JSON Web Tokens (JWT): 实现高效的身份验证机制

最新推荐文章于 2024-08-26 23:57:38 发布
最新推荐文章于 2024-08-26 23:57:38 发布
阅读量281 收藏 5
点赞数 5
分类专栏: 学习心得 文章标签: java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66153022/article/details/140772864
版权

随着现代Web应用的发展,特别是在微服务架构和跨域访问场景中,传统的基于会话的状态管理机制(如Cookie和Session)已经不能很好地满足需求。JSON Web Tokens (JWT) 成为了解决这些问题的一种流行方案。本文将详细介绍JWT的基本概念、工作原理以及如何在实际项目中使用JWT进行身份验证。

什么是JWT?

JWT是一种开放标准(RFC 7519),用于在各方之间以安全的方式传输信息。JWT是一个自包含的令牌,其中包含了用户身份信息和其他自定义声明,被编码成一个紧凑的URL安全字符串。JWT的设计目的是用于身份验证和信息交换,它允许信息在不受信任的环境中以安全的方式传递。

JWT的结构

JWT由三个部分组成,分别用.连接:

  1. 头部 (Header): 描述了令牌的类型和签名算法。
  2. 载荷 (Payload): 包含了需要传递的信息。
  3. 签名 (Signature): 用于验证信息的完整性和发送方的身份。

头部 (Header)

头部是一个包含类型(typ)和签名算法(alg)的JSON对象。例如:

1{
2  "typ": "JWT",
3  "alg": "HS256"
4}

载荷 (Payload)

载荷也是一个JSON对象,包含了声明(claims),例如:

1{
2  "sub": "1234567890",
3  "name": "John Doe",
4  "iat": 1516239022
5}

其中:

  • sub 表示主题,通常是用户ID。
  • name 表示用户名。
  • iat 表示签发时间。

签名 (Signature)

签名部分是由头部、载荷和一个密钥通过指定的签名算法计算得出的。例如,使用HMAC SHA-256算法时,签名计算如下:

1Signature = HMACSHA256(
2  base64UrlEncode(header) + "." +
3  base64UrlEncode(payload),
4  secret
5)

JWT的工作原理

JWT的工作流程如下:

  1. 用户登录:

    • 用户提交登录凭据。
    • 服务器验证凭据。
    • 如果验证成功,服务器会生成一个JWT,并将其发送回客户端。

  2. 客户端存储令牌:

    • 客户端通常将JWT存储在浏览器的localStorage或sessionStorage中。

  3. 客户端发送请求:

    • 客户端在每次向服务器发送请求时,都会将JWT附加在Authorization头部中。

  4. 服务器验证令牌:

    • 服务器收到请求后,会验证JWT的有效性。
    • 如果验证成功,服务器会处理请求并返回相应的资源。

  5. 令牌过期:

    • JWT可以设置一个过期时间,过期后将无法使用。

使用JWT进行身份验证

下面是一个简单的示例,展示了如何在Spring Boot项目中使用JWT进行身份验证。

创建JWT

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtil {

    public static final long EXPIRE = 1000 * 60 * 60 * 24; // 1天
    public static final String APP_SECRET = "your-secret-key"; // 生成一个安全的密钥

    public static String getJwToken(Long userId, String username) {
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                .setSubject("sys_user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("userId", userId)
                .claim("username", username)
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();
    }
}

验证JWT

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;

public class JwtUtil {

    public static boolean checkToken(String jwtToken) {
        if (jwtToken == null || jwtToken.isEmpty()) return false;
        try {
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    public static Claims getUserByJwtToken(String jwtToken) {
        return Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken).getBody();
    }

    public static Long getUserId(String token) {
        if (token == null || token.isEmpty()) return null;
        Claims claims = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(token).getBody();
        return (Long) claims.get("userId");
    }
}

安全密钥

为了确保JWT的安全性,我们使用io.jsonwebtoken.security.Keys类中的secretKeyFor(SignatureAlgorithm.HS256)方法来生成一个符合安全要求的密钥:

import io.jsonwebtoken.security.Keys;
import io.jsonwebtoken.SignatureAlgorithm;

public class JwtUtil {

    public static final long EXPIRE = 1000 * 60 * 60 * 24; // 1天
    public static final Key APP_SECRET = Keys.secretKeyFor(SignatureAlgorithm.HS256); // 生成一个安全的密钥

    // ...
}
涤生272
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
jjwtJava JWTJava和Android的JSON Web令牌
02-03
Java JWT:适用于Java和Android的JSON Web令牌 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是一个纯Java实现,完全基于 , , , 和 RFC规范,并根据的条款开源...
推荐使用:JWT Auth —— 极简的WordPress JSON Web Tokens身份验证插件
gitblog_00064的博客
06-26 397
推荐使用:JWT Auth —— 极简的WordPress JSON Web Tokens身份验证插件 项目地址:https://gitcode.com/usefulteam/jwt-auth 项目介绍 在当今这个数字化时代,REST API的身份认证变得尤为重要。JWT Auth是一款为WordPress量身打造的插件,它通过JSON Web Tokens(JWT)来实现安全且简便的REST A...
JSON Web Tokens(JWT
小卡拉米的博客
12-10 1110
JWT 即:JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT 常用于代替 Session,用于识别用户身份。
深入解析 JWTJSON Web Tokens):原理、应用场景与安全实践
A_991128a的博客
07-26 1080
JWTJSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在Web 应用程序和服务之间尤其流行用于身份验证和信息交换。JWT 本身包含了所有必要的信息。一个 JWT 通常包含用户身份验证信息、token 的发行者、过期时间等。由于其较小的体积,JWT 可以通过 URL、POST 参数或在 HTTP 头中发送,这使得其在网络环境中传输非常高效
如何使用 JWTJSON Web Tokens)进行身份验证
有我更精彩的博客
08-18 277
JWT,即 JSON Web Token,是一种基于 JSON 格式的开放标准(RFC 7519),用于在网络应用环境中安全地传输信息。JWT 的结构由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部:一般由两部分组成,表示令牌的类型(JWT)和所使用的签名算法(如 HMAC SHA256 或 RSA)。载荷:包含声明(Claims)。声明是关于实体(通常是用户)及其他数据的声明。根据不同的需求,载荷可以自定义一般信息,如用户 ID、角色等。签名。
JSON Web Tokens的实现原理
09-21
### JSON Web Tokens (JWT) 的实现原理 #### 一、前言 随着互联网技术的发展,安全性和便捷性成为了网络通信的重要考量因素。JSON Web Tokens(JWT)作为一种轻量级的数据交换标准,它允许以安全的方式来传输信息...
delphi-jose-jwt:JOSE(JSON对象签名和加密)和JWTJSON Web令牌)的Delphi实现
04-30
JWTJSON Web令牌)和JOSE(JSON对象签名和加密)规范套件的实现。 该库通过几种JOSE算法支持JWS(已计划JWE支持)紧凑序列化。 :books: 有关使用Delphi-JOSE的文章 -JWT身份验证技术介绍(使用Delphi) -...
asp.net基于JWTweb api身份验证及跨域调用实践
10-18
本文将介绍使用 JWTJSON Web Tokens)在 *** 中实现 Web API 身份验证以及如何处理跨域调用的实践技巧。 首先,我们来解释什么是 JWTJWT 是一种开放标准(RFC 7519),它定义了一种简洁的、自包含的方式用于...
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 120
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 580
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
基于jenkins部署maven项目
静水深流
08-26 191
如上所示,构建后,我们处于项目的根目录之下,可以进行后续的操作,如启动target目录下的jar包、将jar包传输到需要部署的服务器上、打docker镜像bing上传等等,需要根据实际情况进行选择,而这些都可以在“Add post-build step”选项中进行选择。我们主要关注上述几个部分,在General部分,可以对项目进行一个简单的描述,源码管理部分,需要配置对应的源码url,如下图所示。如上所示,选择“构建一个maven项目”,如果没有改选项,则需要安装maven构建的插件,请参考之前的文章。
死锁及其产生条件
最新发布
秋夫人
08-26 223
死锁是指两个或多个线程(或进程)互相等待对方释放资源,导致所有相关线程都无法继续执行的情况。这是并发编程中的一个常见问题,可能会导致系统部分或完全停止响应。
@Transactional中使用线程锁导致了锁失效与解决方案
liuruiaaa的博客
08-23 802
@Transactional中使用线程锁导致了锁失效与解决方案
Java学习_18_Stream流
qq_41136689的博客
08-23 1224
博客仅记录个人学习进度和一些查缺补漏。学习内容:BV17F411T7Ao流的出现让数据处理从几十行代码缩减到一两行就能实现,简化了很多集合数组的操作。
JavaScript 错误 - Throw 和 Try to Catch的使用
逆风优雅的博客
08-23 180
trycatchthrow上面的代码 因为 try中 没有adddlert这个方法,或者这个方法有误,这时,代码会执行catch部分。JavaScript 实际上会创建带有两个属性的Error 对象name和message。
Java 入门指南:Java IO 模型
Zachyy的博客
08-26 797
Java中的 IO(Input/Output)模型是管理计算机与外部设备(如磁盘、网络等)之间数据交换的重要机制。它定义了数据如何在应用程序和操作系统之间流动,以及如何处理这些流动过程中的阻塞、非阻塞、同步和异步等问题。Java中常见的IO模型包括 BIO(Blocking I/O,阻塞IO)、NIO(Non-Blocking I/O,非阻塞IO)、AIO(Asynchronous I/O,异步IO)等。
Java中自定义注解的使用
echola_mendes的博客
08-22 1170
以【记录操作日志】为例,一般在开发中为了记录用户操作,当系统出现问题时,可以追溯日志所提供详细的错误信息,帮助开发者快速定位问题的原因最简单的方法:在每个方法中增加日志信息打印代码,来记录操作日志,但是这样重复代码也很多,也不易扩展,而且易出错使用自定义注解就会方便很多,减少不必要的重复代码,减少非业务代码的侵入性,如果需要扩展操作用户的信息以及IP就会很方便,易于扩展和维护@interface在需要使用自定义注解的地方使用该注解@LogOperation("新增")// 方法实现
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 然后,可以编写一个 `JwtUtil` 类来实现 JWT 的生成和解析: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtil { private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public static String generateToken(String subject, long expirationTimeMillis) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTimeMillis); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(key) .compact(); } public static String parseToken(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(key) .build() .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在上面的代码中,`generateToken` 方法用于生成 JWT,接受一个 `subject` 参数表示用户 ID,和一个 `expirationTimeMillis` 参数表示过期时间(以毫秒为单位)。`parseToken` 方法用于解析 JWT,返回其中的用户 ID。 接下来,可以编写一个简单的登录接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (authenticate(user)) { String token = JwtUtil.generateToken(user.getId(), 86400000); return ResponseEntity.ok(token); } else { return ResponseEntity.badRequest().build(); } } private boolean authenticate(User user) { // TODO: 实现验证逻辑 return true; } } ``` 在上面的代码中,`User` 是一个简单的 Java 类,包含一个字符串类型的 `id` 属性。`login` 方法接受一个 `User` 对象作为参数,调用 `authenticate` 方法进行验证。如果验证通过,则使用 `JwtUtil.generateToken` 方法生成 JWT 并返回;否则返回错误响应。 最后,可以编写一个使用 JWT 进行身份验证的接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { @GetMapping("/user") public ResponseEntity<String> getUser(@RequestHeader("Authorization") String authorizationHeader) { String token = authorizationHeader.substring(7); String userId = JwtUtil.parseToken(token); // TODO: 根据用户 ID 查询用户信息并返回 return ResponseEntity.ok("User ID: " + userId); } } ``` 在上面的代码中,`getUser` 方法接受一个名为 `Authorization` 的请求头,其中包含 JWT。首先从请求头中获取 JWT,并调用 `JwtUtil.parseToken` 方法解析其中的用户 ID。然后根据用户 ID 查询用户信息并返回。 注意,在实际应用中,需要对 JWT 进行安全性考虑,比如使用 HTTPS 协议传输、设置较短的过期时间、使用更复杂的密钥等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值