JWT验证

最新推荐文章于 2024-05-23 16:59:07 发布
最新推荐文章于 2024-05-23 16:59:07 发布
阅读量3.7k 收藏 12
点赞数 2
分类专栏: 框架 文章标签: java 安全 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48530729/article/details/121876589
版权

什么是JWT

JWT用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源接口安全性的技术

  • 身份鉴别
  • 资源接口安全性检验,保护服务器资源不被泄露
    在这里插入图片描述

1.认证流程

  • 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探
  • 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载)、将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同111.zzz.xxx的字符串
  • 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localstorage或sessionStorage上,退出登录时前端删除保存的JWT即可
  • 前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)
  • 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)
  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果

2.JWT优势

  • 简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  • 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库
  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
  • 不需要在服务端保存会话信息,特别适用于分布式微服务

JWT能做什么

  • 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
  • 信息交换:JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人需要是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到募改。

基于session认证所显露的问题

  • 认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
  • 认证流程:在这里插入图片描述
  • 暴露问题:
    - 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大
    - 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
    - 因为是基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
    - 在前后端分离系统中就更加痛苦:如下图所示
    也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid 到服务器,服务器还要查询用户信息。同时如果用户很多。这些信息存储在服务器内存中,给服务器增加负担。还有就是CSRF(跨站伪造请求攻击)攻击,session是基于cookie进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。还有就是sessionid就是一个特征值,表达的信息不够丰富。不容易扩展。而且如果你后端应用是多节点部署。那么就需要实现session共享机制。不方便集群应用
    在这里插入图片描述

JWT的构成

第一部分称为头部(Header)
第二部分称为载荷(Payload)
第三部分称为签证(Signature)
因此JWT通常如下所示:xxxx.yyyyy.zzzzz Header.Payload.Signature

1.Header

承载两部分信息:

  • 声明类型:这里是JWT
  • 声明加密的算法:通常直接使用HMAC SHA256或RSA。它会使用Base64编码组成JWT结构的第一部分
  • 注意Base64是一种编码,也就是说它时可以被翻译成原来的样子的,并不是一种加密过程
    在这里插入图片描述

2.Payload

令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明,同样是使用Base64编码组成JWT结构的第二部分
在这里插入图片描述
在这里插入图片描述

Signature

在这里插入图片描述

使用JWT

1.引入依赖

<dependency>
	<groupId>com.autho</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.18.2</version>
</dependency>

2.生成token

@Test
    void test6() throws IOException {
   
        HashMap<String, Object> map = new HashMap<>();

        //时间
        Calendar instance = Calendar.getInstance(
最低0.47元/天 解锁文章
熬夜复习
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
JwtAuthenticationTokenFilter
Mr_Huifeng的博客
02-27 675
JwtAuthenticationTokenFilter
JWT登录校验
在这个地方会介绍一些前端和后端的开发内容,暂时以JavaEE和Vue为主。
06-06 808
springboot,登录,jwtjwt解析,token,拦截器Interceptor
Springboot+JWT验证 前后端
最新发布
weixin_45939316的博客
05-23 268
使用Springboot+JWT+vue 完成前后端分离验证
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 749
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT校验
Monster
03-08 2136
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
JWTJWTVerifier
mingzq123的博客
03-27 769
verify(Algorithm algorithm):使用指定的算法验证JWT的签名是否有效。withAudience(String... audience):指定JWT的受众(audience),以确保该JWT只能被特定的受众使用。withSubject(String subject):指定JWT的主题(subject),以确保该JWT只能用于特定的目的或场景。withIssuer(String issuer):指定JWT的发行者(issuer),以确保该JWT只能由特定的发行者签发。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt:使用jwks端点的JWT验证程序
05-15
在这个场景中,`jwt:使用jwks端点的JWT验证程序`指的是一个专门处理使用JWKS来验证JWTJavaScript库或方法。 JWT的工作原理是,服务器在用户成功登录后会签发一个JWT,包含用户信息,并通过加密确保数据安全。...
JWT Token生成及验证
07-16
JWT在身份验证和授权场景中广泛应用,尤其是在微服务架构和API安全领域。 ### JWT Token的基本构成 JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法...
JWT 验证所需的关键jar包 jwt.zip
07-10
JWT 特点 体积小,因而传输速度快 传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输 严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,...
Core5 WebApi JWT验证登录+注入依赖Demo
12-12
【标题】"Core5 WebApi JWT验证登录+注入依赖Demo" 涉及到的关键技术主要集中在.NET Core 5框架下的WebAPI开发、JSON Web TokenJWT验证以及依赖注入。这里将详细介绍这些核心概念。 1. **WebAPI**: WebAPI是...
一篇文章让你学会JWT令牌认证
Java是世界上最好的语言
12-18 1931
用户每次访问后台的时候,如果是一些需要认证的链接,都需要识别用户身份,比如用户抢单、用户中心等,在传统项目中用的是Session,但在微服务中不建议使用Session,使用JWT令牌。 1. 初识JWT JWT简称JSON Web Token ,也就是通过json形式作为web应用的令牌,用在各方之间安全的将信息作为json对象传输,在数据传输过程中还可以完成数据加密,签名相关处理 。 JWT令牌作用: 身份授权:这是使用jwt的最常见方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该领牌
什么是 JWT? 如何基于 JWT 进行身份验证
JavaMonsterr的博客
07-08 3468
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenToken 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
如何使用JWT进行身份验证与授权
dotNET跨平台
05-05 2162
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
编程不良人JWT笔记
拧发条鸟的博客
07-15 905
JWT 1.简介 1.含义 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 2.认证流程 1.认证流程 - 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 - 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Paylo
过滤器与拦截器 - 登录校验与登录认证(JWT令牌技术)
weixin_51351637的博客
05-17 2392
会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。比如我们打开浏览器与Web服务器建立连接。首先访问login接口,再访问depts接口,最后访问emps接口。只要浏览器和服务器都没有关闭,那么这三次请求都是在一次会话中完成的。关闭服务器,所有的会话都会关闭关闭当前浏览器,当前会话结束会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
Java实现Token登录验证(基于JWTtoken认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
nodejs 实现 jwt验证
06-08
首先,需要安装jsonwebtoken这个包,可以使用npm进行安装: ``` npm install jsonwebtoken --save ``` 接下来,可以使用如下代码实现JWT验证: ```javascript const jwt = require('jsonwebtoken'); // 定义一个密钥,用于加密和解密JWT const secret = 'my_secret_key'; // 创建一个JWT const token = jwt.sign({ userId: '123456' }, secret, { expiresIn: '1h' }); // 解密JWT jwt.verify(token, secret, (err, decoded) => { if (err) { console.log('JWT验证失败'); } else { console.log(decoded); // { userId: '123456', iat: 1621110414, exp: 1621114014 } } }); ``` 在这个例子中,我们定义了一个密钥`secret`,然后使用`jwt.sign`方法创建了一个JWT,并设置了过期时间为1小时。接着,我们使用`jwt.verify`方法对JWT进行验证,如果验证成功,就可以获得JWT的解密信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值