JWT:Json Web Token快速入手

已于 2022-08-04 15:08:26 修改
阅读量304 收藏
点赞数
分类专栏: 杂项 文章标签: java spring boot
于 2022-07-24 14:00:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46275928/article/details/125957074
版权

JWT:Json Web Token

什么是JWT

  1. 起源:
    了解一门技术,应当从为什么产生开始了解比较好,JWT主要用于用户登录鉴权。解决分布式、单点登录,用户认证问题。
    认证技术还有:session认证,token认证…

  2. 描述:
    1、客户端:用户使用账号、密码发送登录请求,
    服务端:查询数据库验证当前用户是否存在,存在,生成token返回给客户端
    2、客户端:将返回的token存储到本地
    3、客户端:请求一个查询功能(在request里携带存储的token字符串),
    服务端:解析request中携带的token是否正确,正确,返回查询数据,错误,返回错误信息,
    客户端:正确,则展示数据,错误,跳转登录页面

  3. 简单来说就是一种认证机制,让后台知道该请求是来自于授信客户端。如图:
    在这里插入图片描述

JWT数据结构

jwt生成的字符串格式

xxx.yyy.zzz
Header.PayLoad.Signature
//xxx对应:jwt头(Header)
//yyy对应:有效负荷(PayLoad)
//zzz对应:签名(Signature)

  1. Header
    对应xxx,它是一个描述JWT原生的JSON对象,如下

    {
    "alg": "HS256",
    "typ": "JWT"
}

    alg表示签名使用的算法,默认为HMAC SHA256(HS256),type为令牌类型,JWT统一写为JWT。
    最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

  2. PayLoad
    对应yyy,也是一个json对象,除了自定义需要传递的数据外,还有七个默认的字段。
    分别是,iss:发行人、exp:到期时间、sub:主题、aud:用户、nbf:在此之前不可用、iat:发布时间、jti:JWT ID用于标识该JWT。

    {
	// 默认字段
    "sub": "主题",
	// 自定义字段
    "user": "xiao.hei",
	"id": "1"
}

    需要注意的是,默认情况下JWT是未加密的,任何人都可以解读其内容,因此如果一些敏感信息不要存放在此,以防信息泄露

    JSON对象也使用Base64 URL算法转换为字符串保存。

  3. Signature
    对应zzz,对应签名,生成方式,首先在代码里自定义一个密匙,该密匙仅存在于服务器中,保证不让用户知道(密匙泄露,会造成破解登录问题),然后使用Header指定的算法对Header和Payload进行计算,然后算出一个签名哈希,也就是Signature

    验证token操作:例用JWT前两端,用一套哈希算法和同一个密匙计算一个签名值,然后把计算的签名和收到的JWT第三段比较,相同则认证通过。

JWT优点

  • json格式的通用性,使其可以跨语言
  • 可以在payload存储一些非敏感信息
  • 便于传输,jwt结构简单,字节占用小
  • 不需要在服务端保存会话信息,易于应用扩展。

JWT缺点

  • 安全性无法保证,所以jwt的PayLoad不能存储敏感信息,因为PayLoad并没有加密,只是用Base64编码而已。
  • 无法中途放弃,因为一旦签发了一个jwt,那么在到期前始终有效,如果用户信息更新了,只能等旧的jwt到期后重新签发一个。
  • 续期问题,当签发一个jwt后,客户一直在操作页面,按理jwt应一致有效,但当jwt有效期过了,用户需要重新登录。

JWT项目中实操(单服务中)ps:及拦截器实现拦截

  1. 导入maven: 使用springboot+mybatis-plus+mysql来实操
  2. <dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- https://mvnrepository.com/artifact/com.baomidou/mybatis-plus-boot-starter -->
   <!-- <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.5.2</version>
    </dependency> -->

    <!-- jwt依赖 -->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>4.0.0</version>
    </dependency>

    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

3. 操作相关:

yml配置,修改数据库ip及库

server:
  port: 80

spring:
  datasource:
    username: root
    password: p@ssW0rd
    url: jdbc:mysql://lcoalhost:3306/heiaxin?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=UTF-8&zeroDateTimeBehavior=convertToNull&useSSL=true
    driver-class-name: com.mysql.cj.jdbc.Driver



启动类

@SpringBootApplication
@MapperScan("com.heiaxin.jwtproject.mapper")  // 配置自己的mapper扫描路径
public class JwtprojectApplication {

    public static void main(String[] args) {
        SpringApplication.run(JwtprojectApplication.class, args);
    }

}

JWT工具类

package com.heiaxin.jwtproject.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.heiaxin.jwtproject.entity.User;

import java.util.Calendar;

/**
 * json web token工具类
 */
public class JwtUtils {
	// 密匙
    private static final String SIGN = "hfahdfHLFHASKLFH4636990";



    /**
     * 根据用户对象生产token
     */
    public static String getToken(User user) {
        // 设置过期时间
        Calendar cal = Calendar.getInstance();
        cal.add(Calendar.DATE, 7);

        // 创建jwt builder
        JWTCreator.Builder builder = JWT.create();

        // 设置token,第二部分存储的值
        builder.withClaim("username", user.getUName());
        builder.withClaim("id", user.getId());

        // 设置过期时间
        String token = builder.withExpiresAt(cal.getTime()).sign(Algorithm.HMAC256(SIGN));


        return token;
    }

    /**
     * 验证token合法性,及获取token中保存的用户基本信息
     */
    public static DecodedJWT verify (String token) {
        return JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
    }
}


控制器

@RestController
@RequestMapping("/user")
public class UserController {

    @Autowired
    UserService userService;

    @GetMapping("/findAll")
    public Map<String, Object> findALl() {
        Map<String, Object> result = new HashMap<>();
        User user = userService.getById(1);
        String token = JwtUtils.getToken(user);
        System.out.println("当前token值====>" + token);
        DecodedJWT verify = JwtUtils.verify(token);
        System.out.println(verify.getClaim("id"));
        System.out.println("token转译===> " + verify.toString());
        result.put("token", token);
        result.put("state", true);
        result.put("msg", "登录成功");
        return result;
    }

    @PostMapping("/test")
    public Map<String, Object> test(String token) {
        Map<String, Object> result = new HashMap<>();
        result.put("msg", "认证成功!");
        result.put("state", true);
        return result;
    }
}

自定义拦截器


public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<String, Object> result = new HashMap<>();
        String token = request.getHeader("token");
        try {
            DecodedJWT verify = JwtUtils.verify(token);
            System.out.println("获取token,payLoad中的用户id====》" + id);
            return true;
        } catch (SignatureVerificationException e) {
            result.put("msg", "无效签名!");
            e.printStackTrace();
        } catch (TokenExpiredException e) {
            result.put("msg", "token过期!");
            e.printStackTrace();
        } catch (AlgorithmMismatchException e) {
            result.put("msg", "token算法不一致!");
            e.printStackTrace();
        } catch (Exception e) {
            result.put("msg", "token无效");
            e.printStackTrace();
        }
        // 将有效的token写回response
        // 将map 转为json jackson
        String json = new ObjectMapper().writeValueAsString(result);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }
}


使自定义拦截器生效


@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor()) // 添加自定义拦截器
                .addPathPatterns("/user/test")  // 需要走拦截器的接口
                .excludePathPatterns("/user/login"); // 不需要走拦截器的接口
    }
}


测试
可以正常get到token

在这里插入图片描述

测试test
将get到的token,带入到post请求的header中

请添加图片描述

weixin_46275928
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mruby-jwt:JSON Web Token 在 mruby 中的实现
07-07
mruby-jwt mruby 实现。 通过mrbgems安装 将 conf.gem 行添加到build_...如果秘密是错误的,它会引发一个JWT::DecodeError告诉你。 您仍然可以通过将 verify 参数设置为 false 来获取有效负载。 JWT.decode("someJ
fast-jwt:快速 JSON Web Token 实现
07-23
快速 JSON Web 令牌实现。 安装 赶紧跑: npm install fast-jwt 用法 创建签名者 通过调用createSigner并提供以下一个或多个选项来创建签名者函数: key :字符串或缓冲区,包含HS*算法的秘密或RS* 、 PS* 、 ES*...
JWT JSON Web Token 入门教程
修炼中
09-01 152
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 ses
jwt获取token_Laravel 安装 jwt 及基本使用
firstcode666的博客
03-09 1416
什么是jwt? JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 jwt简介链接 JWT.IO - JSON Web Tokens Introduction 我们在做api请求的时候,通常要使用token,来验证是否这个请求能不能访问。 一旦用户登录,后续每个请求都将包含JWT
关于JSON Web Token的攻击
qq_40223049的博客
12-10 1064
关于JSON Web Token的攻击Json Web TokenJWT的构成对JWT的相关攻击记录常用工具原理CTF记录案例记录推荐参考文章 Json Web Token Json Web Token简称JWT,是基于JSON开发标准与token鉴权机制将验证信息存放在客户端,通过请求附加验证信息向服务器请求验证并返回数据的认证方法。其对分布式站点的单点登陆有较高的效率。 JWT的构成 JWT通...
jwt token注销_JWTToken登录认证,你用过没?
weixin_35259908的博客
12-29 786
1.JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2 JSON Web Token的应用场景Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
jwt:JSON Web令牌库
05-07
…用于Go编程语言的JSON Web令牌(JWT)库。 功能齐全 完整的测试范围 无依赖 密钥 该API通过设计来强制安全使用。 未签名的令牌将。 也不支持加密令牌,而是使用有线加密。 这是发布到免费且不受限制的软件。 ...
php-jwt:JWTJSON Web Token)生成器、解析器、验证器和验证器的 PHP 实现
05-29
PHP-JWT 是一个用 PHP 编程语言编写的包,用于编码(生成)、解码(解析)、验证和验证 JWTJSON Web 令牌)。 它提供了一个流畅、易于使用和面向对象的界面。 由确认。 文档 版本号 2.xx (LTS) 1.xx(不支持) ...
链表刷题集
yajunjiao的专栏
04-30 815
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Linux下网络编程-简易Epll服务器和客户端
最新发布
weixin_45256307的博客
05-06 102
Linux下网络编程-简易Epll服务器和客户端
《设计一款蓝牙热敏打印机》
唐顺才的博客
05-06 67
安卓apk用java + kotlin编写、上位机用Qt编写。主控芯片用易兆威蓝牙ic,通讯接口:蓝牙、串口、usb。
一篇文章,系统性聊聊Java注解
架构风清扬
05-06 473
一篇文章,系统性聊聊Java注解
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 1167
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
Nacos 配置中心实例分析实践
m0_73557631的博客
05-03 987
​ 浏览器: http://localhost:5000/nacos/config/ip。先创建e-commerce-nacos-config-client5000 模块。​ 启动e-commerce-nacos-config-client5000。​ 启动Nacos Server。
公考学习平台|基于SprinBoot+vue的公考学习平台(源码+数据库+文档)
weixin_66413741的博客
04-30 1301
本共享汽车管理系统有管理员和用户。管理员功能有个人中心,用户管理,投放地区管理,汽车信息管理,汽车投放管理,汽车入库管理,使用订单管理,汽车归还管理。用户可以在注册登录,可以对汽车进行使用产生订单,还可以归还。因而具有一定的实用性。本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得共享汽车管理系统管理工作系统化、规范化。
SpringBoot实现图片上传(个人头像的修改)
m0_46590717的博客
04-29 1193
该文章适合对SpringBoot,Thymeleaf,layui入门的小伙伴。
Android 状态栏WiFi图标的显示逻辑
xiaowang_lj的博客
05-06 185
定义相关函数,继承BroadcastReceiver监听系统广播,动态注册广播接收器。是状态栏WiFi图标更新的核心类。定义了 Wifi 信号更新所需的图标资源。
jwt怎么获取当前登录用户_获取jwt(json web token)中存储的用户信息
05-12
# 假设 JWT 存储在变量 tokentoken = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c' # ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值