十分钟学会JWT

已于 2023-12-01 23:52:24 修改
阅读量89 收藏
点赞数
分类专栏: jwt 文章标签: java
于 2023-12-01 23:51:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50117915/article/details/134745928
版权


一、简介

1、概述

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,并且是数据结构是 JSON 格式的,所以可以在各种语言中使用。并且 JWT 是可信任和验证的,因为它里面包含了通过加密之后的签名,可以保证在传输的过程中不会被篡改。
JWT 由 Hander、PayLoad、Siganture 三部分组成,其中Siganture 是通过加密Hander 和 PayLoad 形成的签名,签名可以验证数据的完整性,防止被篡改。但需要注意的是,签名仅能保证传输的信息不被篡改,而不能保证信息传输的安全。
官网地址:https://jwt.io/introduction

2、作用

  1. 授权:用户登录后可以根据用户的信息构建 token,从而实现访问一些服务和资源
  2. 信息传输:因为 JWT 包含签名,所以可以保证传输的信息不被篡改

3、结构

JWT 的结构是以 . 进行分割的三部分组成:

  • Hander
  • PayLoad
  • Siganture

类似于:

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTc4Nzc1MTQ3MX0.KcH3xxUSrbf5g36ZlJqQa2CzNRtZoNAtLLgO3LjPf5twE-K25SQCCMbeMU_4f7VMEkY-raJPcdmtdG4kztiDyA

并且我们可以通过官网进行解析:
QQ截图20231130214106.png
我们可以看到上图的 jwt 标了 3 种颜色,红色、紫色和蓝色,也就是Header,PayLoad 和Siganture。其中 Header 和 PayLoad 都是由 Base 64 加密而来的,可以进行解密,只有Siganture 需要通过密钥进行加密。

  • Header 部分主要是标明加密的方式,当然我们也可以自定义其中的内容
  • PayLoad 部分主要是存放信息,例如用户的 id 和用户名等等,需要注意的是,由于仅通过 Base 64 加密,所以是可以解密的,因此不能在这里放用户的一些例如手机号、身份证号或者密码等敏感信息
  • Siganture 部分就是签名了,上图中我们可以把密钥填进去验证数据有没有被篡改

我们在使用中一般是用于用户登录生成 token 的,我们也可以看到很多网站在请求接口时都会在请求头中看到:

Authorization:Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTc4Nzc1MTQ3MX0.KcH3xxUSrbf5g36ZlJqQa2CzNRtZoNAtLLgO3LjPf5twE-K25SQCCMbeMU_4f7VMEkY-raJPcdmtdG4kztiDyA

这种类型,其格式为Authorization: Bearer ,注意 Bearer 和 token 中间有一个空格

4、为什么使用 JWT

  • 在传统的 session 中,每次用户登录后,服务端都需要将 session 保存在内存中,这样一旦用户增多之后,就会导致内存开销过大,或者服务重启后,会导致用户登录失效。
  • 用户登录之后,也只能在这台服务器上进行资源请求,因为 session 仅保存在这台服务器中。
  • 因为 session 是通过 cookie 传输的,因此如果 cookie 被截获,则很有可能会遭受 csrf。

如果使用 JWT,则不会有上面的这些问题,因为 JWT 的鉴权机制也类似于 HTTP 的无状态,不需要服务端存储认证信息,仅需验证签名即可保证信息的安全性。

5、JWT 的优点

  • JWT 的长度很短,进行传输时,数据量小传输快
  • PayLoad 中包含了用户的信息,因此也不需要频繁的去查询数据库
  • JSON 解析器在绝大部分语言上都支持,可以很容易的解析
  • 不需要在服务端存数据,特别适用于分布式微服务

二、工作流程

工作流程如图所示:未命名文件 (1).png

  1. 用户输入账号密码或者短信登录,服务器验证通过后根据用户的基本信息生成 JWT,然后将 JWT 通过响应返回给前端
  2. 前端拿到 token 后,通过 LocalStorage 等方式将 token 保存下来
  3. 当前端请求后端 API 时,在请求头中通过Authorization: Bearer 带上 token
  4. 服务端接收到请求后,拦截请求并查找 token 和验证 token,验证通过后将数据返回给前端;若不通过,则返回响应码 401,前端接收到响应码后跳转登录页面

三、使用

1、基本使用

  1. 导入 jjwt 依赖,jjwt 是 jwt 对 Java 的支持框架
<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.9.1</version>
</dependency>
  1. 测试代码
public class JwtTest {
    public static void main(String[] args) {
        // Header
        Map<String, Object> header = new HashMap<>();
        header.put("alg", "HS512");

        // Payload
        Map<String, Object> payload = new HashMap<>();
        payload.put("sub", "admin");

        // 声明Token失效时间,1小时候失效
        Date expire = new Date(System.currentTimeMillis() + 3600 * 1000);

        // 生成Token
        String token = Jwts.builder()
        // 设置Header
        .setHeader(header)
        // 设置Payload
        .setClaims(payload)
        // 设置生效时间
        .setExpiration(expire)
        // 签名,这里的秘钥最好填复杂一点,千万不要泄露
        .signWith(SignatureAlgorithm.HS512, "symx.club")
        .compact();
        System.out.println(token);
    }
}
  1. 运行结果
    QQ截图20231130223431.png
    4.官网解码
    QQ截图20231130214106.png
    5.Java 代码解码
public class JwtTest {
    public static void main(String[] args) {
        // 生成的token
        String token = "eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTcwMTM1ODQxNn0.xHCSMJDNGc8jYYBva-N-s3xTMEzkul5znK9eSMbWdM0m8AleiqWqNSHQCsdyv-l4EQtvyE7PPHC3SHfYuJZPGg";
        // 解析Header
        JwsHeader header = Jwts
                .parser()
                .setSigningKey("symx.club")
                .parseClaimsJws(token)
                .getHeader();
        System.out.println(header);

        // 解析PayLoad
        Claims claims = Jwts
                .parser()
                .setSigningKey("symx.club")
                .parseClaimsJws(token)
                .getBody();
        System.out.println(claims);

        // 解析Signature
        String signature = Jwts
                .parser()
                .setSigningKey("symx.club")
                .parseClaimsJws(token)
                .getSignature();
        System.out.println(signature);
    }
}

6.解析结果
QQ截图20231130224002.png

2、JWT 工具类

一般工作中都会将一些常用的方法整合成一个工具类方便使用
1.首先在配置文件中加入配置

jwt:
  #JWT存储的请求头
  requestHeader: Authorization
  #JWT加解密使用的密钥
  secret: symx.club
  #JWT的有效时间(60*60*24*7)
  expiration: 604800
  #JWT负载中的开头
  tokenStartWith: 'Bearer '

2.工具类

import club.gggd.demo.domain.entity.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.util.Date;

/**
 * @Description
 * @Author srx
 * @date 2023/11/30 22:42
 */
@Component
public class JwtUtil {

    /**
     * JWT存储的请求头
     */
    @Value("${jwt.requestHeader}")
    private String requestHeader;

    /**
     * 秘钥
     */
    @Value("${jwt.secret}")
    private String secret;

    /**
     * 有效时间
     */
    @Value("${jwt.expire}")
    private Integer expire;

    /**
     * jwt开头
     */
    @Value("${jwt.tokenStartWith}")
    private String tokenStartWith;

    /**
     * redis工具类
     */
    @Autowired
    private RedisUtils redisUtils;

    /**
     * 获取用户名
     * @param token
     * @return 
     */
    public String getUserNameByToken(String token) {
        Claims claims = getClaimsByToken(token);
        return claims != null ? claims.getSubject() : null;
    }

    /**
     * 获取过期时间
     * @param token
     * @return Date
     */
    public Date getExpiredByToken(String token) {
        Claims claims = getClaimsByToken(token);
        return claims != null ? claims.getExpiration() : null;
    }

    /**
     * 获取Claims
     * @param token
     * @return 
     */
    private Claims getClaimsByToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            // 签名不一致异常
            if (e instanceof SignatureException) {
                throw new BusinessException(ResultCode.TOKEN_INVALID);
            } 
            // token过期异常
            if (e instanceof ExpiredJwtException) {
                throw new BusinessException(ResultCode.TOKEN_TIMEOUT);
            }
            // 如果都不是上面的则弹出token无效异常
            throw new BusinessException(ResultCode.TOKEN_INVALID);
        }
        return claims;
    }

    /**
     * 计算过期时间
     * @return 
     */
    private Date generateExpired() {
        return new Date(System.currentTimeMillis() + expire * 1000);
    }

    /**
     * 判断 Token 是否过期
     * @param token
     * @return
     */
    private Boolean isTokenExpired(String token) {
        Date expirationDate = getExpiredByToken(token);
        return expirationDate.before(new Date());
    }

    /**
     * 生成 Token
     * @param user 用户信息
     * @return
     */
    public String generateToken(User user) {
        String token = Jwts.builder()
                .setSubject(user.getUserName())
                .setExpiration(generateExpired())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
        String key = "login:" + user.getUserName() + ":" + token;
        redisUtils.set(key, token, expire / 1000);
        return token;
    }

    /**
     * 验证 Token
     * @param token
     * @return
     */
    public Boolean validateToken(String token) {
        final String username = getUserNameByToken(token);
        String key = "login:" + username+ ":" + token;
        Object data = redisUtils.get(key);
        String redisToken = data == null ? null : data.toString();
        return StringUtils.isNotEmpty(token) && !isTokenExpired(token) && token.equals(redisToken);
    }

    /**
     * 移除 Token
     * @param token
     */
    public void removeToken(String token) {
        final String username = getUserNameByToken(token);
        String key = "login:" + username+ ":" + token;
        redisUtils.del(key);
    }

}

以上是 jwt 中一些比较常用的方法,大家可以根据自己的需求进行修改和添加

3、Spring Boot 整合 JWT

1.导入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2.配置文件

jwt:
  #JWT存储的请求头
  requestHeader: Authorization
  #JWT加解密使用的密钥
  secret: symx.club
  #JWT的有效时间(60*60*24*7)
  expire: 604800
  #JWT负载中的开头
  tokenStartWith: 'Bearer '

3.编写接口

@RestController
@RequestMapping("/auth")
public class AuthController {

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public WebResult login(HttpServletRequest request) {
        // 这里直接模拟用户
        User user = new User();
        user.setUserName("admin");
        String token = jwtUtil.generateToken(user);
        return WebResult.ok(token);
    }

    @GetMapping("/test")
    public WebResult test() {
        return WebResult.ok("校验成功");
    }
}

4.创建拦截器

@Component
public class JwtHandlerInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil;

    @Value("${jwt.requestHeader}")
    private String requestHeader;

    @Value("${jwt.tokenStartWith}")
    private String tokenStartWith;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader(requestHeader);
        // 判断是否有token
        if (StrUtil.isBlank(token)) {
            throw new BusinessException(ResultCode.TOKEN_NOT_FOUND);
        }
        // 去掉token前缀
        token = token.replace(tokenStartWith, "");
        // 验证token是否存在redis,是否过期
        Boolean valid = jwtUtil.validateToken(token);
        if (!valid) {
            throw new BusinessException(ResultCode.TOKEN_INVALID);
        }
        return true;
    }
}

5.注册拦截器

@Configuration
public class AuthWebMvcConfigurer implements WebMvcConfigurer {

    @Autowired
    private JwtHandlerInterceptor jwtHandlerInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 加入拦截器
        registry.addInterceptor(jwtHandlerInterceptor)
                // 所有请求都拦截
                .addPathPatterns("/**")
                // 除了登录接口
                .excludePathPatterns("/auth/login");
    }
}

6.验证

首先进行登录:
QQ截图20231201233530.png
可以看到,能正常拿到 token,拿到 token 之后我们对需要 token 的接口在不放 token 的情况下请求一遍:
微信截图_20231201233705.png
可以看到提示 token 为空,此时我们把 token 放进去:
QQ截图20231201233830.png
可以正常访问,接下来我们在配置文件中把过期时间改小一点,比如 30 秒,等 30 秒之后再请求:
QQ截图20231201234054.png
可以看到,提示 token 过期,最后我们自己生成一个 token 尝试呢?
QQ截图20231201234321.png
这里我自己通过密钥生成了一个 token,并拿去请求
QQ截图20231201234426.png
提示 token 无效

完结撒花 ❀❀❀

山有木兮丶丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt认证 js如何处理header_你是如何优雅的处理token认证登录?
weixin_35725310的博客
12-31 1137
导读首发于公众号:JAVA大贼船,原创不易,喜欢的读者可以关注一下哦!一个分享java学习资源,实战经验和技术文章的公众号!前言优雅,意味着优美雅致,用猿话讲就是这代码看得舒服,用得也舒服。登录认证方式有很多,有的是用cookie,有的是用session,有的是用token认证。而本文主要讲述基于jwt以自定义注解方式优雅地处理token认证,此处的优雅只是作者个人口味,萝卜青菜各有所爱,还拦着你...
.Net Core基于JWT的token的权限认证
frace3510的博客
04-01 3085
.Net Core基于JWT的token的权限认证
JWT
xiaochao_bos的博客
01-07 4663
JWT   前段时间我也简单的用了一下JWT,感觉它很废(个人观点),why?,下面是我整合其他人的一些观点。   声明 本文内容的作用范围仅限 Web 应用。 词汇定义 无状态 JWTJWT 中存储所有认证授权信息,服务端不存储任何相关数据。 有状态 JWTJWT 中存储认证授权信息的 ID,具体数据存储在服务端。 Session / Cookie :有几种实现形式: 签
生成用户token的工具类
weixin_42733631的博客
12-07 1304
import cn.hutool.core.date.DateUtil; import cn.hutool.core.util.StrUtil; import com.tongfun.module.yanwu.stream.entity.UserDetails; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.slf4j.Logg
JWT爆破篡改工具-离线
04-03
从爆破到篡改,完美闭环
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT 实战教程_jwt_
10-01
jwt是什么,如何在springboot中整合jwt
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT(json-web-token)技术来做前后端鉴权
kobezzZ的博客
09-08 460
1、每次请求都需要携带token字段,可以进行路由等权限的验证 2、做前后端验证健全。如果没有携带token去后台,后台会认为没有权限,直接抛出错误 3、发起一次登录请求,如果登录验证通过,后台返回数据会包括token字段,本地存储token字段,然后拿着token字段去后台请求对应的用户权限 4、客户端收到服务器返回的JWT字段,可以存储在cookie里面,也可以存储在localStorage里...
【工具类】jwtrequest头信息中获取jwt信息
sdaujsj1的博客
05-26 1514
XcOauth2Util 类 package com.xuecheng.framework.utils; import lombok.Data; import org.apache.commons.lang3.StringUtils; import javax.servlet.http.HttpServletRequest; import java.util.Map; /** * Created by mrt on 2018/5/25. */ public class XcOauth2Util {
JWT的简单使用-HelloWorld!
铁蛋的博客
03-11 807
配置2个接口,一个获取Token(不拦截)。一个验证Token(拦截) 第一步 引入pom.xml依赖 <!--JWT(Json Web Token)登录支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </depe
jwt认证机制优势和原理_java web中JWT验证原理
weixin_39687667的博客
11-21 196
一、什么是JWT?JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息JWT是什么样子的结构?JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。 如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证...
小结:token放在header中好处,HTTP Header详解(OAuth JWT等)
ice-wee的专栏
07-16 7万+
1 Token机制相对于Cookie机制又有什么好处及基于JWT的Token认证机制实现 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输. 引自:http://www.cnblogs.com/xiekeli/p/5607107.html 推荐: http://blog.csdn.net/wabiaozia/art
将Token添加到请求头Header
热门推荐
睁眼看世界
02-22 38万+
概述   在使用JSON Web Token作为单点登录的验证媒介时,为保证安全性,建议将JWT的信息存放在HTTP的请求头中,并使用https对请求链接进行加密传输,效果如下图所示: 问题 1.由于项目是前后端分离的,不可避免的就产生了跨域问题,导致Authorization始终无法添加到请求头中去,出现的请求如下图所示:     原因:理论请看这篇文章:(点这里),简单来...
简单的项目部署脚本(转载)
u010230019的博客
06-09 683
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
最新发布
m0_74100417的博客
06-09 1553
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 517
修改菜品——后端Java
hutool jwt
08-12
Hutool是一个Java工具库,而JWT是一用于认证和授权的标准化方法。Hutool中提供了对JWT的支持,可以方便地进行JWT的生成、解析和验证操作。 要在Hutool中使用JWT,你需要添加Hutool的依赖包到你的项目中。具体使用方法如下: 1. 添加Maven依赖(如果你使用Maven构建项目): ```xml <dependency> ***</dependency> ``` 2. 创建JWT对象并设置相关参数: ```java // 密钥 String secret = "your_secret_key"; // 创建JWT对象 Jwt jwt = JwtUtil.createJwt() .setAlgorithm(JwtAlgorithm.HS256) // 设置算法 .setSecret(secret) // 设置密钥 .setPayload("your_payload") // 设置载荷(可以是一个JSON字符串) .setExpiresAt(DateUtil.offsetMinute(new Date(), 30)); // 设置过期时间 // 生成JWT字符串 String jwtStr = jwt.generate(); ``` 3. 解析和验证JWT: ```java // 解析JWT字符串 Jwt jwt = JwtUtil.parseJwt(jwtStr); // 获取载荷信息 String payload = jwt.getPayload(); // 验证JWT是否有效 boolean isValid = jwt.validate(); ``` 这样,你就可以在Hutool中使用JWT进行认证和授权操作了。希望能对你有所帮助!如果有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值