JWT令牌技术

已于 2023-05-01 16:17:27 修改
阅读量350 收藏 2
点赞数
分类专栏: web入门 文章标签: java javascript 开发语言
于 2023-04-27 10:49:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52234593/article/details/130399800
版权

JWT令牌

  • 全称:JOSN Web Token(https://jwt.io/)

    • 定义了一种简介的、自包含的格式,用于在通信双方以JSON数据格式安全的传输信息。犹豫数字签名的存在,这些信息是可靠的。

  • 通过base64编码

  • JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

    • 第一部分:Header(头), 记录令牌类型(type)、签名算法(alg)等。 例如:{“alg”:“HS256”,“type”:“JWT”}

    • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。也会有签发日期有效期等等 例如:{“id”:“1”,“username”:“Tom”}

    • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

    签名的目的就是为了防jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌在校验的时候都会失败,所以它是非常安全可靠的。

JWT令牌生成

需要先引入JWT的依赖:

<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

在引入完JWT来赖后,就可以调用工具包中提供的API来完成JWT令牌的生成和校验
工具类:Jwts
生成JWT代码实现:

@Test
public void genJwt(){
    Map<String,Object> claims = new HashMap<>();
    claims.put("id",1);
    claims.put("username","Tom");
    
    String jwt = Jwts.builder()
        .setClaims(claims) //自定义内容(载荷)          
        .signWith(SignatureAlgorithm.HS256, "itheima") //签名算法        
        .setExpiration(new Date(System.currentTimeMillis() + 24*3600*1000)) //有效期   
        .compact();
    
    System.out.println(jwt);
}

运行测试方法:

eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjcyNzI5NzMwfQ.fHi0Ub8npbyt71UqLXDdLyipptLgxBUg_mSuGJtXtBk

输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。
在这里插入图片描述

第一部分解析出来,看到JSON格式的原始数据,所使用的签名算法为HS256。

第二个部分是我们自定义的数据,之前我们自定义的数据就是id,还有一个exp代表的是我们所设置的过期时间。

由于前两个部分是base64编码,所以是可以直接解码出来。但最后一个部分并不是base64编码,是经过签名算法计算出来的,所以最后一个部分是不会解析的。

校验JWT令牌

@Test
public void parseJwt(){
    Claims claims = Jwts.parser()
        .setSigningKey("itheima")//指定签名密钥(必须保证和生成令牌时使用相同的签名密钥)  
	    .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjcyNzI5NzMwfQ.fHi0Ub8npbyt71UqLXDdLyipptLgxBUg_mSuGJtXtBk")
        .getBody();

    System.out.println(claims);
}

运行测试方法:

{id=1, exp=1672729730}

令牌解析后,我们可以看到id和过期时间,如果在解析的过程当中没有报错,就说明解析成功了。

登录下发令牌

  1. 生成令牌
    • 在登录成功之后来生成一个JWT令牌,并且把这个令牌直接返回给前端
  2. 校验令牌
    • 拦截前端请求,从请求中获取到令牌,对令牌进行解析校验

实现步骤:

  1. 引入JWT工具类
    • 在项目工程下创建com.itheima.utils包,并把提供JWT工具类复制到该包下
  2. 登录完成后,调用工具类生成JWT令牌并返回

JWT工具类

public class JwtUtils {

    private static String signKey = "itheima";//签名密钥
    private static Long expire = 43200000L; //有效时间

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)//自定义信息(有效载荷)
                .signWith(SignatureAlgorithm.HS256, signKey)//签名算法(头部)
                .setExpiration(new Date(System.currentTimeMillis() + expire))//过期时间
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)//指定签名密钥
                .parseClaimsJws(jwt)//指定令牌Token
                .getBody();
        return claims;
    }
}

登录成功,生成JWT令牌并返回

@RestController
@Slf4j
public class LoginController {
    //依赖业务层对象
    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp) {
        //调用业务层:登录功能
        Emp loginEmp = empService.login(emp);

        //判断:登录用户是否存在
        if(loginEmp !=null ){
            //自定义信息
            Map<String , Object> claims = new HashMap<>();
            claims.put("id", loginEmp.getId());
            claims.put("username",loginEmp.getUsername());
            claims.put("name",loginEmp.getName());

            //使用JWT工具类,生成身份令牌
            String token = JwtUtils.generateJwt(claims);
            return Result.success(token);
        }
        return Result.error("用户名或密码错误");
    }
}
为爱发电中
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT
m0_67596612的博客
05-16 1510
目录 1. JWT是什么 1.1:JWT的定义: 1.2:JWT特点: 2. 为什么使用JWT 3. JWT的工作原理 4. JWT组成 4.1 Header 4.2 Payload(负荷) 根据JWT的标准,这些claims可以分为以下三种类型: 4.3 signature 5. JWT的验证过程 此处有三个注意事项: 6. JWT令牌刷新思路 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 ...
JWT令牌认证技术.zip
11-29
完整版的JWT使用示例,适用于前后端分离项目,也比较适合解决于做单点登录,跨域处理等系统,如果有问题可以通过pdf中联系方式来联系我!!!
JWT令牌
qiumin的博客
07-14 3247
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
symfony_4_jwt_restapi_demo:使用JWT令牌PHP Symfony 4 REST API示例
05-02
Symfony 4 JWT REST API示例/样板文件/演示 这是使用JWT(JSON Web令牌)的Symfony 4 REST API的样板实现(在类固醇上)。 它是在考虑最佳REST API惯例的情况下创建的。 REST API交互或多或少遵循此出色文章提供的指南/摘要: : 关于项目本身。 想到了一些想法,例如瘦控制器和TDD方法(该项目主要是通过首先创建测试,然后使用红绿重构技术创建实际代码来创建的)。 还牢记了SOLID原则,说话者的名字和其他良好的设计习惯(很幸运,Symfony本身就是一个很好的入门书)。 大多数业务逻辑从控制器转移到相应的服务,后者又使用其他服务和Doctrine存储库来执行各种数据库查询。 就是说,总会有改进的空间,因此请以它为起点并根据您的要求进行修改。 REST API在做什么? 这是一个简单的橄榄球队和联赛管理应用程序,以REST A
spring-oauth2-demo:使用Spring Boot 2和Angular使用JWT令牌实现OAuth2
02-18
Spring Boot OAuth2社交登录 该项目介绍了如何使用Spring Boot 2和Angular使用JWT令牌实现OAuth2。 MongoDB用作保存数据库的数据库。 技术/设计决策 后端:Kotlin与Spring Boot 前端:Angular 8 数据库:MongoDB ORM:Spring数据 安全性:Spring安全性 Api文档:OpenAPI Swagger 坚实的设计原则。 设置开发环境 克隆或下载存储库。 建议使用IntelliJ idea或其他空闲模式。 比在闲置的后端开放更多。 设置Spring服务器 在资源中创建application-local.yaml并复制application-production.yaml 用实际值替换环境变量 使用gradle命令运行spring服务器。 设置Angular服务器(前端) cd frontend
delphi-jose-jwt:JOSE(JSON对象签名和加密)和JWT(JSON Web令牌)的Delphi实现
04-30
Delphi JOSE和JWTJWT(JSON Web令牌)和JOSE(JSON对象签名和加密)规范套件的实现。 该库通过几种JOSE算法支持JWS(已计划JWE支持)紧凑序列化。 :books: 有关使用Delphi-JOSE的文章 -JWT和身份验证技术介绍(使用Delphi) -了解JSON Web令牌 -使用Delphi-JOSE-JWT生成和验证JWT令牌 -使用JWT使用者来验证JWT的声明 :warning: 重要事项:OpenSSL要求 使用SHA算法的HMAC 在Delphi 10 Seattle之前,HMAC-SHA算法通过Indy库使用OpenSSL,因此,要生成令牌,您应该在服务器系统中具有OpenSSL DLL。 在Delphi 10 Seattle或更新的Delphi版本中,HMAC算法也是System.Hash单元,因此不需要OpenSSL。 使用RSA或ECD
三、JWT(JSON Web Tokens)令牌(token)
HiDaJing
03-18 3730
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3253
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
JWT令牌的介绍
快乐学习
08-22 2736
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
JWT(JSON Web Token)
yptsqc的博客
12-10 304
什么是JWTJWT全称JSON Web Token是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头...
详解 JWT 规范
一土宁的博客
05-26 3003
1 概述 JSON Web Token (JWT) 是一种用于在两个系统之间传输声明(Claims)的方式,它具有紧凑、URL 安全的特点。所谓“紧凑”,是指它本身教小,适用于空间受限的环境,如 HTTP 授权头和 URI 查询参数。 ClaimsJWT中被编码为一个JSON对象,作为 JSON Web Signature (JWS)结构的有效载荷 或 JSON Web Encryption (JWE) 结构的文本信息。 JWS/JWE 使用 MAC( Message Authentication Co
JWT--JSON-Web-Token-implementation--encryption-decryption:JSON Web令牌实现(JWT)加密解密技术
05-02
使用JWT加密和解密文本使用JWT的加密和解密技术在命令提示符下的应用程序的根目录中运行以下命令。 节点服务器您可以在控制台中看到加密的文本和解密的文本您可以使用加密技术,让我们看一下[Crypto-encryption-...
JWT令牌技术快速入门
2301_79024228的博客
07-12 1632
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
JWT介绍及JWT令牌结构详解
学亮编程手记
08-03 773
是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。官网:1、jwt基于json,非常方便解析。2、可以在令牌中自定义丰富的内容,易扩展。3、通过非对称加密算法及数字签名技术JWT防止篡改,安全性高。4、资源服务使用JWT可不依赖认证服务即可完成授权。1、JWT令牌较长,占存储空间比较大。
JWT实现token-based会话管理
weixin_34050005的博客
11-24 234
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话...
一篇文章让你了解“JWT
最新发布
ChatYU的博客
10-13 332
JWT (JSON Web Token) 是一种用于在网络上安全传输信息的开放标准(RFC 7519)。它是一种紧凑且自包含的方式,用于在不同组件之间传递信息,通常用于身份验证和授权目的。JWT 是以 JSON 格式编码的令牌,它包含了声明(claims),并使用数字签名或加密来验证其完整性
java结合springboot给登录写个用户名和密码JWT令牌验证
04-20
好的,这个问题属于技术问题,关于Java结合SpringBoot给登录写个用户名和密码JWT令牌验证,你可以参考以下步骤: 1. 在SpringBoot项目的pom.xml文件中添加JWT依赖: ``` <groupId>io.jsonwebtoken <artifactId>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值