JWT原理与实践

最新推荐文章于 2024-01-03 22:39:26 发布
最新推荐文章于 2024-01-03 22:39:26 发布
阅读量291 收藏 3
点赞数 2
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45976114/article/details/115199321
版权

JWT 原理与实践

一.JWT概述

1.1.什么是JWT

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 此信息可以通过数字签名进行验证和信任。 JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

虽然JWT可以加密以在各方之间提供保密,但我们将专注于签名token。 签名token可以验证其中包含的声明的完整性,而加密token则隐藏其他方的声明。 当使用公钥/私钥对签名token时,签名还证明只有持有私钥的一方是签署它的一方。

2. 何时使用JWT?

  • 授权:这是我们使用JWT最广泛的应用场景。一次用户登录,后续请求将会包含JWT,对于那些合法的token,允许用户连接路由,服务和资源。如今在单独签名上是一种使用JWT的广泛特征。因为他们开销很小并且可以在不通领域轻松使用。

  • 信息交换:JSON Web Token是一种在各方面之间安全信息传输的好的方式 因为JWT可以签名 - 例如,使用公钥/私钥对 - 您可以确定发件人是他们所说的人。 此外,由于使用标头和有效负载计算签名,您还可以验证内容是否未被篡改。

3.JSON Web Token(JWT)由什么组成?

JSON Web Token由三部分组成,以 " . " 分割。

他们是:
Header
Payload
Signature
因此,一个JWT通常以下面这种形式出现。

xxxxx.yyyyy.zzzzz

3.1.Header

标头通常由两部分组成:token的类型,即JWT,以及正在使用的签名算法,例如HMAC SHA256或RSA。

For example:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,这个JSON被编码为Base64Url,形成JWT的第一部分。

3.2.Payload

token的第二部分是payload(有效负载),其中包含claims(声明)。Claims是关于一个实体(通常是用户)和其他数据类型的声名。claims有三种类型:registered,public,and private claims。

  • 已注册的声明:这些是一组预定义声明,不是强制性的,但建议使用,以提供一组有用的,可互操作的声明。 其中一些是:iss(发行人),exp(到期时间),sub(主题),aud(观众)and others。(请注意,声明名称只有三个字符,因为JWT意味着紧凑。)
  • 公开声明:这些可以由使用JWT的人随意定义。 但为避免冲突,应在IANA JSON Web Token Registry中定义它们,或者将其定义为包含防冲突命名空间的URI。
  • 私人声明:这些声明是为了在同意使用它们的各方之间共享信息而创建的,并且既不是注册声明也不是公开声明。
    An example payload could be:
{
 "sub": "1234567890",
 "name": "John Doe",
 "admin": true
}

3.3.Signature(重点)

要创建签名部分,您必须采用编码header,编码的payload,a secret,标头中指定的算法,并对其进行签名。
for example如果你想使用HMAC SHA256算法,签名会以下面的方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在此过程中未被更改,并且,在使用私钥签名的token的情况下,它还可以验证JWT的发件人是否是它所声称的人

好了以上部分都是官方对JWT的介绍,下面来看看身份认证使用session、直接使用token以及JWT的过程

3.4. 身份认证使用session、直接使用token以及JWT的流程

3.4.1.基于session身份认证的方案

在这里插入图片描述

3.4.2.基于token份认证的方案

在这里插入图片描述

3.4.3.基于JWT身份认证的方案

在这里插入图片描述

二.JWT 简单实用演示介绍

1.引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.1</version>
</dependency>

我们通过三个方法来演示如何使用JWT

1.createToken() 创建不携带自定义信息的 token
2.createTokenWithClaim() 创建携带自定义信息的 token
3.verifyToken() 验证我们的token信息并解析token中的内容

2.生成不携带自定义信息 JWT token

第一步:构建头部信息

Map<String, Object> map = new HashMap<String, Object>();
map.put("alg", "HS256");
map.put("typ", "JWT");

第二步:构建密钥信息

Algorithm algorithm = Algorithm.HMAC256("secret");

第三步:我们通过定义注册和自定义声明 并组合头部信息和密钥信息生成jwt token

String token = JWT.create()
   .withHeader(map)// 设置头部信息 Header 
   .withIssuer("SERVICE")//设置 载荷 签名是有谁生成 例如 服务器
   .withSubject("this is test token")//设置 载荷 签名的主题
   // .withNotBefore(new Date())//设置 载荷 定义在什么时间之前,该jwt都是不可用的.
   .withAudience("APP")//设置 载荷 签名的观众 也可以理解谁接受签名的
   .withIssuedAt(nowDate) //设置 载荷 生成签名的时间
   .withExpiresAt(expireDate)//设置 载荷 签名过期的时间
   .sign(algorithm);//签名 Signature

详细代码如下:

@Test
	public void createToken() {
 
		String secret = "secret";// token 密钥
		Algorithm algorithm = Algorithm.HMAC256("secret");
 
		// 头部信息
		Map<String, Object> map = new HashMap<String, Object>();
		map.put("alg", "HS256");
		map.put("typ", "JWT");
 
		Date nowDate = new Date();
		Date expireDate = getAfterDate(nowDate, 0, 0, 0, 2, 0, 0);// 2小过期
		
		String token = JWT.create()
			.withHeader(map)// 设置头部信息 Header 
			.withIssuer("SERVICE")//设置 载荷 签名是有谁生成 例如 服务器
			.withSubject("this is test token")//设置 载荷 签名的主题
			// .withNotBefore(new Date())//设置 载荷 定义在什么时间之前,该jwt都是不可用的.
			.withAudience("APP")//设置 载荷 签名的观众 也可以理解谁接受签名的
			.withIssuedAt(nowDate) //设置 载荷 生成签名的时间
			.withExpiresAt(expireDate)//设置 载荷 签名过期的时间
			.sign(algorithm);//签名 Signature
		Assert.assertTrue(token.length() > 0);
	}

3.生成携带自定义信息 JWT token

自定义信息通过 withClaim 方法进行添加,具体操作如下:

JWT.create()
    .withHeader(map)
    .withClaim("loginName", "zhuoqianmingyue")
    .withClaim("userName", "张三")
    .withClaim("deptName", "技术部")

生成携带自定义信息 JWT token 详细代码如下:

 @Test
	public String createTokenWithChineseClaim() {
 
		Date nowDate = new Date();
		Date expireDate = getAfterDate(nowDate, 0, 0, 0, 2, 0, 0);// 2小过期
 
		Map<String, Object> map = new HashMap<String, Object>();
		map.put("alg", "HS256");
		map.put("typ", "JWT");
 
		Algorithm algorithm = Algorithm.HMAC256("secret");
		String token = JWT.create().withHeader(map)
				/* 设置 载荷 Payload */
				.withClaim("loginName", "zhuoqianmingyue").withClaim("userName", "张三").withClaim("deptName", "技术部")
				.withIssuer("SERVICE")// 签名是有谁生成 例如 服务器
				.withSubject("this is test token")// 签名的主题
				// .withNotBefore(new Date())//定义在什么时间之前,该jwt都是不可用的
				.withAudience("APP")// 签名的观众 也可以理解谁接受签名的
				.withIssuedAt(nowDate) // 生成签名的时间
				.withExpiresAt(expireDate)// 签名过期的时间
				/* 签名 Signature */
				.sign(algorithm);
		
		Assert.assertTrue(token.length() > 0);
		return token;
	}

4.验证 JWT Token

第一步:构建密钥信息

Algorithm algorithm = Algorithm.HMAC256("secret");

第二步:通过密钥信息和签名的发布者的信息生成JWTVerifier (JWT验证类)

JWTVerifier verifier = JWT.require(algorithm)
		        .withIssuer("SERVICE")
		        .build();

不添加 .withIssuer(“SERVICE”) 也是可以获取 JWTVerifier 。

第三步:通过JWTVerifier 的verify获取 token中的信息。

DecodedJWT jwt = verifier.verify(token);

如下面代码所示就可以获取到我们之前生成 token 的 签名的主题,观众 和自定义的声明信息。

String subject = jwt.getSubject();
List<String> audience = jwt.getAudience();
Map<String, Claim> claims = jwt.getClaims();
for (Entry<String, Claim> entry : claims.entrySet()) {
    String key = entry.getKey();
	Claim claim = entry.getValue();
	System.out.println("key:"+key+" value:"+claim.asString());
}

验证 JWT Token 详细代码如下:


@Test
	public void verifyToken() throws UnsupportedEncodingException {
		String token = createTokenWithChineseClaim2();
		
		Algorithm algorithm = Algorithm.HMAC256("secret");
		JWTVerifier verifier = JWT.require(algorithm).withIssuer("SERVICE").build(); // Reusable verifier instance
		DecodedJWT jwt = verifier.verify(token);
		
		String subject = jwt.getSubject();
		List<String> audience = jwt.getAudience();
		Map<String, Claim> claims = jwt.getClaims();
		for (Entry<String, Claim> entry : claims.entrySet()) {
			String key = entry.getKey();
			Claim claim = entry.getValue();
			log.info("key:" + key + " value:" + claim.asString());
		}
		Claim claim = claims.get("loginName");
 
		log.info(claim.asString());
		log.info(subject);
		log.info(audience.get(0));
 
	}
	public String createTokenWithChineseClaim2() throws UnsupportedEncodingException {
 
		Date nowDate = new Date();
		Date expireDate = getAfterDate(nowDate, 0, 0, 0, 2, 0, 0);// 2小过期
 
		Map<String, Object> map = new HashMap<String, Object>();
		map.put("alg", "HS256");
		map.put("typ", "JWT");
 
		User user = new User();
		user.setUserNaem("张三");
		user.setDeptName("技术部");
		Gson gson = new Gson();
		String userJson = gson.toJson(user);
 
		String userJsonBase64 = BaseEncoding.base64().encode(userJson.getBytes());
 
		Algorithm algorithm = Algorithm.HMAC256("secret");
		String token = JWT.create().withHeader(map)
 
				.withClaim("loginName", "zhuoqianmingyue").withClaim("user", userJsonBase64).withIssuer("SERVICE")// 签名是有谁生成
				.withSubject("this is test token")// 签名的主题
				// .withNotBefore(new Date())//该jwt都是不可用的时间
				.withAudience("APP")// 签名的观众 也可以理解谁接受签名的
				.withIssuedAt(nowDate) // 生成签名的时间
				.withExpiresAt(expireDate)// 签名过期的时间
				.sign(algorithm);//签名 Signature
 
		return token;
	}

三.使用JWT登录案例实战

参考 https://gitee.com/tang_sheng_sheng/jwt-demo.git

爱敲代码的Dream
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。,需要的朋友可以参考下
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
JWT.net 操作实践方法
08-28
下面小编就为大家分享一篇JWT.net 操作实践方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
JWT json_token的简单使用
Lee的程序空间
09-13 1033
JWT token认证 这里主要针对java进行讲解,其他语言类似 * 引入jar包我用的gradle进行的jar包管理 其他类似 // https://mvnrepository.com/artifact/com.auth0/java-jwt compile group: 'com.auth0', name: 'java-jwt', version: '2.2.0'引入操作jwt的工具类p
Java安全验证之JWT实践
weixin_34280237的博客
01-24 347
先给出JWT的官方文档 什么是JWT? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 什么时候应该使用JWT? 授权:这是使用JWT的最常见方式。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。S...
JWT认证了解和实践
Anumbrella
04-30 729
今天讲解一下JWT的相关知识, 1、JWT是什么 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必...
实践篇】教你玩转JWT认证---从一个优惠券聊起 | 京东云技术团队
JDDTechTalk的博客
05-19 961
JWT,可以说是分布式系统下的一个利器,我在我的很多项目实践中,认证系统的第一选择都是JWT。它的优势会让你欲罢不能,就像你领优惠券一样。
JWT(JSON Web Tokens)入门与Java实践
最新发布
weixin_61034310的博客
01-03 850
JSON Web Tokens(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络之间安全地传输信息。本文介绍了JWT的基本概念、组成和工作流程,并提供了Java中使用JWT的示例代码。通过生成和验证JWT,你可以在Web应用中实现安全的身份验证和授权。在使用JWT时,请务必注意安全性考虑,并采取适当的措施来保护系统的安全。JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名),这三部分通过点(.)分隔。首先,你需要在项目的。
基于JWT的权限验证及实战演练
小糖豆
09-21 1万+
前言: 大部分系统,除了大部分金融类的系统需要严格的安全框架(如shiro),一般的系统安全性要求都不是很高,只需要简单的权限验证(比如登录验证)即可,下面将简单介绍JWT用法及登录验证的实现方式(注解方式) jwt分析(原理啊什么的废话就不说了,只说用法) header(头部),头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。(所以算法一样,头部也是一样的,下面例子可以...
几种常用的认证机制
诚的博客
12-14 1548
HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame, 然后再将其用Base64编码,得到QWxhZGRpbjpvc.
JWT介绍和实践,带demo
03-03
JWT介绍和实践,带demo。
JWT实践
Tina的博客
12-10 467
先画一下我的项目中是如何使用JWT的:   说明: 1. 登陆时根据用户信息生成token,将token传到前端; 2. 前端保存在localStorage中; 3. 之后前端的每次请求都从localStorage中读取出token,并在header中携带token; 4. 后端在拦截器中拦截所有的请求(除了白名单中的路径,比如登陆),拦截后获取header中的token,根据to...
JWT原理实践
qq_52785898的博客
06-27 257
JWT原理及代码实践
JSON WEB TOKEN
weixin_34273481的博客
03-19 713
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
jwt 实践以及与 session 对比
weixin_34185364的博客
07-21 216
JSON Web Token 是 rfc7519 出的一份标准,使用 JSON 来传递数据,用于判定用户是否登录状态。 jwt 之前,使用 session 来做用户认证。 以下代码均使用 javascript 编写。 原文链接见 山月的博客 session 传统登录的方式是使用 session + token。 token 是指在客户端使用 token 作为用户状态凭证,浏览器一般存储在 lo...
三、后台实战——用户登录之JWT
热门推荐
jackcheng的博客
09-26 4万+
三、后台实战——用户登录之JWT
JWT实践总结篇 一
qq_41829492的博客
03-08 621
JWT实现vue前后端分离token验证 + 无痛刷新token + 附源码JWT基础实现前后端分离验证思路说明简单的SpringBoot开发环境无痛刷新token结语 公司最近接手前后端分离项目比较多,所以回头复习以下JWT;这篇文章实现简单的token认证,并且实现活跃用户的token无痛刷新,也就是说在用户不知情的情况下替换token。 JWT基础 文章主要内容是介绍我的实现逻辑,基础JW...
SpringBoot Vue集成 Jwt 配置拦截器 登录
ZhanHanson的博客
10-05 699
SpringBoot Vue集成 Jwt 配置拦截器 登录
springboot集成jwt原理
05-20
Spring Boot集成JWT(JSON Web Token)的主要原理是: 1. 创建一个Spring Boot应用程序并添加所需的依赖项,例如Spring Security和JJWT。 2. 创建一个JWT工具类,它将负责创建和验证JWT令牌。在这个类中,你需要定义一个密钥,用于加密和解密令牌。 3. 配置Spring Security以使用JWT作为身份验证令牌。在这一步中,你需要创建一个Spring Security配置类,并将JWT过滤器添加到过滤器链中。 4. 创建一个控制器类,该类将接收HTTP请求并使用JWT进行身份验证。在这个类中,你需要使用JWT工具类来解析和验证JWT令牌。 5. 在客户端应用程序中,你需要将JWT令牌包含在每个HTTP请求的头部中,以便服务器能够验证身份并授权访问。 总体来说,Spring Boot集成JWT的过程主要涉及到创建JWT工具类、配置Spring Security和创建控制器类。在这个过程中,需要注意的是,安全性需要得到充分考虑,包括密钥的安全存储和令牌的有效期等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值