JWT的基础使用

最新推荐文章于 2024-05-18 18:38:06 发布
最新推荐文章于 2024-05-18 18:38:06 发布
阅读量1k 收藏 3
点赞数 3
文章标签: 服务器 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46098984/article/details/126925126
版权

JWT

全称json web token,通过数字签名的方式,以json对象为载体在不同的服务器终端之间的传输信息

使用JWT解决传统session的弊端

HRTTP协议是一个无状态的协议,对于服务器而言,而同一个用户向服务器发出一系列的业务请求,对请求没有处理的话,服务器会任务多个请求来自不同的用户

使用隐藏表单,cookie,session,和url重写后服务器就能够识别我们的一系列请求是否来源一个用户

传统的session认证有如下弊端

1.登录的信息,都会保存在服务器的session中随着用户增加,服务器的开销会明显增大

2.由于session存放在服务器的物理内存中,所以在分布式架构模式下这种方式明显会失效,也可以利用session共享机制,或者利用redis缓存解决

3.非浏览器的客户端:手机移动端是不适用的,因为session是依赖cookie的,移动端是没有cookie的,如果浏览器禁用了cookie,session的方式也会失效

4.基于cookie的cookie无法做到跨域,所有session的认证也无法跨域,对于单点登录不适用

JWT认证流程

前端将用户名和密码发送到后端服务器。后端服务器对用户名和密码验证通过后,将用户信息作为JWT Payload负载,将其与头部进行Base64编号拼接后签名,形成JWT。形成的JWT本质上就是一个形如lll.zzz.xxx的字符串;
后端将JWT字符串作为登陆成功的返回结果返回给客户端。前端可以将返回结果保存在localStorage,退出登陆时,前端删除保存的JWT即可;
前端在每次请求时将JWT放入HTTP Header中的Authorization位;
后端检查是否存在,如果验证JWT有效,后端就可以使用JWT中包含的用户信息。
JWT的组成
JWT其实就是一段字符串,由标头(Header)、有效载荷(Payload)和签名(Signature)这三部分组成,用 . 拼接。在传输的时候,会将JWT的三部分分别进行Base64编码后用.进行连接形成最终传输的字符串。

1.Header
它会使用 Base64编码组成JWT结构的第一部分。

Header{ //标头
‘typ’:’JWT’, 表示token类型
‘alg’:’HS256’ 表示签名算法
}
2.Payload
用于存储主要信息,使用 Base64编码组成JWT结构的第二部分。由于该信息是可以被解析的,所以,在信息中不要存放敏感信息。

Payload //有效负载
{
‘userCode’:’43435’,
‘name’:’john’,
‘phone’:‘13950497865’
}
3.Signature
前面两部分都使用Base64进行编码,前端可以解开知道里面的信息, Signature需要使用编码后的header和payload以及我们提供的一密钥,然后使用header中指定的签名算法进行签名,以保证JWT没有被篡改过。

    使用Signature签名可以防止内容被篡改。如果有人对头部及负载内容解码后进行修改,再进行编码,最后加上之前签名组成新的JWT。那么服务器会判断出新的头部和负载形成的签名和JWT附带的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

JWT的使用
1.JWT的环境搭建
在pom.xml文件中导入依赖:

<!--   JWT依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.13.0</version>
</dependency>

<!--        添加web启动器坐标-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

2.创建JWT工具类Util
JWT的创建

  /**
     * 创建JWT
     * @param map
     * @return
     */
    public String creatJWT(Map<String,String> map){
        //设置Jwt的超时时间
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.MINUTE,30);
        //创建JWT,使用JWT.creat()方法进行创建
        //此时builder对象中默认设置了header--表头,默认为JWT
        JWTCreator.Builder builder = JWT.create();
        //将信息写入有效载荷中payload
        for (String key:map.keySet()){
            //通过withClaim方法传入传输到payload中
            builder.withClaim(key,map.get(key));
        }
        //利用builder和签名创健token,同时利用Calender类设置过期时间
        String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256("lovo"));
        return token;
    }

JWT的解码
   /**
     * 通过token和键解码信息
     * @param token
     * @param key
     * @return
     */
    public String verify(String token,String key){
        //创建解码对象,利用JWT签名去完成解码对象的创建
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("lovo")).build();
        //包含了JWT解码信息
        DecodedJWT decodedJWT = jwtVerifier.verify(token);
        //利用键得到存放在有效负载payload的数据
        String value = decodedJWT.getClaim(key).asString();
        return value;
    }

工具类测试

 public static void main(String[] args) {
        Util util = new Util();
        Map map = new HashMap();
        map.put("name","tom");
        map.put("pwd","123");
        System.out.println(util.creatJWT(map));
 
        String token = util.creatJWT(map);
        String value = util.verify(token,"pwd");
//        System.out.println(value);
    }

3.书写控制类Controller,用于JWT的发送

@Controller
public class JWTController {
 
 
    /**
     * 模拟登录
     * @param name
     * @param pwd
     * @param response
     * @return
     */
    @RequestMapping("login")
    @ResponseBody
    public String login(String name, String pwd, HttpServletResponse response) {
        if (name.equals("java") && pwd.equals("123")) {
            //此时拥有该用户,则利用该用户的信息创建JWT
            Map map = new HashMap();
            map.put("name", name);
            map.put("pwd", pwd);
            String token = new Util().creatJWT(map);
            //通过响应头发送给客户端
            response.setHeader("token", token);
            return "ok";
        }
        return "no";
    }
 
    @RequestMapping("getLogin")
    @ResponseBody
    public String getLogin(HttpServletRequest request){
        String token = request.getHeader("token");
        //利用工具对其进行解码
        String name = new Util().verify(token,"name");
        String pwd = new Util().verify(token,"pwd");
        return "name="+name+"&pwd="+pwd;
    }
 
}

4.在resource目录下书写user.html,用于JWT的接收
客户端通过axios接收响应头,并保存在sessionStorage中。

客户端会再次请求,读取localStorage的JWT信息,以请求头的方式,发送给服务器。

服务器从请求头中得到jwt字符串,解析后,得到数据。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="axios.min.js"></script>
</head>
<body>
<form action="#">
    用户名:<input type="text" id="name"><br>
    密码:<input type="text" id="pwd"><br>
    <input type="button" value="登录" onclick="login()">
    <input type="button" value="获取登录对象" onclick="getLogin()">
</form>
 
<script>
    function login(){
        let nameObj = document.getElementById("name")
        let pwdObj = document.getElementById("pwd")
        axios.get('/login',{
            params:{
                name:nameObj.value,
                pwd:pwdObj.value
            }
        }).then(res=>{
            console.log(res)
            if (res.data==='ok'){
                localStorage.setItem("token",res.headers.token)
            }else {
                alert("用户名或密码错误!")
            }
        })
    }
 
 
    /**
     * 获取登录对象
     */
    function getLogin(){
        //读取localStorage的信息,以请求头的方式,发送给服务器
        let token = localStorage.getItem("token");
        //添加配置,在请求头中加入JWT的信息
        let config = {
            headers:{"token":token}
        }
        axios.get('/getLogin',config).then(res=>{
            console.log(res)
        })
    }
</script>
 
</body>
</html>

5.MainServer测试

@SpringBootApplication
public class MainServer {
    public static void main(String[] args) {
        SpringApplication.run(MainServer.class,args);
    }
}
小啊湫
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT的基本使用
weixin_45081813的博客
03-04 1万+
什么是JWT
jwt身份令牌数据处理 前后端分离式开发
Bugxiu_fu的博客
10-15 2087
jwt入门 jwt的理解 和基本使用控制用户登陆后台与前台分离部分实例
前端解析jwt令牌
m0_74537818的博客
05-18 139
【代码】前端解析jwt令牌。
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4196
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
weixin_45131680的博客
10-07 1561
RFC 7519HMACRSAorECDSAJSON Web Token (JWT)是一种开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于作为JSON对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是数字签名的。JWTs可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。通俗的解释JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
JWT全面解读、使用步骤
qq_32534441的博客
05-07 806
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。虫虫今天给大家介绍JWT的原理和用法。1.跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。1.用户向服务器发送用户名和密码。2.验证服务器后,相关...
Django项目中使用JWT的实现代码
09-18
在Django项目中集成JSON Web Token (JWT) 可以为用户提供无状态的身份验证,而无需使用传统的会话管理。JWT是一种轻量级的身份...通过以上步骤,你可以构建一个基础JWT认证系统,然后根据项目需求进行扩展和完善。
node koa jwt的后端基础框架
最新发布
05-19
JWT全称为JSON Web Token,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常被用来在身份提供者和服务提供者之间传递身份认证信息。
SpringSecurity集成JWT
05-15
SpringSecurity支持多种认证方式,这里我们将使用JWT处理。首先,我们需要创建一个`UserDetailsService`实现,用于从数据库或其他数据源加载用户信息。然后,创建一个`AuthenticationProvider`,在其中处理JWT的...
基于Token的身份验证之JWT基础教程
10-18
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准...下面这篇文章主要给大家介绍了关于基于Token的身份验证之JWT基础相关资料,文中通过示例代码的非常详细,需要的朋友可以参考下
springboot集成jwt
01-25
### JWT基础 JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。头部通常包含令牌类型(JWT)和算法(如HS256)。负载部分存储声明,如用户ID、用户名等。签名用于验证消息未被篡改,通过将...
JWT从0到1,小白入门(JWT在vue前端中的使用
个人为2024届在校大学生,希望分享的代码有助于各位
12-03 3424
是一种用于在Web应用程序之间安全传输信息的开放标准(RFC 7519)。它是一种基于JSON的小型身份验证和授权标准,包含了在不同系统之间传递的信息,如用户身份信息和其他元数据。
jwt使用详解
u013029883的博客
08-10 1875
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
【sduoj】前端JWT使用
qq_53126706的博客
10-24 4870
2021SC@SDUSC 文章目录序言传统认证方式session认证基于Token的鉴权机制JWTJWT是什么JWT的构成头部(header)载荷(payload)标准中注册的声明公共的声明私有的声明签证(signature) 序言 由于HTTP协定是不储存状态的,当我们刚刚透过帐号密码验证一个使用者时,下一个request请求就把刚刚的资料忘了。所以我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全易用,我们就需要验证用户否处于登录状态。 在大多数前后端分离的项目中,JWT是常见的一个认证标准
前端JS的jwt的token解码方式:
weixin_48706421的博客
02-17 6158
jwt的token解码方式: //首先拿到token码然后以点为分隔符转为数组 let token=localStorage.getItem(‘token’).split("."); console.log(token); //然后拿到第二段token也就是负载的那段 进行window.atob方法的 base64的结算,然后再用decodeURIComponent字符串解码方法 解析出字符串 然后再转成JSON对象 let user=JSON.parse(decodeURIComponent(window
JWT简单介绍与使用
weixin_51980047的博客
07-27 2186
JWT简单介绍与使用
JWT 完整使用详解
曾沂宏的博客
05-29 9494
JWT全称JSON Web Tokens,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。 一、安装之前 资料 先摆出几个参考资料,可以把连接都打开,方便查阅: 项目 Wiki 公众号 coding01,JWT 安装及简单例子 官方安装指导文档 JWT 的介绍 二、安装及基础配置 Larave...
分配角色:代码实现
Leon_Jinhai_Sun的博客
12-29 444
package com.learn.system; import com.learn.common.utils.IdWorker; import com.learn.common.utils.JwtUtils; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfi...
JWT使用
weixin_46643875的博客
08-23 497
JWT使用
django如何使用jwt
06-03
JWT(JSON Web Token)是一种用于在客户端和服务器之间传递安全信息的开放标准。在 Django 中使用 JWT 可以实现用户认证和授权功能。...以上就是 Django 中使用 JWT 的基本步骤,你可以在此基础上自行拓展和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值