JWT令牌组件的使用

最新推荐文章于 2024-06-16 07:30:00 发布
最新推荐文章于 2024-06-16 07:30:00 发布
阅读量2.5k 收藏 1
点赞数
文章标签: java postman 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57176230/article/details/124655979
版权

一、我们为什么需要JWT?

首先,当前后端分离时我们会因为同源策略而无法设置cookie和sessionid。当然了我们有很多方式去解决这个问题,比如反向代理和jsonp等。但这仍然不如直接使用jwt来的简便。其次就是要说到jwt与传统的身份认证相比有什么优势了。 回答这个问题需要来看看基于token的认证和传统的session认证的区别

1、传统的session认证

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来

2、基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程上是这样的:

1、用户使用用户名密码来请求服务器 
2、服务器进行验证用户的信息 服务器通过验证发送给用户一个token 
3、客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 
4、这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 
另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin:*。

3、基于token的jwt有以下优点:

Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输. 
无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息. 
更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可. 
去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可. 
更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。 
CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。 
性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多. 
不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理. 
基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).

二、JWT的构成:

jwt由三部分构成:头部(header)、载荷(payload, )、签证(signature).

头部:jwt的头部承载两部分信息:

声明类型,这里是jwt 
声明加密的算法 通常直接使用 HMAC SHA256 
完整的头部就像下面这样的JSON: 

{

  'typ': 'JWT',

  'alg': 'HS256'

}

三、实例

先来写个jwt工具类

public class JwtUntil {
//设置签名
    private  String sign;
//过期时间
    private  int t;
//载荷数据
    private Map<String, String> map;

    public JwtUntil(String sign, int t, Map<String, String> map) {
        this.t = t;
        this.sign = sign;
        this.map = map;
    }

    public JwtUntil(String sign, int t) {
        this.sign = sign;
        this.t = t;
    }
//获取令牌
    public String getToken() {
//时间设置
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.MINUTE, t);
        JWTCreator.Builder builder = JWT.create();
        map.forEach(builder::withClaim);
        //sign设置签名 expireat设置过期时间 withcalim负载数据
        String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(sign));
        return token;
    }
//获取令牌参数
    public Map<String, Claim> getVerify(String token) {
        JWTVerifier vf = JWT.require(Algorithm.HMAC256(sign)).build();
        DecodedJWT verify = vf.verify(token);
        return verify.getClaims();
    }
//判断令牌是否过期
    public boolean verifyToken(String token) {
        boolean f = false;
        JWTVerifier vf = JWT.require(Algorithm.HMAC256(this.sign)).build();
        try {
            vf.verify(token);
            f = true;
        } catch (Exception e) {
            f = false;
        }
        return f;
    }
}

再来个拦截器判断访问时是否有合法令牌

public class TokenInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        boolean flag = false;
        String token = request.getHeader("token");
//获取properties里设置的参数
        Properties properties = new Properties();
        properties.load(Thread.currentThread().getContextClassLoader().getResourceAsStream("jwt.properties"));
        String sign = properties.getProperty("jwt.sign");
        int t = Integer.parseInt(properties.getProperty("jwt.t"));
        System.out.println(sign);
        System.out.println(t);
        JwtUntil ju = new JwtUntil(sign, t);
//判断令牌是否存在及是否合法
        if (token == null || "".equals(token)) {

            System.out.println("token==null");
            flag = false;
        } else if (ju.verifyToken(token)) {

            System.out.println("index");
        } else {

            System.out.println("login");
            flag = false;
        }
        if (!flag) {
            response.sendRedirect("/login.html");
        }
        System.out.println(flag);
        return flag;
    }
}

陈卸甲
关注
详解Spring Boot中的JWT令牌管理策略
hub666的博客
05-26 448
为了安全起见,使用无状态JWT令牌时可以使用短时限TTL(1分钟)策略,然后这些令牌会在其生存时间内及时刷新。如果服务器不知道用户何时注销,那么可以继续刷新已注销用户的令牌。本文将提供针对这个问题的一种解决方案,使之在保持水平扩展性的同时确保安全性能不受影响。 架构设计 从图中展示的体系架构可见,每个微服务都有自己的数据库。被撤销的令牌和用户都需要单一(身份)信息源(Single Source of Truth,简称“SSOT”)。数据库需要具有高可用性,包括多主机、热备份及数据库的其他功能。其
SpringJWT:演示 JWT 令牌在基于 REST 的系统中的使用的基本应用程序
06-21
**SpringJWT:基于REST系统的JWT令牌使用基础** 在现代Web应用开发中,安全性和认证是不可或缺的部分。JSON Web Token(JWT)作为一种轻量级的身份验证机制,被广泛应用于API的安全授权。Spring框架作为Java生态...
前后端分离常用的认证方式( Session 、JWT
cliper9768的博客
01-08 3195
jwt为了防止泄露,应该将有效期设置的比较短,为了减少盗用, 最好使用HTTPS协议传输,因为HTTP是明码传输的。session-cookie方案 就是利用cookie来管理session,即把 Session 放入 HTTP 响应中还给客户端,并保存在客户端,当客户端发送下一次请求的时候,就把这个 Session 一起发送回来,这样就能这次的请求是谁发出来的了。更像是一种授权机制。token(令牌,访问资源的凭证) 认证是一种机制,具体的实现可以是一个随机的字符串,也可以是标准的jwt
基于前后端分离的身份认证方式——JWT
热门推荐
riddle1981的博客
08-05 3万+
目录: 一、什么是JWT 二、我们为什么要使用JWT(与传统的session认证有何区别) 三、如何使用JWT 四、JWT的构成及原理 五、JWT加解密实例一、什么是JWT JWT——Json web token 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,可实现无状态、分布式的Web应用授权。二、我们为什么需要JWT? 首先,当前后端分离时我们会因为同源策略
前后端分离常用的认证方式
m0_59708021的博客
06-28 1115
前后端分离常用的认证方式 前后端分离中前后端的交互是通过 API 进行的,那么其中的认证是少不了的。前后端分离中常用的认证方式有下面几种: Session-Cookie Token 验证 OAuth(开放授权) Session-Cookie 方式 Session-Cookie 方式是我们开发 web 应用时最常用的认证方式。它的认证过程一般是这样的: 1/ 用户浏览器向服务器发起认证请求,将用户名和密码发送给服务器。 2/ 服务器认证用户名和密码,若通过则创建一个 session 对话,并
前后端分离---前后端身份验证(session和jwt
前端与计算机相关知识的分享,博主的qq523235674
03-07 8538
一.web开发模式 目前主流的Web开发模式有两种,分别是: ①基于服务端渲染的传统Web开发模式 ②基于前后端分离的新型Web开发模式 1.服务器端渲染的Web开发模式 服务端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: 2.服务器端渲染的优缺点 ①优点: 前端耗时少。因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即可。尤其是移动端,更省电。 有利于
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1625
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
javaJWT令牌和微服务网关使用.docx
07-02
Java中的JWT令牌与微服务网关的使用是现代微服务架构中常见的技术组合。JWT(Json Web Token)是一种轻量级的身份验证机制,用于在分布式系统中安全地传输信息。微服务网关则是微服务架构的关键组件,它作为外部...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,Spring Security会被配置为使用JWT进行身份验证。首先,我们需要创建一个自定义的`AuthenticationProvider`,负责验证用户的凭证。接着,当用户成功登录后,我们将在`AuthenticationSuccessHandler`中...
在DotNetCore中通过OpenIDConnect使用JWT令牌验证SignalR的演示_C#_TypeScript.zip
04-27
1. **JWT令牌验证**: JWT是一种轻量级的身份验证和授权机制,它将用户信息编码为一个安全的、可验证的令牌。这个令牌包含三个部分:头部(Header)、负载(Payload)和签名(Signature)。在.NET Core中,可以使用...
drf JWT组件
go|Python的个人博客
03-15 5489
文章目录drf JWT组件JWT 原理校验方式drf项目多的jwt认证开发流程(重点)JWT 简单使用base64编码解码JWT 控制登录接口返回的数据格式自定义基于jwt的权限类手动签发token(多方式登录实现)方式1 逻辑写在序列化类中方式2 逻辑写在视图类中JWT 的配置参数 drf JWT组件 jwt = Json Web Token JWT 原理 jwt分三段式:头.体.签名 (head.payload.sgin) 头和体是可逆加密,让服务器可以反解出user对
JWT 应用
wyy的博客
04-10 1092
文章目录JWT工具模块Token认证微服务JWT授权监测网关认证过滤消费端获取JWT JWT工具模块 如果要想在项目之中去使用JWT技术,那么就必须结合到已有的模块之中,最佳的做法就是将JWT的相关的处理 操作做为一个自动的starter组件进行接入 1、【microcloud项目】既然要开发一个starter组件,最佳的做法就是开发一个新的模块,模块名称:“yootk-starter.jwt ” 2、【microcloud 项目】需要为“yootk-starter-jwt”模块配置所需要的依赖库,这些依赖
JWT(JSON WEB TOKEN)
S_ZaiJiangHu的博客
08-26 942
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。......
JWT详解
qq_52030824的博客
03-17 5303
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
SpringBoot集成JWT
qq_27860623的博客
04-10 310
项目需要,自己编写登录和身份校验,于是采用了JWT的方式。
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 1万+
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
前后端的身份认证
weixin_45630345的博客
07-06 494
前后端的身份认证
【SpringBoot整合jwt】个人总结,简单易懂,5分钟拿下JWT
m0_50223394的博客
06-21 310
JWT不再神秘,5分钟看懂头疼的JWT
JWT学习笔记(3) —— JWT的工具类封装
Rickie_7的博客
10-28 449
参考B站视频:“JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案!” 网址:https://www.bilibili.com/video/BV1i54y1m7cP?p=3 在写方法之前,首先要将密钥定义为静态变量 SIGN,因为它始终不变,这样写方便方法中使用。 private static final String SIGN = "!Q2W#E$RW"; 1.生成token /** * 生成token header.payload.sig.
JWT.create() 与 JWT.builder有什么区别
05-11
JWT是一种用于身份验证的轻量级的JSON Web Token。在Java中,我们可以使用jjwt库来创建和验证JWTJWT.create()和JWT.builder()都是jjwt库中用于创建JWT的方法,它们之间的区别在于: - JWT.create()方法创建的是一个不可变的JWT实例,即创建后不能对其进行修改。而JWT.builder()方法创建的是一个可变的JWT Builder实例,我们可以通过设置不同的参数来修改这个Builder实例,最终构建出不同的JWT实例。 - JWT.create()方法创建的JWT实例是默认使用HS256算法进行签名的,如果需要使用其他算法进行签名,则需要使用JWT.builder()方法,并通过调用其setAlgorithm()方法设置算法。 例如,下面是使用JWT.create()方法创建JWT的示例代码: ``` String token = JWT.create() .withIssuer("auth0") .withSubject("subject") .withExpiresAt(new Date(System.currentTimeMillis() + 86400000)) .sign(Algorithm.HMAC256("secret")); ``` 而下面是使用JWT.builder()方法创建JWT的示例代码: ``` String token = JWT.builder() .withIssuer("auth0") .withSubject("subject") .withExpiresAt(new Date(System.currentTimeMillis() + 86400000)) .sign(Algorithm.HMAC256("secret")); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值