每个分段进行加密处理。在客户端播放时,需要先获取解密密钥才能正常播放。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 466
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
防火墙--内容安全
最新发布
banliyaoguai的博客
07-20 546
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
jwt token依赖
08-26
在创建项目时,可以使用Maven将com.auth0的java-jwt依赖项添加到pom.xml中。 关于为什么要使用两个JWT token的问题,原因是这两个token有不同的职责。access token用于业务系统交互,是最核心的数据,而refresh token则用于向认证中心获取新的access token和refresh token。当用户超过30分钟后,access token已经失效,此时将access token发送给认证中心是无法解析的。但refresh token由于生存时间更长且与access token的主体内容一致,因此发送给认证中心后可以被正确解析,并生成新的access token和refresh token。这样就能实现token的替换和更新。 在JWT中,还有一些标准的声明,包括注册的声明和私有的声明。注册的声明是一些标准中推荐使用的声明,包括iss(jwt签发者)、sub(jwt所面向的用户)、aud(接收jwt的一方)、exp(jwt的过期时间)、nbf(定义在什么时间之前该jwt是不可用的)、iat(jwt的签发时间)和jti(jwt的唯一身份标识,用于防止重放攻击)。 所以,jwt token依赖包括com.auth0的java-jwt和相关的标准声明。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [DecodeIdToken:通过JWT解码ID TOKEN](https://download.csdn.net/download/weixin_42138788/15396844)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [JWT快速入门及所需依赖](https://blog.csdn.net/huangziweilii/article/details/128334713)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值