JWT实现token

已于 2023-08-29 10:03:30 修改
阅读量490 收藏
点赞数
文章标签: java
于 2023-08-17 18:13:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52457624/article/details/132346788
版权

JWT是什么?

        JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。

JWT的认证流程如下:

1、首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探

2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串 3、后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可

4、前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)

5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等

6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果

JWT:JSON Web Token,token就是一段字符串,由三部分组成:Header,Payload,Signature

Header

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

{
"alg": "HS256",
"typ": "JWT"
}

        在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

Payload        

        有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

除以上默认字段外,我们还可以自定义私有字段,如下例:

{
"userId": "1",
"userAccount": "wupengyu",
}

Signature

一段签名数据

类似于:

SING="ahfuau&@$&@$@%";

JWT使用步骤

1、导入maven依赖

这里使用的时auth0中的jwt,hutool中也有jwt,此处不再过多研究

<!--   JWT     -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

2、编写JWTUtils工具包

此处可以作为通用JWT工具类

public class JWTUtils {
    private static final String SING = "!Q@W3e4r%T^Y";
    /**
     *  生成token  header.payload.sing
     * */
    public static String getToken(Map<String,String> map){
        //获取当前时间
        Calendar instance = Calendar.getInstance();
        //Calendar中add,对天数进行操作,设置当前时间后七天
        instance.add(Calendar.DATE,7);
        //创建JWT builder
        JWTCreator.Builder builder = JWT.create();
        //设置payload
        map.forEach((k,v)->{
                builder.withClaim(k,v);
        });
        String token = builder
                .withExpiresAt(instance.getTime())//指定令牌过期时间
                .sign(Algorithm.HMAC256(SING));
        System.out.println(token);
        return token;
    }
​
    /**
     *  验证token 合法性
     * */
    public static void verify(String token){
        //验签算法,要与签名算法相同
         JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }
​
    /**
     *  获取token信息
     * */
    public static DecodedJWT getTokenInfo(String token){
        DecodedJWT decodedJWT = JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
        //从DecodedJWT中拿token的信息
        return decodedJWT;
    }
}

3、编写token的拦截器

        如果在每个接口处都对token进行校验,会造成代码冗余,所以我们写一个拦截器或者AOP,如果是分布式系统,那就将此操作写进网关。

public class JWTInterceptor implements HandlerInterceptor {
​
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<String,Object> map = new HashMap<>();
        //获取请求头中的令牌
        String token = request.getHeader("token");
        try{
            JWTUtils.verify(token);//验证令牌
            return true;//请求放行
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","token算法不一致");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效");
        }
        map.put("state",false);
        //将map转化为json
        Gson gson = new Gson();
        String json = gson.toJson(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(json);
        return false;
    }
}

4、配置token拦截器

        自主选择不需要拦截的路径进行配置即可

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
​
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/**")
                .excludePathPatterns("/user/login")
                .excludePathPatterns("/user/login/byPhone")
                .excludePathPatterns("/user/sendMsg");
​
    }
}

5、之后,在登录接口中,用户登陆成功后,生成一个token,并作为响应值返回给前端,前端将其设置到请求头中。如需使用token中的用户信息,调用token的解析方法就可以。

扩展:如果想注销时删除token,除了在前端删除请求头外,还应设置黑名单,可以使用redis设置黑名单,防止恶意使用还未过期的token进行数据访问。

暖风沉醉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 8828
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
session与token
Uzizi的博客
07-30 436
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
十分钟,带你看懂JWT(Json Web Token
最新发布
cul1n的博客
02-20 1351
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWTJWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
JWT token
无痕的博客
07-24 274
用户登录成功后,服务端生成一个随机的token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需要携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地。
如何前端token后端获取token
tanxinji的博客
12-09 4514
在身份验证方面,Token通常用于替代传统的基于会话的身份验证机制,如使用Cookie+Session的方式。使用Token进行身份验证的好处是,服务器不需要在内存中保存用户的会话信息,因为Token本身包含了所有验证所需的信息。在前端,使用浏览器提供的 Web Storage(如LocalStorage或SessionStorage)或者使用HTTP Cookie来存储TokenToken是一种用于身份验证和授权的令牌(Token)机制,在网络通信中广泛使用。注解来接收前端传递的Token值。
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
layuimini-token:layuimini集成jwt实现token
04-30
layuimini集成jwt实现token介绍本项目是在layuimini项目的基础上增加jwttoken,感觉也挺多人用token的,注意项目只实现了iframe v2版集成token。原项目地址:解码jwt项目地址:拉取代码:iframe v2多tab版:git ...
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWTtoken登录详解及项目实操流程
Shaw_Jie的博客
11-08 2357
jwttoken登录实际操作流程,详细操作,分三部分,封装生成token、验证token的函数,搭建服务器,调接口设中间件验证token
Token认证模式以及JWT介绍
m0_69631269的博客
10-11 212
⼀旦签发,就会在有效期内⼀直可⽤,⽆法在服务端废⽌,当⽤户进⾏登出操作,只能依赖客户端删除掉本地存储的 JWT Token。的⽆状态会话管理⽅式诞⽣了,所谓⽆状态,就是服务端可以不再存储信息,甚⾄是不再存储 Session。,使得服务端认证鉴权业务可以⽅便扩展,避免存储 Session 所需要引⼊的。默认是不加密的,任何⼈都可以读到,所以不要把秘密信息放在这个部分。除了官⽅字段,开发者也可以⾃⼰指定字段和内容,例如下⾯的内容。的缩写,是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于。
JWT快速使用以及结合ThreadLocal获取token信息
weixin_58403235的博客
09-12 798
JWT快速使用以及结合ThreadLocal获取token信息
DecodedJWTJWT
mingzq123的博客
03-26 1881
获取JWT的签名信息。作业:使用JWT创建一个包含用户ID和用户名的JWT,并使用HS256算法对其进行签名。使用DecodedJWT类解码JWT,从中获取用户的ID和用户名,然后根据用户ID查询用户信息并返回。: 获取JWT的头部信息。: 获取JWT的主题。: 获取JWT的签发时间。获取JWT使用的加密算法。: 获取JWT的接收者。:使用指定的算法对JWT进行签名。
token】一.token的作用;二.Express中实现token的方法
weixin_44892365的博客
01-03 991
token】一.token的作用;二.Express中实现token的方法
java jwt生成token并在网关设置全局过滤器进行token的校验并在给请求头设置参数及在微服务中解析参数
jjw_zyfx的博客
07-02 2025
java jwt生成token并在网关设置全局过滤器进行token的校验
PYJWT的使用
qq_36606793的博客
01-04 422
PYJWT使用HS256编码和解码令牌 使用HS256编码和解码令牌 import jwt import datetime dic = { 'exp': datetime.datetime.now() + datetime.timedelta(days=1000), # JWT的过期时间 'iat': datetime.datetime.now(), # JWT的签发时间 'iss': 'lianzong', # 签名 "aud": ["urn:foo", "ur
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 6670
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
.net6 基本使用JWT生成Token,模拟用户登录,启动api授权,需要登录携带token才能请求数据,基本给用户添加权限管理
热门推荐
weixin_44442366的博客
04-07 1万+
1. 创建好项目,添加一个控制器,新建用户登录api接口和接收用户登录信息类Dto Dto就包含两个字段,账号和密码 2. 安装NuGet包,搜索JWT,安装图下这个包 3. 在appsettings.json添加JWT加密需要的私钥,发布者等相关配置信息,私钥用户可以自定义。 私钥:SecretKey 发布者:Issuer 接收者:Audience "Authentication": { "SecretKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfh
后端分离中获取不到请求头中的token
weixin_63549044的博客
09-02 1547
JWT String argument cannot be null or empty
jwt实现token销毁
07-27
JWT实现token销毁的方式有几种方法。一种常见的方法是将token存储在服务器端的黑名单中。当用户注销或需要销毁token时,将该token添加到黑名单中。在每次请求时,服务器会检查token是否在黑名单中,如果是,则拒绝该请求。这种方法需要服务器维护一个黑名单列表,并增加一些额外的逻辑来检查token的有效性。\[2\] 另一种方法是使用token的过期时间来实现销毁。在生成token时,可以设置一个过期时间,一旦token过期,它将自动失效。这样,即使token被保留在客户端,一旦过期,它也无法再被使用。这种方法不需要服务器维护黑名单列表,但需要在生成token设置合适的过期时间。\[3\] 需要注意的是,JWT本身是无状态的,它不提供直接的注销功能。因此,实现token销毁需要额外的逻辑和控制。具体的实现方式可以根据具体的需求和系统架构来选择。 #### 引用[.reference_title] - *1* [SpringBoot集成JWT实现token验证,token注销](https://blog.csdn.net/yangyangye/article/details/117445245)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [如何使用jwt 完成注销(退出登录)功能](https://blog.csdn.net/weixin_39813433/article/details/122287823)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值