JWT令牌的使用

最新推荐文章于 2024-04-09 20:56:17 发布
最新推荐文章于 2024-04-09 20:56:17 发布
阅读量1.3k 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53402685/article/details/124105561
版权

什么是JWT

json web token(JWT),是为了在网络应用环境间传递声明而执行的一种JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般用来在身份提供者间传递被认证的用户身份信息,以便于从志愿服务期获取资源,也可以增加一些额外的其他业务了逻辑所必须的声明信息,该token也可以直接被用于认证,也可以被加密。

集群的服务其中有一部分服务器没有session,服务器没法共享session。

令牌分为3部分,头部,负载数据,验证签名。第一部分一般不变,负载数据和签名会动态变化,不能修改。令牌的长度不确定,根据负载的数据发生改变。

自定义JWT工具类

package com.ccity.utils;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import com.auth0.jwt.*;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

/**
 * @author 86155
 * @version 17
 * @title:ccity
 * @projectName smvc2022
 * @description: TODO
 * @date 2022/4/1020:17
 * @since 1.0
 */
public class JwtUtils {
    private String sign="ccity2022";

    public String getSign() {
        return sign;
    }

    public void setSign(String sign) {
        this.sign = sign;
    }

    public JwtUtils(String sign){
        this.sign=sign;
    }
    public JwtUtils(){

    }
    public String getToken(String sign, Map<String,String> payload, int minutes){
        //生成令牌token
        Calendar instance=Calendar.getInstance();//日历类,获取日历实例
        instance.add(Calendar.MINUTE,minutes);//设置时间令牌超时为30分钟
        JWTCreator.Builder builder=JWT.create();
        payload.forEach(builder::withClaim);
        String token= builder
                //.withHeader(map)//添加头部
                .withExpiresAt(instance.getTime())//设置过期时间
                .sign(Algorithm.HMAC256(sign));//设置签名,密钥
        return token;
    }
    public String getToken( Map<String,String> payload, int minutes){
        //生成令牌token
        Calendar instance=Calendar.getInstance();//日历类,获取日历实例
        instance.add(Calendar.MINUTE,minutes);//设置时间令牌超时为30分钟
        JWTCreator.Builder builder=JWT.create();
        if (payload!=null){
        payload.forEach(builder::withClaim);}
        String token= builder
                //.withHeader(map)//添加头部
                .withExpiresAt(instance.getTime())//设置过期时间
                .sign(Algorithm.HMAC256(sign));//设置签名,密钥
        return token;
    }
    public Map<String,String> getPayLoad(String token){
        Map<String ,String> map=new HashMap<>();
        if (verifyToken(token,sign)){
            JWTVerifier v=JWT.require(Algorithm.HMAC256(sign)).build();//根据密钥,签名创建校验者
            try {
                DecodedJWT f=v.verify(token);//校验者进行校验,没有异常及时校验成功
                Map<String, Claim> mc = f.getClaims();
                for (String k:mc.keySet()){
                    map.put(k,k.equalsIgnoreCase("exp")?String.format("%tF %<tT",mc.get(k).asDate()):mc.get(k).asString());
                }
            }
            catch (Exception e){
                e.printStackTrace();
            }
        }
        return map;
    }
    public  boolean verifyToken(String token, String sign){
        boolean flag=false;
        //校验令牌
        JWTVerifier v=JWT.require(Algorithm.HMAC256(sign)).build();//根据密钥,签名创建校验者
        try{
            DecodedJWT f=v.verify(token);//校验者进行校验,没有异常及时校验成功
            flag =true;
            System.out.printf("%tF %<tT%n",f.getClaim("exp").asDate());
            System.out.println(f.getPayload());
            System.out.println("-------------------------");
            f.getClaims().forEach((key,value)->{
                System.out.println(key+"===="+value);
            });
        }
        catch (TokenExpiredException tee){
            System.out.println("令牌过期");
        }
        catch (SignatureVerificationException sve){
            System.out.println("令牌异常,被篡改");
        }
        catch (Exception e){
            e.printStackTrace();
        }
        return  flag;
    }
    public  boolean verifyToken(String token){
        boolean flag=false;
        //校验令牌
        JWTVerifier v=JWT.require(Algorithm.HMAC256(sign)).build();//根据密钥,签名创建校验者
        try{
            DecodedJWT f=v.verify(token);//校验者进行校验,没有异常及时校验成功
            flag =true;
            System.out.printf("%tF %<tT%n",f.getClaim("exp").asDate());
            System.out.println(f.getPayload());
            System.out.println("-------------------------");
            f.getClaims().forEach((key,value)->{
                System.out.println(key+"===="+value);
            });
        }
        catch (TokenExpiredException tee){
            System.out.println("令牌过期");
        }
        catch (SignatureVerificationException sve){
            System.out.println("令牌异常,被篡改");
        }
        catch (Exception e){
            e.printStackTrace();
        }
        return  flag;
    }
}

1.创建项目,添加依赖

<!--java令牌机制-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.19.0 </version>
</dependency>

2.创建类,使用JWT

package com;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import java.util.Calendar;
import java.util.Date;
public class JwtDemo {
    public static void main(String[] args) {
    //生成令牌token
        Calendar instance=Calendar.getInstance();//日历类,获取日历实例
        instance.add(Calendar.MINUTE,30);//设置时间令牌超时为30分钟
        Date date=new Date();
        System.out.println(instance.getTime());
        System.out.println(date);
        String token= JWT.create()
                //.withHeader(map)//添加头部
                .withClaim("userid","admin")
                .withClaim("username","李四")
                .withExpiresAt(instance.getTime())//设置过期时间
                .sign(Algorithm.HMAC256("testjwt"));//设置签名,密钥
        System.out.println(token);
        
        //校验令牌
JWTVerifier v=JWT.require(Algorithm.HMAC256("testjwt")).build();//根据密钥,签名创建校验者
String tt="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NDk1ODkxOTIsInVzZXJpZCI6ImFkbWluIiwidXNlcm5hbWUiOiLmnY7lm5sifQ.Pr_vx8qwrUSZDq6ixBAcjpYSI-mky9MiXM-ZXNWZ1ME";
try{
    System.out.println("解码开始");
    DecodedJWT f=v.verify(tt);//校验者进行校验阶码
    System.out.println(f.getClaim("userid").asString());
    System.out.println(f.getClaim("username").asString());
    System.out.printf("%tF %<tT%n",f.getClaim("exp").asDate());
    System.out.println(f.getPayload());
    System.out.println("-------------------------");
    f.getClaims().forEach((key,value)->{
        System.out.println(key+"===="+value);
    });
}
catch (TokenExpiredException tee){
    System.out.println("令牌过期");
}
catch (SignatureVerificationException sve){
    System.out.println("令牌异常,被篡改");
}
catch (Exception e){
    e.printStackTrace();
}
    }
}

3.创建令牌工具类,通过拦截器校验

每次请求前拦截验证令牌

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    boolean f=false;
    String token=request.getHeader("token");
    if ("".equals(token)||null==token){
        f=false;
    }else if (ju.verifyToken(token)){
        f=true;
    }
    if (!f){
        response.sendRedirect("/admin/login");
    }
    return f;
}

从请求中获取令牌的方法:

1.

(@RequestHeader(value = "token",required = false,defaultValue = "") String token)

2.request.getHeader("token");

ccity86155
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwthelper:JWT令牌生成
02-24
JWT令牌生成生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
11-SpringSecurityOauth2研究-JWT研究-JWT介绍
minihuabei的博客
08-06 246
3.6 JWT研究 3.6.1 JWT介绍 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取用户的相关信息,性能低下。 解决: 使用JWT的思路是,用户认证通过会得到一个JWT令牌JWT令牌中已经包括了用户相关的信息,客户端只需要携带 JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。 JWT令牌授权过程如下图: 什么是JWT? J
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
Aplumage的专栏
10-13 1万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 什么是JWT? JSON Web...
JWT介绍&amp;空加密&amp;暴破密钥&amp;私钥泄露&amp;密钥混淆&amp;黑盒_jwt泄露
2301_82243558的博客
04-09 852
这里考虑两种思路:1、爆破密钥,显然难度较大;2、尝试将加密算法置空,也就是 alg=none同样,将 JWT 值发到 Decoder 模块,先 Base64 解码,将 HS256 替换为 none,user 替换为 admin 后,再 Base64 编码。但需要注意的是,使用此方法要先将 Signature 部分删除掉,因为加密算法为 none 必须将签名置空,并且需要将 Header 和 Claims 分别处理后再用 . 号连接,因为实测直接一起处理是不行的。最终的格式为:Header.Claims.(
SpringSecurity OAuth2 自定义令牌配置(JWT)
mituan1234567的专栏
11-05 2624
目录: 自定义令牌配置 使用JWT替换默认令牌 扩展JWT JAVA中解析JWT 刷新令牌 Spring Security允许我们自定义令牌配置,比如不同的client_id对应不同的令牌令牌的有效时间,令牌的存储策略等;我们也可以使用JWT来替换默认的令牌自定义令牌配置 我们让认证服务器AuthorizationServerConfig继承AuthorizationServerConfigurerAdapter,并重写它的configure(ClientDetailsServiceCo
jwt使用详解
u013029883的博客
08-10 1808
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
解锁新技能《如何使用JWT创建解析令牌使用RSA非对称加密》
OceanSky的专栏
05-17 499
开源依赖pom引用地址
JWT自定义方法
dasfa11的博客
10-28 602
import jwt # 加密 def encode_jwt(parameter): # 加密 encode_jwt = jwt.encode(parameter,'密钥',algorithm='HS256') print (encode_jwt) return encode_jwt # 解密 def decode_jwt(parameter): # 强转类型 encode_jwt = str(parameter,'utf-8') # 解密
Nacos鉴权和配置加密—官方原版
热门推荐
深圳市多克创新科技有限公司
02-08 1万+
Nacos鉴权和配置加密
jwt 非对称加密 密钥生成
cainiaochen3的博客
06-10 848
keytool 生成rsa 密钥
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
Alibaba Nacos JWT令牌使用默认密钥浅析
lwwzyy
03-18 5230
Nacos服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。许多Nacos 用户只开启了鉴权,但没有修改默认密钥,导致Nacos系统仍存在被入侵的风险。
socketIO-Server-NodeJS:NodeJs服务器通过websocket和jwt令牌使用家庭自动化
02-15
socketIO-服务器-NodeJS
生成jwt令牌使用方式
03-01
生成jwt令牌使用方式
.NET Core 生成JWT令牌源码
最新发布
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
spring-boot-oauth-jwt-example:一个配置为对jwt令牌使用oauth身份验证的Spring Boot项目
04-30
自述文件 获取访问令牌 curl -X POST --user'clientName:client...使用令牌访问资源 curl -X GET 刷新令牌 curl -X POST --user'clientName:clientPassword'-d'grant_type = refresh_token&refresh_token ='
JWT令牌
2201_75347157的博客
09-01 120
JWT令牌的介绍,组成,生成,校验等基础知识,我们已经讲解完了;介绍:jwt是一个开放的行业标准,它定义了一个简洁的,自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任;组成:JWT令牌由Header,Payload,Signature三部分组成,每部分中间使用(.)分隔,比如:xxxx,yyyy,zzzz。jwt载荷部分可以存储业务相关的信息(非敏感的),例如用户信息,角色等;注意事项:JWT校验时使用的签名密钥,必须和生成JWT令牌使用密钥是配套的。
jwt在线解密工具分享
小元分享
07-27 3324
同时,了解JWT的特点和优点,可以更好地应用JWT来确保应用程序的安全性和功能性。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑的,自包含的方法,用于以JSON对象的形式在各方之间安全地传输信息。- 轻量级和跨平台:由于JWT是基于JSON的,它具有轻量级和可移植性的特点,可以在不同的平台和编程语言之间进行交互。
为 ONLYOFFICE 文档配置 JWT方法
zgp210317的博客
11-29 2176
ONLYOFFICE 编辑器使用 Json Web Token (JWT),保护文档免遭未经授权的访问。在文档编辑器被初始化、以及在内部 ONLYOFFICE 文档服务之间交换命令时,这个令牌会被添加到配置中。会通过密钥JWT进行签名,并根据向 ONLYOFFICE 文档发出的请求来验证该令牌。自 ONLYOFFICE 文档 v.7.2 起,默认启用 JWT,并自动生成密钥。您可以随时按需更改相关参数。
用户登录使用jwt令牌
02-20
用户登录使用JWT令牌的过程如下: 1. 用户提供用户名和密码进行登录。 2. 服务器验证用户提供的凭据是否正确。 3. 如果凭据正确,服务器生成一个JWT令牌,并将用户的身份信息和其他必要的信息(例如权限、角色等)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值