JWT(JSON Web Tokens)入门与Java实践

最新推荐文章于 2024-05-06 13:16:40 发布
最新推荐文章于 2024-05-06 13:16:40 发布
阅读量695 收藏 9
点赞数 9
文章标签: json 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61034310/article/details/135374762
版权

一、JWT简介

在现代Web应用中,身份验证和授权是确保系统安全性的关键环节。JSON Web Tokens(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络之间安全地传输信息。JWT可以被用作身份验证和授权的一种手段,允许双方之间安全地交换信息。

二、JWT的组成

JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名),这三部分通过点(.)分隔。

  1. Header(头部):通常包含两部分信息:令牌的类型(即JWT)和使用的签名算法,例如HMAC SHA256或RSA。这些信息以JSON形式表示,并被Base64Url编码。

示例:

{
  "alg": "HS256",
  "typ": "JWT"
}
  1. Payload(负载):包含了一些声明(Claims),这些声明是关于实体(通常是用户)和附加的元数据。标准中定义了三种类型的声明:Registered、Public和Private claims。Registered claims是一组预定义好的声明,如iss(签发者)、exp(过期时间)等。负载信息也是JSON格式,同样被Base64Url编码。

示例:

{
  "sub": "user123",
  "admin": true,
  "exp": 1516239022
}
  1. Signature(签名):签名部分用于验证消息的完整性和真实性。它是通过将Header和Payload部分使用Header中指定的算法加上一个密钥进行签名得到的。签名可以防止JWT在传输过程中被篡改。

三、JWT的工作流程

  1. 用户使用用户名和密码向服务器发送登录请求。
  2. 服务器验证用户信息,如果验证通过,则根据用户信息生成一个JWT,并将其返回给客户端。
  3. 客户端收到JWT后,可以将其存储在localStorage、cookie或其他客户端存储中,以便后续请求使用。
  4. 在之后的每次请求中,客户端需要将JWT放在HTTP请求头中的Authorization字段里发送给服务器。通常,这是通过在Authorization字段中添加“Bearer ”前缀来实现的,如“Authorization: Bearer ”。
  5. 服务器接收到请求后,会验证JWT的有效性和完整性。如果验证通过,则服务器会处理该请求;否则,服务器会返回错误响应。

四、Java中使用JWT

在Java中,有多个库可以帮助我们处理JWT,比如jjwt。下面是一个简单的例子,展示如何使用Java生成和验证JWT。

  1. 添加依赖

首先,你需要在项目的pom.xml中添加jjwt库的依赖(如果你使用的是Maven):

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version> <!-- 请检查是否有更新的版本 -->
</dependency>
  1. 生成JWT

下面是一个简单的Java方法,用于生成JWT:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    private static final String SECRET_KEY = "yourSecretKey"; // 密钥,应该保存在安全的地方,不要硬编码在代码中
    private static final long EXPIRATION_TIME = 604800L; // 过期时间,这里设置为一周(单位为秒)

    public static String createToken(String userId) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("user_id", userId);
        
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME * 1000))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }
}
  1. 验证JWT

验证JWT的方法如下所示:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import java.lang.reflect.Method;

public class JwtUtil {
    // ... 其他方法 ...
    
    public static void verifyToken(String token) throws Exception {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
                
        // 可以从这里获取存储在JWT中的信息,如用户ID等
        String userId = claims.get("user_id", String.class);
        System.out.println("User ID from token: " + userId);
        
        // 还可以检查token是否过期等其他验证逻辑...
    }
}

在实际应用中,你可能还需要处理一些异常情况,比如token过期、签名不匹配等。Jwts.parser().parseClaimsJws(token)方法会抛出异常,如果token无效或已过期。因此,在实际使用时,你应该将验证逻辑放在try-catch块中,并相应地处理这些异常。

五、安全性考虑

  • 使用HTTPS来传输JWT,以防止中间人攻击。
  • 不要在JWT中存储敏感信息,因为它们是可以被解码的(尽管它们是被签名的)。
  • 为JWT设置一个合理的过期时间,以防止旧token被长时间使用。
  • 定期更换签名密钥,以增加系统的安全性。
  • 使用安全的存储方式来保存签名密钥,不要将其硬编码在代码中或公开存储。
  • 在服务器端验证JWT时,确保验证其完整性和有效期,并对任何异常情况进行适当处理。

六、总结
本文介绍了JWT的基本概念、组成和工作流程,并提供了Java中使用JWT的示例代码。通过生成和验证JWT,你可以在Web应用中实现安全的身份验证和授权。在使用JWT时,请务必注意安全性考虑,并采取适当的措施来保护系统的安全。

hoypte
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt-java:JSON Web Tokens的简单java实现
06-18
jwt-java JSON Web Tokens的简单java实现
JSON Web Tokens的实现原理
09-21
本文主要介绍了JSON Web Tokens的实现原理。具有很好的参考价值,下面跟着小编一起来看下吧
Java使用JWT
热门推荐
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWTJson Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
Java实现JWT(JSON WEB TOKEN)生成token登录凭证的demo以及解读部分JWT
小白轩的博客
06-25 2262
1、什么是JWT(代码demo在最下面,可以先代码后理解): 1.1、Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业...
JAVA面试题分享五百二十五:JWT认证绕过的几种基操
之乎者也·的博客
02-17 1129
在这种情况下,攻击者就可以使用众所周知的秘密的单词列表来暴力破解服务器的加密密钥。JWE 也是一样的,只是令牌的实际内容是加密的,而不仅仅是编码的。由于我们知道/dev/null目录是一个空文件,kid的参数改为它后会导致服务器会使用该文件的内容来对JWT签名进行验证,所以我们签名的密钥就是空(Base64加密为`AA==`)如果攻击者生成自签名证书并使用相应的私钥创建伪造的令牌,并将“x5c”参数的值替换为新生成的证书并修改其他参数,即 n、e 和 x5t,那么基本上伪造的令牌将被接受由服务器。
web-security第四期:JWTjava 实现——jjwt
Swing
06-11 4410
JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。 有两个主要应用场景: 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT(加密过的用户信息),从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开
Java简单快速入门JWTtoken生成与验证)
greatming666的博客
09-08 6362
java jwt简单了解并快速上手
Java - JWT的简单介绍和使用
Zong_0915的博客
11-06 8568
目前自己在做一个云直播个人项目,后端架构是微服务,目前准备用JWT来做Token的校验。借此机会来复习和学习一遍JWT的相关知识。
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2401
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web TokenJWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
java使用jwt
Linlietao0587的博客
01-27 1673
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 804
什么是JWT
java-jwt
qq_29799655的博客
05-15 870
目录一. JWT 基础解释二. JWT Token 组成三. JavaJWT1. java-jwt2. jjwt-root三. 实际开发中 JWT 的使用 一. JWT 基础解释 先了解几个问题 JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果 SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token
java-jwtJSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven ...
一个好用的MQTT客户端软件
易得者易失
04-30 555
MQTT客户端软件,用于MQTT调试,测试用。
使用Beego创建API项目并自动化文档
最新发布
witton的专栏
05-06 257
最近需要使用Go写一个Web API项目,可以使用Beego与Gin来写此类项目,还是非常方便的,这里就介绍一下使用Beego来创建的Web API项目并自动化文档的方法。
[XR806开发板试用] XR806 调用cjson 实现数据序列化
weixin_47569031的博客
04-29 308
[XR806开发板试用] XR806 调用cjson 实现数据序列化
如何删除BigKey
fishniu35的博客
04-29 291
BigKey内存占用较多,即便时删除这样的key也需要耗费很长时间,导致Redis主线程阻塞,引发一系列问题。优点:底层使用ziplist,空间占用小,可以灵活访问对象的任意字段。缺点:占用空间大、没办法做统一控制。优点:可以灵活访问对象任意字段。缺点:数据耦合,不够灵活。
Django框架之视图层
Xiao20000101的博客
05-02 1103
视图函数必须要返回第一个HttpResponse对象,研究三者源码可得出结论。
JSON Web Tokens在前端的应用
07-12
JSON Web Tokens (JWTs)在前端的应用非常广泛。JWT是一种轻量级的安全传输机制,用于在不同系统之间安全地传输信息。它是一种基于JSON的开放标准(RFC 7519),用于在各个实体之间以可靠和安全的方式传输信息。 在前端应用中,JWTs通常用于身份验证和授权。以下是JWT前端应用中的常见应用方式: 1. 用户身份验证:当用户登录时,服务器会生成一个包含用户信息和其他相关数据的JWT,并将其返回给客户端。客户端可以将JWT存储在本地(通常使用浏览器的本地存储,如localStorage或sessionStorage),并在后续请求中将其作为身份验证凭证发送给服务器。服务器可以验证JWT的签名,并从中提取用户信息,以确认用户的身份。 2. 跨域身份验证:当前端应用需要与多个不同域的后端服务进行交互时,可以使用JWT作为跨域身份验证解决方案。客户端在登录后获取JWT,并将其发送到其他后端服务作为身份验证凭证。后端服务可以验证JWT的签名并提取其中的信息,以确认用户的身份。 3. 授权和权限管理:JWT可以包含有关用户角色和权限的信息。在前端应用中,可以使用JWT来控制用户对不同功能和资源的访问权限。前端应用可以解析JWT并根据其中的角色和权限信息来决定显示哪些功能或资源。 4. 单点登录(Single Sign-On,SSO):JWT也可以用于实现单点登录功能。当用户在一个应用中登录后,该应用会生成一个JWT,并将其发送给身份提供者(如身份验证服务器)。其他需要用户身份验证的应用可以通过验证JWT来确认用户的身份,而无需用户再次登录。 总结起来,JWT前端应用中可以用于用户身份验证、授权和权限管理,以及实现跨域身份验证和单点登录等功能。使用JWT可以减少服务器端的状态管理,提高系统的可扩展性和性能。然而,在使用JWT时需要注意安全性,例如使用HTTPS来传输JWT,避免将敏感信息存储在JWT中,并定期更新JWT的密钥等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值