浅谈JWT

最新推荐文章于 2024-06-20 21:16:10 发布
最新推荐文章于 2024-06-20 21:16:10 发布
阅读量1.4k 收藏 2
点赞数 1
文章标签: 服务器 http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71583566/article/details/126730534
版权

利用token进行用户登录的流程:

1.首先客户端使用用户名和密码请求登录

2.服务端收到请求,验证用户名和密码

3.验证成功后,客户端会给客户端返回一个token,客户端会将token存储起来

4.之后的每次向服务器请求资源时,都会带着这个token值

5.服务端收到请求后,会去验证客户端请求里面带着的token,验证成功后,服务端就会给客户端返回请求数据

关于Session与Token的区别:Session默认是保存在服务器的内存中的数据,会占用一定的服务器内存资源,并且,不适合集群或分布式系统(虽然可以通过共享Session来解决),客户携带的Session ID只具有唯一性的特点(理论上),不具备数据含义……而Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上不占用内存资源,更适用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。

所以在此处我们推荐用JWT token的方式进行用户认证.

什么时JWT?

JWT就是token的一种具体实现方式,其全称是JSON Web Token

JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。

一个原始的JWT数据应该包含3个部分:

 

HEADER:ALGORITHM & TOKEN TYPE(算法与Token类型)

{
  "alg": "HS256",
  "typ": "JWT"
}

PAYLOAD(载荷):DATA

此部分的数据是自定义的,可按需存入任何所需的数据。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

VERIFY SIGNATURE(验证签名)

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

下面说一下项目里的JWT具体要如何操作

在使用JWT之前,需要在项目中添加相关的依赖,用于生成JWT和解析JWT,例如添加:

<!-- JJWT(Java JWT) -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

 紧接着在test包下创建测试类,这里是生成jjwt数据

public class JwtTests {

    // Secret Key
    String secretKey = "97iuFDVDfv97iuk534Tht3KJR89kBGFSBgfds";

    @Test
    public void testGenerate() {
        // 准备Claims值
        Map<String, Object> claims = new HashMap<>();
        claims.put("id", 9527);
        claims.put("name", "LiuLaoShi");
        claims.put("nickname", "JavaCangLaoShi");

        // JWT的过期时间
        Date expiration = new Date(System.currentTimeMillis() + 5 * 60 * 1000);
        System.out.println("过期时间:" + expiration);

        // JWT的组成:Header(头:算法和Token类型)、Payload(载荷)、Signature(签名)
        String jwt = Jwts.builder()
                // Header
                .setHeaderParam("alg", "HS256")
                .setHeaderParam("typ", "JWT")
                // Payload
                .setClaims(claims)
                .setExpiration(expiration)
                // Signature
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
        System.out.println("JWT=" + jwt);

这里是解析jwt数据

 @Test
    public void testParse() {
        // 注意:必须使用相同secretKey生成的JWT,否则会解析失败
        // 注意:不可以使用过期的JWT,否则会解析失败
        // 注意:复制粘贴此JWT时,不要带“尾巴”,否则会解析失败
        // 注意:不可以恶意修改JWT中的任何字符,否则会解析失败
        String jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiTGl1TGFvU2hpIiwibmlja25hbWUiOiJKYXZhQ2FuZ0xhb1NoaSIsImlkIjo5NTI3LCJleHAiOjE2NjI0NTY3ODN9.32MwkSbDz1ce4EvEKHFMCIjcQFUDZz6hn5MtAYr0njQ";

        Claims claims = Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
        Integer id = claims.get("id", Integer.class);
        String name = claims.get("name", String.class);
        String nickname = claims.get("nickname", String.class);
        System.out.println("id = " + id);
        System.out.println("name = " + name);
        System.out.println("nickname = " + nickname);
    }

内卷达人
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JWT
m0_67596612的博客
05-16 1542
目录 1. JWT是什么 1.1:JWT的定义: 1.2:JWT特点: 2. 为什么使用JWT 3. JWT的工作原理 4. JWT组成 4.1 Header 4.2 Payload(负荷) 根据JWT的标准,这些claims可以分为以下三种类型: 4.3 signature 5. JWT的验证过程 此处有三个注意事项: 6. JWT令牌刷新思路 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 ...
JWT Claims
热门推荐
weixin_30745641的博客
08-17 1万+
JWT Claims “iss” (issuer) 发行人 “sub” (subject) 主题 “aud” (audience) 接收方用户 “exp” (expiration time) 到期时间 “nbf” (not before) 在此之前不可用 “iat” (issued at) jwt的签发时间 “jti” (JWT ID) jwt的唯一身份标识,主...
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
最新发布
m0_65057237的博客
06-20 370
这份教程提供了一个简洁易上手的JWT整合Spring Boot的指南。通过遵循这些步骤,我们可以在我们的应用中实现基于JWT的身份验证机制。记得在实际部署前进行彻底的测试,以确保安全性和稳定性。
JSON web token@04#JWT Claims
五石之瓠 以为大樽 浮于江湖 悠笑人生
12-28 7441
4. JWT ClaimsJWT Claims Set 表示一个 JSON 对象,它的成员是 JWT 传输的 claims。JWT Claims Set 中的 Claim Names MUST 是唯一的; JWT 解析器 MUST 拒绝拥有重复 member name 的 JWTs,或者使用 JSON 解析 只返回 重复的成员 name 的最后一个词汇,就像规范 ECMAScript 5.1 [EC
JWT(JSON Web Token)
yptsqc的博客
12-10 319
什么是JWTJWT全称JSON Web Token是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头...
记:关于Jwt的解析的一个小坑(setClaims)
u010372750的博客
07-06 3767
今天做解析JWT的时候出现了一个问题,就是通过setClaims设置的内容在解析中能够正常解析出来,但是通过类似内置的setSubject,setIssusAt这种设置的却没有被解析出来。原因是出现在生成jwt的阶段。 原来的代码: JwtBuilder builder = Jwts.builder() .signWith(SignatureAlgorithm.HS256,jwtConfig.getSecret()) .setIssued
浅谈django rest jwt vue 跨域问题
12-25
如请求 /api/login/ 报302 ,需要去掉后面的反斜杠,正确写法 /api/login 请求跨域: 跨域: 简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。这显然是不安全的。...
浅谈ASP.NET Core 中jwt授权认证的流程原理
12-20
在ASP.NET Core中,JWT(JSON Web Token)被广泛用于授权认证,因为它提供了一种安全、轻量级的身份验证机制。JWT本质上是一个包含用户信息的加密数据字符串,它由三部分组成:Header(头部)、Payload(载荷)和...
【ASP.NET编程知识】浅谈ASP.NET Core 中jwt授权认证的流程原理.docx
05-21
ASP.NET Core 中 JWT 授权认证的流程原理 ASP.NET Core 中的 JWT 授权认证是一种基于 Token 的认证机制,它使用一段 Token 作为认证依据的手段。 Token 是一种 JSON Web Token,它包含了用户的 Claims 信息和签名...
jwt *
qq_59025975的博客
11-16 1443
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt出现的原因及工作原理 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 ①. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Cho...
JWT实现token-based会话管理
weixin_34050005的博客
11-24 249
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT的技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话...
Jwt
玉姬的博客
10-12 758
JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:1...
jwt
大屌的博客
08-17 9413
文章目录介绍JWT的验证过程实例 在之前的项目中,大部分网页是通过session来判断用户是否有权限来访问个别网页的,但是如果是SPA项目的话,前后端分离,客户请求的是前端,所以并不会保存数据到session,那该怎么办呢? 针对这一问题,可以使用jwt来解决! 介绍 JWT也就是JSON Web Token(JWT),是目前最流行的跨域身份验证解决方案。 JWT的组成: 一个JWT实际上就是一个...
jwt使用:往JwtBuilder中设置claims ,值被覆盖的问题
weixin_38168050的博客
04-22 6285
不要使用 builder.setClaims(map) 封装 map,因为会覆盖前面设置的参数 循环 keySet() 设置 循环entrySet设置 //创建JwtBuilder JwtBuilder builder = Jwts.builder() //设置失效时间 .setExpiration(new Date(exp))...
jwt中生成token,setClaims(map)会覆盖前面的值
weixin_43733952的博客
08-02 6350
在使用jwt生产token时,我们要封装信息在token中,而我就用了setClaims(),但是我的时间戳设置是在前面,导致校验token是否过期时一致获取不到。 生成token private static String getToken(String id){ Map<String, Object> claimMaps = new HashMap<>(); claimMaps.put("id",id); long current
jwt Claims token 秘钥稍有不同也能解析成功 signWith setSigningKey
ql_7256的博客
09-28 3067
问题描述 使用io.jsonwebtoken.Jwts构造了一个token,在解析这个token时,发现解析秘钥和构建秘钥不完全相同也可以成功解析,代码如下 签发token /** 测试生成token */ @Test public void testJwt() { JwtBuilder jwtBuilder = Jwts.builder() // 唯一ID {"":""} .setId("888")
JWT详细讲解
m0_71012114的博客
10-19 6199
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
invalid operation: token.Claims["ID"] (type jwt.Claims does not support indexing) #143
mojinchuan的专栏
10-24 1545
https://github.com/dgrijalva/jwt-go/issues/143
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

内卷达人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值