jwt总结

已于 2022-09-19 13:21:20 修改
阅读量401 收藏 1
点赞数 1
文章标签: redis 数据库 缓存
于 2022-09-16 11:47:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58775072/article/details/126887497
版权

JSON WEB Token JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

jwt 官网:

JSON Web Tokens - jwt.io

传统的token

传统的Token,例如:用户登录成功生成对应的令牌,key为令牌 value:userid,隐藏了数据真实性 ,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。

客户端每次访问后端请求的时候,会传递该token在请求中,服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。

JWT组成的部分

1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Payload(有效载荷)作用:携带一些用户信息 例如{"userId":"1","username":"mayikt"} 3.Signature(签名)作用:防止Token被篡改、确保安全性 例如 计算出来的签名,一个字符串

1.第一部分:header (头部)

{

 Typ="jwt"  ---类型为jwt

 Alg:"HS256"  --加密算法为hs256

}

2.第二部分:playload(载荷)  携带存放的数据  用户名称、用户头像之类 注意铭感数据

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

3.第三部分:Signature(签名)

JWT优缺点

优点:

1. 无需再服务器存放用户的数据,减轻服务器端压力

2. 轻量级、json风格比较简单

3. 跨语言

缺点:

jwt一旦生成后期无法修改:

1. 无法更新jwt有效期

2. 无法销毁一个jwt

jwt 90天以后过期 提前60天过期

JWT的应用场景

前端分离项目、(移动app、小程序、H5)

Base64

Base64不是加密和解密 主要是 编码和解码 基于64个可打印字符来表示二进制数据

base64_百度百科

Base64 在线编码解码 | Base64 加密解密 - Base64.us

header 头部:

{

"typ":"jwt",

"alg":"HS256"

}

ewoidHlwIjoiand0IiwKImFsZyI6IkhTMjU2Igp9

playload 存放的数据

{

"userName":"mayikt",

"age":"28"

}

cGxheWxvYWQ=

secret=Base64(header .playload)

Base64 在线编码解码 | Base64 加密解密 - Base64.us

简单手写jwt

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.codec.digest.Md5Crypt;

import java.io.UnsupportedEncodingException;
import java.util.Base64;

public class JWTDemo04 {

    public static void main(String[] args) throws UnsupportedEncodingException {
        String jwtSecret="mayikt";
        // jwt jwtHeader
        JSONObject jwtHeader = new JSONObject();
        jwtHeader.put("alg","HS256");
        jwtHeader.put("typ","jwt");
        // jwt playload 
        JSONObject jwtPlayload = new JSONObject();
        jwtPlayload.put("userName","yushengjun644");
        jwtPlayload.put("age",22);
        //base64JwtHeader
String base64JwtHeader= Base64.getEncoder().encodeToString(jwtHeader.toJSONString().getBytes());
        String base64JwtPlayload= Base64.getEncoder().encodeToString(jwtPlayload.toJSONString().getBytes());
        // 使用MD5 生成签名
        String signature = DigestUtils.md5Hex(jwtPlayload.toJSONString() + jwtSecret);
        String jwt=base64JwtHeader+"."+base64JwtPlayload+"."+signature;
        System.out.println(jwt);
        // 解密
        String jwtPlayloadStr=new String(Base64.getDecoder().decode(jwt.split("\\.")[1].getBytes()),
                "UTF-8");
        String jwtsignatureStr=jwt.split("\\.")[2];
        System.out.println(DigestUtils.md5Hex(jwtPlayloadStr+jwtSecret).equals(jwtsignatureStr));
      

    }
}

实际项目整合jwt

maven依赖:

<dependency>
 <groupId>io.jsonwebtoken</groupId> 
<artifactId>jjwt</artifactId> 
<version>0.6.0</version>
</dependency>

登录接口:

import com.alibaba.fastjson.JSONObject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestParam;

public interface JWTLoginService {
    /**
     * jwt登录的方式
     *
     * @return
     */
    @PostMapping("loginJwt")
    BaseResponse<JSONObject> loginJwt(@RequestBody UserLoginDto userLoginDto);

    /**
     * jwt 验证
     *
     * @return
     */
    @GetMapping("jwtVerification")
    BaseResponse<JSONObject> jwtVerification(@RequestParam("jwt") String jwt);
}
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import io.jsonwebtoken.Claims;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class JWTLoginServiceImpl extends BaseApiService<JSONObject> implements JWTLoginService {
    @Autowired
    private UserInfoMapper userInfoMapper;

    @Override
    public BaseResponse<JSONObject> loginJwt(UserLoginDto userLoginDto) {
        // 验证参数
        String mobile = userLoginDto.getMobile();
        if (StringUtils.isEmpty(userLoginDto.getMobile())) {
            return setResultError("mobile 不能为空!");
        }
        String passWord = userLoginDto.getPassWord();
        if (StringUtils.isEmpty(userLoginDto.getPassWord())) {
            return setResultError("passWord 不能为空!");
        }
        // md5加密
        String newPassWord = MD5Util.MD5(passWord);
        QueryWrapper<UserInfoDo> userInfoDoQueryWrapper = new QueryWrapper<>();
        userInfoDoQueryWrapper.eq("MOBILE", mobile);
        userInfoDoQueryWrapper.eq("PASSWORD", newPassWord);
        UserInfoDo userInfoDo = userInfoMapper.selectOne(userInfoDoQueryWrapper);
        if (userInfoDo == null) {
            return setResultError("手机号码或者密码错误");
        }
        // 生成jwttoken
        String jwt = MayiktJwtUtils.generateJsonWebToken(userInfoDo);
        JSONObject data = new JSONObject();
        data.put("jwt", jwt);
        return setResultSuccess(data);
    }

    @Override
    public BaseResponse<JSONObject> jwtVerification(String jwt) {
        if (StringUtils.isEmpty(jwt)) {
            return setResultError("jwt is null");
        }
        Claims claims = MayiktJwtUtils.checkJWT(jwt);
        if(claims==null){
            return setResultError("jwt error");
        }
        return setResultSuccess();
    }

}

Jwt如何实现注销

1. 浏览器cookie清除(但是服务器还是存在)

2. 建议将时间设置稍微短一点

凉城孤影研发
关注
JWT由三部分组成:头部,载荷和签名
alan_den的博客
09-02 1730
头部(Header)部分指定了JWT的类型(typ)以及所使用的签名算法(alg)。// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的。在这个例子中,载荷包含三个声明:sub(主题,通常表示用户唯一的标识符),name(用户名),和 admin(表示用户是否具有管理员权限)。头部(Header): 头部包含两部分信息,描述令牌的类型(在 JWT 中,类型是 "JWT")和所使用的签名算法。
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
总结来说,Cookie、Session和JWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
JWT组成的部分
qq_44194174的博客
11-25 1万+
JWT jwt底层组成部分 头部: Payload 装载的数据; 验证签名; jwt和token最大的区别: token(在用户登录后会返回一个tokenid,key:tokenid,value:username)依赖于redis查询数据信息,token存放value数据比较安全,jwt不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器) JWT组成的部分 1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Paylo
jwt的组成部分
热门推荐
JavaBoy的博客
01-04 1万+
什么是JWT jwt是信息加密的一种方式,一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息。三个部分在JWT中分别对应英文句号分割出来的三个串: header header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将heade...
jwt的构成部分
jiang2360的博客
08-05 1055
一、 JWT 组成结构JSON Web Tokenv由三部分组成,它们之间用点连接。完整 JWT 结构如下:1. Header"JWT""HS256"最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第一部分。2. PayloadPayload 部分用来存放。JWT 规定了7个官方字段,供选用。除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把敏感信息(密码,手机号等)放在这个部分。
JWT的组成
qq_44972847的博客
10-23 5051
目录概念组成头部载荷签证最后 概念 JWT(JSON Web Token) 定义:一种信息标准,是json信息加密后生成的token令牌,因此常用于信息交换和授权。 由三部分组成,中间用 . 连接 头部(header) 载荷(payload) 签证(signature)           组成 头部 json信息 {"typ":"JWT","alg":"HS256"} 声明token的类型是JWT,加密算法是HS256 ** HS256 对称算
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
总结来说,JWT在ASP.NET中的应用主要为了解决身份验证和授权问题,提供了一种安全、无状态的方式。`JWT.dll`是一个.NET组件,可以帮助开发者简化JWT的操作。通过提供的工具类和教程,开发者可以快速集成JWT身份验证...
lua-resty-jwtJWT为伟大的Openresty
02-03
**总结** lua-resty-jwt库是Openresty生态系统中处理JWT的关键组件,它使得在Nginx环境中实现高效的身份验证和授权成为可能。通过理解和掌握这个库的使用,开发者可以构建更安全、更高效的Web服务。
JWT Token生成及验证
07-16
### 总结 JWT Token在C#中的生成与验证涉及到JWT标准的原理、C#库的使用以及安全实践。理解并正确实施这些概念,对于构建安全、高效的Web应用至关重要。通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在...
JWT Token生成及验证(源码)
04-12
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛...总结来说,这个压缩包包含了一个关于JWT Token生成和验证的示例项目,你可以通过研究代码来学习如何在实际应用中安全地使用JWT进行身份验证和授权。
JWT的组成以及工作原理
ELSA001的博客
01-03 966
JWT的组成以及工作原理
JWT组成三部分
code_nutter的博客
07-21 1279
"sub"true}使用base64加密。
jwt的组成
qq_41028058的博客
11-18 241
jwt token的格式:header.payload.signature header: 用于存放签名的生成算法 {"alg": "HS512"} payload payload中用于存放用户名、token的生成时间和过期时间 {"sub":"admin","created":1489079981393,"exp":1489684781} signature signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败 //secret为加密算法的密
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
最新发布
m0_62201229的博客
11-26 2343
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
基于JWT的登录流程
qq_38559956的博客
01-02 1140
JWT包含三部分数据: Header:头部,通常头部有两部分内容: 声明类型,这里是JWT 签名算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息) tokenID:当前这个JWT的唯一标示 注册声明:如token的签发时间,过期...
JWT的原理和构成
IT之一小佬的博客
07-25 435
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加
JWT 简介
weixin_34194317的博客
05-03 172
本文翻译自JWT官方网站对JWT是什么以及能做什么的简介。 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的...
JWT,以及它具体的三部分组成
wangziman的博客
04-10 2391
重点的公钥,私钥,我举个例子大家理解下。 这就是它的特殊的地方,跟以前的JWT不同,它是json的格式,可以放很多信息 ,不是一个简单的字符串,再来说下对称加密。 简单的例子很直观,总的来说第一种是使用的公钥,私钥,第二种用的是对称加密。 ...
JWT详解
qq_52030824的博客
03-17 4995
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
苍穹外卖技术:个人JWT总结与实战应用
在本篇个人总结中,我们关注的是苍穹外卖技术,特别是关于JWT(Json Web Tokens)的运用。JWT是一种轻量级的身份验证协议,用于在网络应用中安全地传递用户信息。以下是总结中的关键知识点: 1. **JWT准备工作**: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值