对JWT的进一步理解

已于 2022-08-21 23:33:39 修改
阅读量120 收藏
点赞数
文章标签: java 服务器
于 2022-08-13 18:17:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008515/article/details/126321472
版权

一般项目的登录可以用JWT进行登录认证,主要作用是

  • 认证授权(比如有没有资格请求某个接口)
  • 信息交换(可以存放一些业务信息)

JWT的主要构成有三部分

  • 头部 声明类型 和 使用签名的算法(如RSA256 非对称加密算法 HS256 对称加密)
{
  "typ": "JWT",
  "alg": "RSA256"
}
  • 负载 存放一些有效的信息,除官方定义的外,也可以只定义加入字段和内容(结合业务)存放一些不敏感的信息,不要存密码等。
    一些信息
    iss:该JWT的签发者
    sub : 该JWT所面向的用户
    aud : 接收该JWT的一方
    exp(expires) : 什么时候过期,这里是一个Unix时间戳
    iat(issued at): 在什么时候签发的
{
	"userId" : "1",
	"userName" : "wjj"
}
  • 签名
    包含三个部分 编码( base64)后的头部(header)和负载(payload)以及一个secret(私钥)
    签名过程如下
RSA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

用的是头部定义的加密算法,secret是私钥,要在服务端保存好,泄露了就可以伪造token(token是在服务端生成的),还可以根据发来的token进行校验发送方。
JWT工作流程
工作流程(网上找的)
解密流程

解密的时候,只要客户端带着jwt来发起请求,服务端就直接使用secret进行解密,解签证解出第一部分和第二部分,然后比对第二部分的信息和客户端穿过来的信息是否一致。如果一致验证成功,否则验证失败。第二部分的信息还可以判断有没有过期。

结合官网
在这里插入图片描述

结合项目来看jwt认证流程

public class TokenUtil {

    //签发者
    private static final String ISSUE = "签发者";

    /**
     * 生成token
     * @param userId
     * @return
     * @throws Exception
     */
    public static String generateToken(Long userId) throws Exception {
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());
        // 30秒过期
        calendar.add(Calendar.MINUTE, 30);

        return JWT.create().
                // 负载
                //用户信息 这里存放的userId
                withKeyId(String.valueOf(userId))
                //签发者
                .withIssuer(ISSUE)
                //过期时间
                .withExpiresAt(calendar.getTime())
                //签名 使用加密算法 用私钥签名
                .sign(algorithm);

    }

    /**
     * 解析token
     * @param token
     * @return
     */
    public static Long verifyToken(String token) {
        try {
            Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            // 获取解析token信息
            String userId = jwt.getKeyId();
            return Long.valueOf(userId);
        } catch (TokenExpiredException e) {
            throw new ConditionException("555", "token过期");
        }catch (Exception e){
            throw new ConditionException("非法用户token!");
        }

    }

    /**
     * 刷新token
     * @param userId
     * @return
     * @throws Exception
     */
    public static String generateRefreshToken(Long userId) throws Exception {
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());
        calendar.add(Calendar.DAY_OF_MONTH, 30);

        return JWT.create().
                //用户信息 这里存放的userId
                withKeyId(String.valueOf(userId))
                //签发者
                .withIssuer(ISSUE)
                //过期时间
                .withExpiresAt(calendar.getTime())
                //使用加密算法
                .sign(algorithm);

    }


}

登录请求是不用认证token的,登录是用来生成token的
登录中和token相关的代码

   TokenUtil tokenUtil = new TokenUtil();
        //根据id生成token
        return tokenUtil.generateToken(dbUser.getId());

这里的根据id生成token,id是放在负载里面的(这个可以用于信息交换),这里用id生成token,根据不同的业务需求,可以根据不用的信息生成token。
为什么要在token中加入业务信息呢
把信息放在token里面,就不用每次取redis或者数据库中取了,消耗一些解析token的时间,可以减少一些IO操作。比如我们每次请求的时候需要获取userId的信息,我们可以不用从数据库中取,直接从token中获得,这是一种信息的获取。
代码如下

@Component
public class UserSupport {
    public Long getCurrentUserId() {
        //抓取请求上下文
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        String token = requestAttributes.getRequest().getHeader("token");
        Long userId = TokenUtil.verifyToken(token);
        if (userId < 0) {
            throw new ConditionException("非法用户!");
        }
        return userId;
    }
}

获取请求头中的token,解析出token中的userId,就可以直接使用了。
在请求接口加上

 Long userId = userSupport.getCurrentUserId();

除此之外也可以使用不含负载信息的token, 把token信息存到redis里面
比如

key value
userId token
token userId

这样也可以获取信息。
生成token的时候,前端会在local storage中储存token,下一次使用的时候可以直接携带token。
此外还要如何刷新token的问题…

双token机制

refresh token

  • 退出登录了(防止使用还在有效期的token)token就不能再用了(与数据库关联解决)
  • 无感刷新,不能用着用着就不能用了
    工具类
/**
     * 刷新token 时间变长了
     * @param userId
     * @return
     * @throws Exception
     */
    public static String generateRefreshToken(Long userId) throws Exception {
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());
        //7天
        calendar.add(Calendar.DAY_OF_MONTH, 7);

        return JWT.create().
                //用户信息 这里存放的userId
                withKeyId(String.valueOf(userId))
                //签发者
                .withIssuer(ISSUE)
                //过期时间
                .withExpiresAt(calendar.getTime())
                //使用加密算法
                .sign(algorithm);

    }

生成双token

		String phone = user.getPhone() == null ? "" : user.getPhone();
        String email = user.getEmail() == null ? "" : user.getEmail();
        if(StringUtils.isNullOrEmpty(phone) && StringUtils.isNullOrEmpty(email)){
            throw new ConditionException("参数异常!");
        }
        User dbUser = userDao.getUserByPhoneOrEmail(phone, email);
        if (dbUser == null) {
            throw new ConditionException("当前用户不存在");
        }
        String password = user.getPassword();
        String rawPassword;
        try {
            rawPassword = RSAUtil.decrypt(password);
        } catch (Exception e) {
            throw new ConditionException("密码解密失败");
        }
        String salt = dbUser.getSalt();
        String md5Password = MD5Util.sign(rawPassword, salt, "UTF-8");
        if (!md5Password.equals(dbUser.getPassword())){
            throw new ConditionException("密码错误");
        }
        TokenUtil tokenUtil = new TokenUtil();
        Long userId = dbUser.getId();
        //根据id生成token
        //接入token
        String accessToken =  tokenUtil.generateToken(userId);
        //刷新token
        String refreshToken = TokenUtil.generateRefreshToken(userId);
        //保存refresh token到数据库
        userDao.deleteRefreshToken(refreshToken, userId);
        userDao.addRefreshToken(refreshToken, userId, new Date());
        Map<String, Object> result = new HashMap<>();
        result.put("accessToken", accessToken);
        result.put("refreshToken", refreshToken);
        return result;

退出登录

	userDao.deleteRefreshToken(refreshToken, userId);

实现无感登录,生成新的token

/**
     * 刷新accessToken生成新的token
     * @param request
     * @return
     */
    @PostMapping("/access-tokens")
    public JsonResponse<String> refreshAccessToken(HttpServletRequest request) throws Exception {
        String refreshToken = request.getHeader("refreshToken");
        String accessToken = userService.refreshAccessToken(refreshToken);
        return new JsonResponse<>(accessToken);
    }

    public String refreshAccessToken(String refreshToken) throws Exception {
        RefreshTokenDetail refreshTokenDetail = userDao.getRefreshTokenDetail(refreshToken);
        if (refreshTokenDetail == null) {
            throw new ConditionException("555", "token过期!");
        }
        Long userId = refreshTokenDetail.getUserId();
        return TokenUtil.generateToken(userId);
    }

前端可以在状态码为555的时候调用刷新token接口,生成新token完成无感登录。

wjj_jsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT中的一些错误
dskwe的专栏
01-11 3793
POST请求时候,http方法时需要加一些信息到header,而且如果用apache得话,还需要做一些特殊配置来防止apache将认证头丢弃。 或者直接将token值放在url中传递也可以。 不然你就会得到token_absent的错误- -!~ 所以,第三方库的使用说明一定要每个字都看清楚,如果不行,那至少要把每行代码都看清楚! 附原文:To make authenticated requ
JWT的认识以及使用
weixin_43840538的博客
08-26 261
互联网用户认证一般就是,用户向服务端发送用户名和密码,服务端通过验证后存入session,并向用户返回session_id,写入用户的cookie,而后用户的每次请求都会通过cookie返回一个session_id, 服务器通过这个ID进行身份认证。 问题 :这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据...
关于JWT 的介绍和使用
rat_house的博客
02-18 737
Json Web Token 最近公司项目在用jwt,感觉以后会再用得到,先写下自己理解jwt用途范围,方便以后查找。 包、库的引入 用途1:Build a dedicated JWT endpoint for the Support SDK in implementing Zendesk Service 在对接Zendesk 客户服务的时候,Zendesk第三方接口会调用我方接口,获取到JWT...
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3161
首先从用户的登录原理和实现讲起,然后引申出JWT的登录方式,在详细的讲解了JWT的原理之后我们会通过案例讲解JWT是如何保存用户信息。
SpringBoot Vue集成 Jwt 配置拦截器 登录
ZhanHanson的博客
10-05 742
SpringBoot Vue集成 Jwt 配置拦截器 登录
net6Jwt.zip
12-02
标题 "net6Jwt.zip" 暗示了这个压缩包包含的是关于.NET 6...通过研究这些示例代码,你可以更好地理解.NET 6中JWT认证的实现细节。如果你遇到任何问题,记得查看官方文档和其他开发者资源,以便进一步学习和解决问题。
JWT实例demo
02-01
"TextJWT"是测试实例,意味着它提供了一个可运行的示例代码,帮助开发者理解JWT的工作原理和实现方式。通常,一个JWT实例包括创建令牌(编码)、验证令牌(解码)以及在请求之间传递令牌的流程。 首先,JWT由三部分...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。...在`springsecutiry-jwt-demo`这个项目中,你可以找到完整的示例代码,进一步理解和学习这个过程。
Asp.net Core 3.1 JWT 认证Demo
最新发布
12-27
在提供的JWTTest项目中,你可能会看到这些核心组件的实现,但可能还需要进一步封装和完善,例如错误处理、刷新令牌功能、更复杂的权限控制等。对于生产环境,确保正确存储和管理JWT的安全密钥,以及考虑使用HTTPS以...
JwtDemo.rar
05-26
首先,我们需要理解JWT的基本结构。JWT由三部分组成:Header、Payload和Signature。Header通常包含算法信息和JWT类型,Payload存储声明(如用户信息),而Signature用于验证JWT的完整性和来源。在RS256算法下,...
SpringBoot+JWT登录校验,以及JWT刷新机制
Slience Wind
08-15 7902
接上篇博客,继续讲解JWT的使用。 本部分内容主要是SpringBoot项目中具体使用JWT的代码实现,包括了登录创建Token,后续请求验证Token,并且加入了JWT刷新机制等等。 本文大纲: 1.JWT的引入 2.JWT工具类的实现 3.登录申请Token 4.请求验证Token 5.JWT刷新机制的实现 注意:本文注重使大家理解JWT如何在SpringBoot项目中集成和使...
开箱即用 - jwt 无状态分布式授权
weixin_34200628的博客
05-13 207
基于JWT(Json Web Token)的授权方式 JWT是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; 从客户端请求服务器获取token, 用该token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用key去解析token,就获取到请求用户的信息了;很方便解决跨域授权的问题,因为跨域无法共享c...
JWT是什么
hongchangfirst
08-15 8014
JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。 紧凑:意味着size小,所以可以在URL中,Header中,Post parameter中进行传输。 自包含:里边的信息包含了所有需要的信息
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
springboot 获取登录浏览器_手把手教你,使用JWT实现单点登录
weixin_39717598的博客
10-26 1011
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱!一、故事起源说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。传统session交互流程,如下图:当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。当浏览器再次发送...
jwt怎么获取当前登录用户_获取jwt(json web token)中存储的用户信息
weixin_39958019的博客
12-19 2046
一个JWT实际上就是一个字符串,它由三部分组成,头部(header)、载荷(Payload)与签名。Payloadpayload中可以保存用户的信息。var claims = new Claim[]{new Claim(JwtRegisteredClaimNames.Sub, account),new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid(...
关于JWT的token,如果被截取了
热门推荐
weixin_40105587的博客
10-13 1万+
首先这不是JWT的问题,而是http通讯的安全问题,总所周知http是采用的明文通讯,所以很容易就能够被窃取到http通讯报文。现在网站大多是http通讯,那也都面临着cookie被截取的问题,JWT同理 解决办法: 采用https 或者 代码层面也可以做安全检测,比如ip地址发生变化,MAC地址发生变化等等,可以要求重新登录  ...
SpringBoot2.2 JWT入门:理解与实战跨域认证
学习这门教程,开发者可以快速理解JWT的工作原理,并将其应用于前后端接口的安全控制,实现用户身份验证和授权的高效管理。这份教程提供了实践案例和详细步骤,适合初学者和有一定经验的开发人员进一步提升安全意识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值