JWT笔记

最新推荐文章于 2024-09-29 16:00:34 发布
最新推荐文章于 2024-09-29 16:00:34 发布
阅读量542 收藏 4
点赞数 3
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63600551/article/details/138543561
版权

一.JWT介绍

全称JSON Web Token,是一种用于在网络应用之间安全传递信息的开放标准,通常用于身份验证和非敏感数据的传递,设计的主要目的是不需要服务器端存储状态,安全地传递非敏感信息

二.JWT组成

jwt构成依次为 头部(header),载荷(payload),签名(signature)

例如下面的jwt由两个点分为三部分,依次是头部,载荷,签名

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIzMiIsImV4cCI6MTcxNTA4NzQ1NH0.ewsyYLRbS8U4-pBSAUm6Z5bMb4XrCzRtYgG-vzrlq40

通常我们看到的JWT头部和载荷部分是经过Base64编码处理的。Base64编码是一种将二进制数据转换为可打印字符的编码方式,这样可以确保数据在传输过程中不会丢失或被篡改。在JWT中,Base64编码后的头部和载荷部分通常被用于在客户端和服务器之间传递信息,而签名部分则是使用密钥对头部和载荷进行加密得到的。

头部:由两部分组成,第一个是令牌类型。一般是JWT
第二个则是所使用的签名算法。比如HMACSHA256算法或者RSA

{

  "alg": "HS256",

  "typ": "JWT"

}

载荷:包含声明,

标准声明:该开放标准预先定义的一些字段

公共声明:是自定义的声明,用于在特定应用程序中共享信息

私有声明:用于在同意双方之间共享信息,通常不会被jwt规范定义,而是由应用程序自行定义和使用,例如实体类的信息

{

  "usename": "zhangsan",

  "admin": true

}

签名:

是使用密钥对头部和载荷进行加密后得到的,虽然Base64编码可以将二进制数据转换为可打印字符,但它并不是加密算法,因此并不能保护数据的机密性。在JWT中,签名部分才是用来验证JWT的真实性和完整性的关键,密钥的保密性和签名算法的选择会直接影响JWT的安全性。

三.JWT示例

springboot和jwt集成示例

1.导入依赖

 <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>

2.Token生成

public class TokenUtils {
    /**
     * 生成token
     * @return
     */
    public static String genToken(String userId,String sign){
            return JWT.create().withAudience(userId) // 将 user id 保存到 token 里面
                .withExpiresAt(DateUtil.offsetHour(new Date(),2)) //2小时后token过期
                .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥


    }

3.拦截器拦截token

package com.wwf.demo.config.interceptor;

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.wwf.demo.common.Constants;
import com.wwf.demo.entity.User;
import com.wwf.demo.exception.ServiceException;
import com.wwf.demo.service.IUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 拦截器
 */

public class JwtInterceptor implements HandlerInterceptor {
    @Autowired
    private IUserService userService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        //如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)){
            return true;
        }
        //执行认证
        if (StrUtil.isBlank(token)){
            throw new ServiceException(Constants.CODE_401,"无token,请重新登录");
        }
        //获取token中的user id
        String userId;
        try{
            userId= JWT.decode(token).getAudience().get(0);
        }catch (JWTDecodeException j){
            throw new ServiceException(Constants.CODE_401,"token验证失败");
        }
        //根据token中的userid查询数据库,
        User user=userService.getById(userId);
        if (user==null){
            throw new ServiceException(Constants.CODE_401,"用户不存在,请重新登录");
        }
        //用户密码加签验证token
        JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try{
            jwtVerifier.verify(token);
        }catch (JWTVerificationException e){
            throw new ServiceException(Constants.CODE_401,"token验证失败,请重新登录");
        }
        return true;
    }
}

4.注册拦截器

package com.wwf.demo.config;

import com.wwf.demo.config.interceptor.JwtInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor( jwtInterceptor())
                .addPathPatterns("/**")    // 拦截所有请求,通过判断token是否合法来决定是否需要登录
                .excludePathPatterns("/user/login","/user/register","/**/export");//放行的接口

    }
    @Bean
    public JwtInterceptor jwtInterceptor(){
        return new JwtInterceptor();
    }
}

5.登录方法

 public UserDto login(UserDto userDto) {
        User one = getuserInfo(userDto);

        if (one !=null){
            BeanUtil.copyProperties(one,userDto,true);
            //设置token
            String token = TokenUtils.genToken(one.getId().toString(), one.getPassword());
            userDto.setToken(token);
            return userDto;
        }else {
            throw new  ServiceException(Constants.CODE_600,"用户名或密码错误");
        }
    }

初996
关注
JWT 笔记
weixin_43991380的博客
09-26 169
JWT 比session更好的分布式前后端认证方案 JWT_java class SpringbootJwtApplicationTests { @Test void contextLoads() { Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND,200); String token = JWT.create() //
jwt笔记
qq_32073261的博客
11-13 94
负载一般由7部分组成:发布人,到期时间,主题,用户,nbf在此之前不可用,发布时间,jwt id用户标识该JWTjwt用.分割成三部分,包括头部,负载,签名。jwt是一种token(令牌)的实现方式。签名,是根据头部+负载按照签名算法生成的。token是用来身份验证的。头部记录了签名用的算法。
编程不良人JWT笔记
拧发条鸟的博客
07-15 927
JWT 1.简介 1.含义 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 2.认证流程 1.认证流程 - 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 - 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Paylo
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
Jwt学习笔记
热爱编写程序的药学在读书
09-27 434
笔记来源:文章 作者:Dearmadman 链接:https://www.jianshu.com/p/576dbf44b2ae 来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 一 jwt介绍 1、jwt是什么 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认
shiro整合jwt笔记--基于博客系统的运用原理
ZXin153的博客
07-25 489
整合前的考虑: 现在的Java项目的难点都是上线后,大量数据的访问会导致系统无法承载,这就要做集群和负载均衡,(这是后话这里不做多余解析,有兴趣的朋友可在CSDN自行搜索相关信息),为此就需要会话共享。 会话共享: 简单来说会话共享就是用户登录CSDN或者其他浏览器后,然后关闭浏览器,当下次在打开时,会发现还是处于登录状态,这个就可以理解为是会话保持功能。 会话共享功能,是为了满足在http协议无状态的情况下,使两个执行成功的请求进行连续的交互,简单点来说,在购物平台购物,用户把某个商品加入到购物车,切换一
JWT学习笔记1
08-03
本文主要围绕JWT(JSON Web Token)这一流行的认证机制进行讲解,首先介绍传统的Session验证方式,然后详细解析JWT的工作原理、组成部分及使用方法,并探讨JWT在实际项目中的应用及其优势。 一、Session验证方式 ...
H.264学习笔记
zfenggo的博客
09-26 774
H.264凭借其出色的压缩效率、灵活的编码方式以及高质量的视频表现,成为了现代视频技术的核心标准之一。它不仅减少了存储需求,还提高了流媒体和实时视频传输的可行性。对于从高清到超高清视频,H.264的编码能力仍然广泛适用。H.264的帧结构设计(I帧、P帧和B帧)极大地提高了视频编码的压缩效率。I帧保存完整的图像信息,P帧通过参考之前的帧减少冗余数据,而B帧则通过双向参考提供进一步的压缩优势。这种帧间的协同工作大幅降低了带宽需求和存储成本,同时保持了视频的高质量。NALU头。
江科大笔记—LED闪烁& LED流水灯& 蜂鸣器
m0_62005595的博客
09-28 379
LED闪烁& LED流水灯& 蜂鸣器
Maya学习笔记:项目设置和快捷键
吴梓穆的博客
09-24 387
快速空格:切换三视图,鼠标放到对应的视图上,在快速按空格,可以切到对应视图。在项目窗口里,选择要生成的子文件夹(保持默认即可),然后点下边的接受。文件/最下边选择最近的项目,在右侧展开菜单里选择刚创建的目录。只后场景会被默认保存在这个文件夹下的scenes里。F:先点击一个物体,在按F,选中的物体居中显示。主键盘5:平滑着色显示模型(默认的方式)选择一个文件夹,然后选择创建默认工作区。alt+滚路或右键拖动:缩放视角。alt+左键拖动:旋转视角。alt+中键拖动:移动视角。A:场景所有物体居中显示。
智能指针学习笔记
weixin_42130300的博客
09-24 306
1. 共享指针总体的使用来说是不线程安全的(构造和析构时才会改变引用计数,但是在访问资源时是不安全的)。可以对引用计数改变时加锁,或者将+或-操作改变为原子操作。3. 不可以将shared_ptr转换为unique_ptr。unique_ptr可以转换为shared_ptr,通过std::move。1. 关于int,成员变量的引用计数必须是int*。不可以直接是int,不然没有引用计数的作用。2. 关于是否可以声明为静态成员。不可以,否则每一个相同类型的对象都共享该计数。需要通过weak_ptr进行解决。
Games101笔记-二维Transform变换(二)
tangfuling1991的博客
09-23 252
Transform就是通过一个矩阵,进行缩放、旋转、平移等变换。
React学习笔记(2.0)
mez_Blog的博客
09-26 446
本质:和普通JS变量不同的是,状态变量一旦发生变化组件的视图UI也会跟着发生变化(数据驱动视图),可以类比与vue中的响应式。这里的e就是一个类似原生的事件e,并不是真正的原生事件e,如果要使用原生事件e,需要使用 e.nativeEvent。在React中,一个组件就是首字母大写的函数,内部存放了组件的逻辑和视图UI,渲染组件只需要把组件当成标签书写即可。概念:一个组件就是用户界面的一部分,他可以有自己的逻辑和外观,组件之间可以相互嵌套,也可以复用多次。在css文件中定义样式,然后在引入使用。
Coursera_ Algorithms I 学习笔记:Module_3_Analysis_of_Algorithm_Introduction
最新发布
approximately_的博客
09-29 809
Coursera_ Algorithms I 学习笔记:Module_3_Analysis_of_Algorithm_Introduction
sheng的学习笔记-AI-K-摇臂赌博机(K-armed bandit)
coldstarry的专栏
09-24 696
强化学习。
【功能安全】HARA分析笔记
weixin_36460584的博客
09-25 71
最近在做ADS 功能的HARA分析,在这里做一些笔记分享给大家。术语定义:大家都知道OEM主机厂从整车层面进行HARA分析,零部件在签署接口协议DIA,得到safety goal的时候,已经有安全目标和ASIL等级的要求了。但是有一些OEM需求给的很简单,就一句话,比如你拿到这句话,说实话压根不知道咋弄。我看过很多tier1,他们也会进行HARA分析,在OEM安全目标的基础上尽量贴近,会导出新的安全目标,并且产生安全状态和FTTI。
一、机器学习算法与实践_04信息论与决策树算法笔记
LC的博客
09-24 843
信息论是运用概率论与数理统计的方法,去研究信息、信息熵、通信系统、数据传输、密码学、数据压缩等问题的应用数学学科,熵(Entropy)是信息论中的一个重要概念,由克劳德·香农(Claude Shannon)提出,用于衡量信息的不确定性或系统的混乱程度在机器学习中,熵的概念被用来评估数据集的不纯度,进而指导决策树等算法的构建决策树是一种非常流行和好用的监督式学习算法,用于分类和回归任务,它通过从数据中学习决策规则来预测目标变量的值节点:代表一个特征或属性(分为根节点和子节点)分支。
JWT详解:与Cookie, Session和Token的区别及其安全挑战
本资源是一份关于Cookie、Session、Token和JWT的详细对比和深入解析的前端笔记笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值