JWT简单介绍

最新推荐文章于 2023-10-02 14:10:43 发布
最新推荐文章于 2023-10-02 14:10:43 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 服务器 java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51971817/article/details/127886992
版权

目录

JWT

概述

token认证和session认证的区别

传统的session认证

基于session认证所显露的问题

基于token的鉴权机制

JWT 的主要应用场景

优点

JWT搭建(基于java)

创建生成token的方法

验证token是否有效

获得 token 中 playload 部分数据

概述

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以 JSON 对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用 HMAC 算法或者是 RSA 的公私秘钥对进行签名。

token认证和session认证的区别

传统的session认证

我们知道,http 协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据 http 协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为 cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于 session 认证。

但是这种基于 session 的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

基于session认证所显露的问题

Session:每个用户经过认证后,我们都要在服务端做一次记录,以方便用户下一次的请求的鉴别,通常session保存在内存中,这样一来,随着用户的数量的增多,我们的服务端的开销明显会增大

扩展性:用户认证之后,服务端做认证记录,认证被保存在内存中的话,这意味着用户下次请求还是要请求服务端,才能拿到授权的资源,这样限制了负载均衡器的能力,也就意味着限制了应用的扩展

CSRF(跨站请求伪造):因为基于cookie来进行用户识别的,cookie如果被截获,那么用户就很容易的收到跨站请求的伪造攻击

基于token的鉴权机制

它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token 认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程:

  1. 用户使用账号和密码发出 post 请求;

  2. 服务器使用私钥创建一个 jwt;

  3. 服务器返回这个 jwt 给浏览器;

  4. 浏览器将该 jwt 串在请求头中像服务器发送请求;

  5. 服务器验证该 jwt;

  6. 返回响应的资源给浏览器

JWT 的主要应用场景

身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录中比较广泛的使用了该技术。信息交换在通信的双方之间使用JWT 对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

优点

1.简洁(Compact): 可以通过 URL,POST 参数或者在 HTTP header 发送,因为数据量小,传输速度也很快

2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

3.因为 Token 是以 JSON 加密的形式保存在客户端的,所以JWT 是跨语言的,原则上任何 web 形式都支持。

4.不需要在服务端保存会话信息,特别适用于分布式微服务。

5.由于私钥加密的缘故,也自然而然会更加的安全

JWT搭建(基于java)

<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.2</version>
</dependency>

创建生成token的方法

/**
* jwt 生成 token
* @param id
* @param account * @return
*/
public static String token (Integer id, String account){
String token = "";
try {
//过期时间 为 1970.1.1 0:0:0 至 过期时间 当前的毫秒值 + 有效时间
Date expireDate = new Date(new Date().getTime() + 10*1000);
//秘钥及加密算法
Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
//设置头部信息
Map<String,Object> header = new HashMap<>();
header.put("typ","JWT");
header.put("alg","HS256");
//携带 id,账号信息,生成签名
token = JWT.create()
.withHeader(header)
.withClaim("id",id)
.withClaim("account",account)
.withExpiresAt(expireDate)
.sign(algorithm);
}catch (Exception e){
e.printStackTrace(); return null;
}return token;
}

验证token是否有效

public static boolean verify(String token){
try {
//验签
Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT jwt = verifier.verify(token); return true;
} catch (Exception e) {//当传过来的 token 如果有问题,抛出异常
return false;
}
}

获得 token 中 playload 部分数据

/**
* 获得 token 中 playload 部分数据,按需使用
* @param token
* @return
*/
public static DecodedJWT getTokenInfo(String token){
return JWT.require(Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE")).build().verify(token);
}

用户登录成功后将用户 id 和账号存储到 token 中返回给客户端,之后客户端每次请求将 token 发送到服务器端验证, 在服务器中进行验证.

重开之Java程序员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
jwt简单介绍和了解
10-27
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT主要应用于身份验证以及授权...
PHP JWT初识及其简单示例
10-17
主要介绍了PHP JWT初识及其简单示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JWT教程
u010913170的博客
05-19 942
jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名
权限管理后端篇(七)之整合JWT实现token认证
qq_57919779的博客
12-17 535
整合JWT实现token认证
jwt超时时间 angular expiredat_SpringBoot集成JWT实现权限认证
weixin_39524842的博客
11-26 688
上一篇文章《一分钟带你了解JWT认证!》介绍JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现认证的过程,带你更深入的了解下JWT。一、JWT认证流程 认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证该jwt;返回响应的资源给浏览器。二、SpringBoot...
springboot 基于jwt实现用户权限访问的简单实现
qq_61931568的博客
05-10 693
这里博主对于JWT就不再赘述,我往期博客上也有,我们就直接来聊聊是怎么简单实现的 这里先说一下 博主在查看了很多博客上面都没有关于JWT实现权限访问的,大多数又只是简单做一下登录,我看到了其中一个博客用的是注解方式实现但我觉得不太适合,也过于繁琐,这里博主只做一个简单的学习记录和交流 首先 先讲一下需求: 要求不同的用户只能访问不同的资源(如:学生只能访问学生的信息,但不能访问其他,老师可以访问教师信息,但不能访问其他信息) 1.这里我已经实现了JWT 就只需要把用户的职称放入TOKEN里面就可以
token 过期后,如何自动续期?
最新发布
程序IT圈
10-02 473
JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。JWT标准里面定义的标准claim包括:iss(Issuser):JWT的签发主体;sub(Subject):JWT的所有者;aud(Audience):JWT的接收对象;exp(Expiration time):JWT的过期时间;nbf(Not Before):JWT的生效开...
SpringBoot整合JWT
10-09
SpringBoot 整合 JWT 认证机制 在本篇文章中,我们将详细介绍如何使用 SpringBoot 和 JWT(JSON Web Token)来实现认证机制。...使用 SpringBoot 和 JWT 可以实现一个简单的认证机制,提高了系统的安全性和可靠性。
net core集成jwt
09-24
分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过...
jwt
02-18
JWT研究介绍SpringBoot集成JWT实现令牌鉴权教学视频地址: ://www.bilibili.com/video/av75572951?p 108SpringBoot集成JWT实现令牌鉴权完整项目地址: : pom依赖首先当然是约会pom依赖< dependency> < groupId> io....
ASP.Net Core3.0中使用JWT认证的实现
12-23
JWT认证简单介绍 关于Jwt介绍网上很多,此处不在赘述,我们主要看看jwt的结构。 JWT主要由三部分组成,如下: HEADER.PAYLOAD.SIGNATURE HEADER 包含token的元数据,主要是加密算法,和签名的类型,如下面的信息...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
spring boot+jwt实现api的token认证详解
08-26
使用JWT生成Token非常简单。首先,我们需要一些唯一数据,例如UUID,来表示每个Token的唯一性。以下是一个生成Token的例子: ```java import io.jsonwebtoken.Jwts; import java.util.Date; import java.util.UUID;...
jwt-handbook-v0_14_1_官网下载版.pdf
10-30
Peyrott编写的版本0.14.1,详细介绍JWT的使用和实践应用。 JWT的主要目的是提供一种轻量级的身份验证和授权机制,它可以在不同的系统间安全地传递信息。JWT包含了三个部分:头部(Header)、负载(Payload)和...
Spring boot整合shiro+jwt实现前后端分离
08-25
本文将介绍如何使用 Spring Boot 框架整合 Shiro 和 JWT 实现前后端分离。 一、Shiro 简介 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会维护。Shiro 提供了身份验证、授权、会话管理、加密等功能,...
JSON Web Token 入门教程
weixin_34067102的博客
07-24 940
2019独角兽企业重金招聘Python工程师标准>>> ...
Jwt选型和实现
qq_45317823的博客
02-19 498
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
JWT全面解读、使用步骤
热门推荐
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
Jwt入门教程:实战( 二) | Java/.Net/Python中的使用
慌途L
11-22 1849
JwtJava/Python/.Net中的使用 如果对JWT还不理解的请参考第一篇:Jwt入门教程( 一) | 原理和用法. 一、Java中的使用 package test; import io.jsonwebtoken.*; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.crypto.Se...
JWT Token验证技术介绍
03-03
JWT(JSON Web Token)是一种用于在网络应用程序之间安全传输信息的开放标准。它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 JWT 使用的签名算法信息,例如 HMAC SHA256 或 RSA。载荷包含需要传输的信息,例如用户 ID 或权限信息。签名是将头部、载荷和秘钥组合后生成的哈希值,用于验证信息的真实性。 JWT 的工作原理如下: 1. 用户使用用户名和密码进行身份验证。 2. 服务器验证用户名和密码的正确性。 3. 如果验证成功,服务器生成 JWT 并将其发送回客户端。 4. 客户端将 JWT 存储在本地并在每个后续请求中将其包含在请求头部中。 5. 服务器在接收到请求时,验证 JWT 的签名并检查载荷中的信息是否与所需的一致。如果验证成功,服务器会处理请求。 JWT 的优点是: 1. 轻量级和简单JWT 以 JSON 格式编码,易于理解和实现。 2. 安全性:使用数字签名或消息认证码(MAC)验证信息的完整性和真实性,确保信息不被篡改或伪造。 3. 可扩展性:JWT 载荷可以包含任意数量的属性和元数据,使其非常适合用于身份验证和授权。 4. 无状态:JWT 包含所有必要的信息,因此服务器不需要存储任何会话信息,使其易于扩展和实现负载均衡。 然而,JWT 也存在一些缺点,例如: 1. JWT 一旦生成就无法撤销,因此必须确保密钥的安全性。 2. JWT 中包含的信息对于攻击者来说是可见的,因此敏感信息不应该存储在 JWT 中。 3. JWT 无法在传输过程中进行更新,因此在过期之前必须生成新的 JWT。 总体来说,JWT 是一种非常有用的身份验证和授权解决方案,但在使用时需要仔细考虑其安全性和缺点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

重开之Java程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值