一文带你了解JWT

最新推荐文章于 2025-02-27 09:49:56 发布
最新推荐文章于 2025-02-27 09:49:56 发布
阅读量537 收藏 1
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53365166/article/details/133678413
版权

JWT

1.什么是JWT

  • jwt简称JSON Web Token,也就是通过JSON的形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据的加密,签名等相关处理.

2.JWT能做什么

1.授权

  • 这是使用JWT的最常见方案.一旦用户登录,每个后续请求将包括JWT.从而允许用户访问该令牌允许的路由,服务和资源.单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用.

2.信息交换

  • JSON Web Token 是在各方之间安全地传输信息的好方法.因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人.此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改

3.为什么是JWT

基于传统的Session认证

1.认证方式

  • HTTP协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据HTTP协议,我们并不能知道是哪个用户发出的请求.
  • 所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证.

2.认证流程

在这里插入图片描述

3.暴露问题

  • 1.每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大

  • 2.用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力.这也意味着限制了应用的扩展能力.

  • 3.因为是基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击

  • 4.在前后端分离系统中就更加痛苦:如下图所示
    也就是说前后端分离在应用解耦后增加了部署的复杂性.通常用户一次请求就要转发多次.如果用session每次携带sessionid到服务器,服务器还要查询用户信息.同时如果用户很多.这些信息存储在服务器内存中,给服务器增加负担.
    还有就是CSRF(跨站伪造请求攻击)攻击,session是基于cookie进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击.还有就是sessionid就是一个特征值,表达的信息不够丰富.不容易扩展.而且如果你后端应用的是多节点部署.那么就需要实现session共享机制.不方便集群应用.
    在这里插入图片描述

基于JWT认证

在这里插入图片描述

1.认证流程

  • 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口.这一过程一般是一个HTTP POST请求.建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探.

  • 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token).形成的JWT就是一个形同lll.zzz.xxx的字符串.

  • 后端将JWT字符串作为登录成功的返回结果返回给前端.前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可.

  • 前端在每次请求时将JWT放入HTTP Header中的Authorization位(解决XSS和XSRF问题)

  • 后端检查是否存在,如存在验证JWT的有效性.例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选).

  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应的结果.

2.jwt优势

  • 简洁(Compact): 可以通过URL,POST参数或者在HTTP Header发送,因为数据量小,传输速度也很快

  • 自包含(Self-contained): 负载中包含了所有用户所需要的信息,避免了多次查询数据库

  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持

  • 不需要在服务端保存会话信息,特别适用于分布式微服务.

4.jwt工具类

<!--jwt依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
 
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;
 
/**
 * JWT工具类
 */
public class JwtUtil {
 
    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "xx";
 
    public static String getUUID(){
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }
     
    /**
     * 生成jwt
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
        return builder.compact();
    }
 
    /**
     * 生成jwt
     * @param subject token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }
 
    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("xx")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);
    }
 
    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间
        return builder.compact();
    }
 
    public static void main(String[] args) throws Exception {
        //String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJjYWM2ZDVhZi1mNjVlLTQ0MDAtYjcxMi0zYWEwOGIyOTIwYjQiLCJzdWIiOiJzZyIsImlzcyI6InNnIiwiaWF0IjoxNjM4MTA2NzEyLCJleHAiOjE2MzgxMTAzMTJ9.JVsSbkP94wuczb4QryQbAke3ysBDIL5ou8fWsbt_ebg";
        Claims claims = parseJWT(token);
        System.out.println(claims);
    }
 
    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
     
    /**
     * 解析
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }

}

    return Jwts.parser()
            .setSigningKey(secretKey)
            .parseClaimsJws(jwt)
            .getBody();
}

}
Jam Coding
关注
【ChatGPT】实用 Prompt 指令大全 —— 一文教你如何更好地挖掘 GPT 的价值
AI天才研究院
04-15 2万+
ChatGPT 是由 OpenAI 开发的一种先进的大型语言生成模型,能够理解和生成准确、自然且连贯的文本。文本生成数据分析内容审核语义理解自然语言推理以及其他众多任务ChatGPT是一种基于GPT-3.5架构的大型语言模型,由OpenAI公司开发。该模型在自然语言处理领域有着广泛的应用,可以用于文本生成、文本分类、情感分析、问答系统等任务。本文将从模型的架构、训练方式、优缺点等方面对ChatGPT进行详细介绍。一、模型架构。
jwt简单介绍
远方的少年
11-09 675
jwt全称为jsonwebtoken,尤其在前后端分离的情形下,由于它自包含,轻量安全的特性常常使用在后端用户权限校验中。 jwt由三部分组成 1.头部(header) 常包含1加密算法 2token类型 2.载荷(payload) 包含颁发者,有效期等和用户自定义属性 3.签名 下面演示在Java中如何使用Jwt 1.引入依赖 <dependency> ...
JWT 简介
weixin_34194317的博客
05-03 219
本文翻译自JWT官方网站对JWT是什么以及能做什么的简介。 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的...
SpringBoot安全框架深度整合:OAuth2+JWT实现权限控制的最佳实践
最新发布
梵心白莲的博客
02-27 1094
Spring Boot作为一个广泛使用的Java开发框架,提供了强大的安全框架支持。OAuth2和JWT(JSON Web Token)作为现代身份验证和授权的标准解决方案,它们的结合可以为Spring Boot应用提供高效、灵活且安全的权限控制机制。本文将深入探讨如何在Spring Boot应用中深度整合OAuth2和JWT,实现最佳的权限控制实践。
谈谈对 JWT 理解
保持学习
11-28 2480
文章目录1、什么是 JWT2、JWT 能做什么3、Session认证 和 JWT认证 对比4、JWT 结构 1、什么是 JWT JWT简称JSON Web Token,也就是通过JSON格式作为Web中的令牌,用于在各方之间安全的将信息以JSON格式传输,在传输过程中可以进行数据加密、签名等操作 JWT最重要的作用:生成加密 Token 2、JWT 能做什么 授权登录 这是最常用的方法。一旦用户登录,每个请求都会包括JWT,允许用户访问该Token允许的路由、服务、资源。单点登录是当今广泛使用JWT
JWT详解
weixin_40017062的博客
10-30 593
JWT
想全面理解JWT一文足矣!
技术人成长 - 聊技术,话成长
06-22 676
有篇关于JWT的文章,叫“JWT: The Complete Guide to JSON Web Tokens”,写得全面细致。为了自己能更清晰理解并惠及更多人,我把它大致翻译了过来,有些地方稍显冗余就去掉了,但还是接近八千字,感谢原作者!以下是正文: 本文的目标是让你学习JWT的工作原理和细节,以及它在Web应用中能如何帮助你实现用户认证和会话管理功能。那为什么需要深入理解JWT呢?因为这样有...
jwttoken解码_JWT Token实现方法及步骤详解
weixin_34220029的博客
12-24 2788
1. 前言Json Web Token (JWT) 近几年是前后端分离常用的 Token 技术,是目前最流行的跨域身份验证解决方案。你可以通过文章 一文了解web无状态会话token技术JWT了解 JWT。今天我们来手写一个通用的 JWT 服务。DEMO 获取方式在文末,实现在 jwt 相关包下2. spring-security-jwtspring-security-jwt 是 Spring...
一文你读懂何为 macOS App 公证,以及如何自动化实现
发果叁
12-14 2135
在上篇文章「macOS App 自动化分发 App Store 探索与实践」中讲解了如何通过 Shell 脚本实现 macOS App 自动化分发 App Store。相信,看过的同学都或多或少对 macOS App 构建、分发 App Store 相关的知识都具备了一定的认知。而对于开发者来说,我们更多情况下可能会选择在网络上分发 App。
cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 802
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
java编程之java jwt token什么是JWT?(一)
Rome was not built in one day
01-17 1174
转自:http://www.leftso.com/blog/220.html 一、什么是JWT?了解JWT,认知JWT   首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录。jwt也是经常作为一种安全的token使用。 JWT的定义:
JWT(简介)
qq_65345936的博客
09-18 2282
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
Jwt介绍
weixin_66202611的博客
09-17 2789
JWT运行机制1.第一次发送登录请求,必然会携用户信息(用户名&密码)2.通过用户信息(用户名&密码)登录成功,会将用户信息通过jwt工具类生成一个加密的字符串3.加密字符串 会以 response header 响应头的形式 响应到前端4.前端服务器,会有响应拦截器拦截,截取到响应头承载的jwt串,有会放到Vuex中5.当第二次请求,前端服务器中有一个请求拦截器,会将Vuex中的jwt串放入request header请求头中的jwt串。
JWT】基本使用
luojingam的博客
01-11 395
简介: JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。 JWT令牌结构: JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header --头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC、SHA256或RSA)。 { "alg": "HS256",
JSON Web Token(JWT)原理和用法介绍
weixin_33913332的博客
12-26 1565
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍一下JWT的原理和用法。 官网地址:https://jwt.io/ 一、跨域身份验证 Internet服务无法与用户身份验证分开。一般过程如下。 1. 用户向服务器发送用户名和密码。 2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3. 服务器向用户返回session_id,sess...
JWT简介
HsiunKao
12-15 514
JWT简介什么是JWTJWT组成headerpayloadSignature一些想法,不知道是不是对的。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份...
JWT详细解析
热门推荐
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
深入了解JWT:安全认证与授权的利器
- **私有声明**:这是创建者和消费者之间共享的声明,既不需要在国际上注册,也不需要公开,但需要双方都了解其含义。 3. **签名(Signature)**: 为了防止信息篡改,需要对头部和载荷进行签名。签名的过程是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值