JWT令牌详解

已于 2024-05-15 22:56:28 修改
阅读量964 收藏 6
点赞数 22
文章标签: 状态模式
于 2024-05-15 22:43:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_75001968/article/details/138923794
版权

定义--看看就行了:=================================

JWT(JSON Web Token) 是一种开放标准(RFC 7519),用于在各方之间以 JSON 对象的形式安全地传输信息。

JWT 由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

  1. Header:包含令牌类型(即 JWT)和签名算法(如 HMAC SHA256 或 RSA)。
  2. Payload:可以在里面存信息
  3. Signature:简单理解就是密码

使用场景:========================================

1.登录验证:

        不做登陆验证的话,黑子如果知道你的url和请求参数,就可以直接通过浏览器或者postman之类的工具请求你的服务端,很危险,所以要验证这个请求是不是合法的。

流程:

生成令牌:登录时login请求是直接放进来的,然后用户名密码正确就可以生成令牌了,上面不是说可以在payload中存信息吗,生成令牌的过程中就可以将用户的信息存进去,爱放不放,放进去肯定有用。

存储令牌:令牌就是一字符串,没那么高大尚。login请求时后端将生成的令牌返回给前端,然后前端可以保存在浏览器的local storage中

携带令牌:以后在前端发起请求时都要将令牌作为请求头传给后端,可以在前端使用拦截器实现

验证令牌:后端在接收除login外的请求,都要先验证令牌,合法了我才让你请求我的服务(请求到后端的controller)

2.传递用户信息:

        先不细说

实现:===========================================

1.引入jjwt依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2.创建jwt工具类--创不创其实无所谓,主要是更方便后面使用,为了优雅二字

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.SignatureException;

import java.util.Date;

public class JwtUtil {
    private static final String SECRET_KEY = "yourSecretKey"; // 密钥--创建、解析令牌时要用

    //生成jwt令牌
    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 86400000)) // 1 天有效期
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)  //签名算法
                .compact();
    }
    //解析jwt令牌
    public static boolean validateToken(String token) {
        try {
            Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token);
            return true;
        } catch (SignatureException | ExpiredJwtException | MalformedJwtException e) {
            return false;
        }
    }
}

3.配置拦截器拦截用户请求进行jwt验证(使用过滤器也可以)

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取到请求头中的令牌
        String authorizationHeader = request.getHeader("Authorization");

        //校验令牌是否合法
        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            String token = authorizationHeader.substring(7);
            if (jwtUtil.validateToken(token)) {
                return true;
            }
        }
        //返回不合法信息
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid or missing Authorization header");
        return false;
    }
}

4.注册并配置拦截器

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login"); // 排除登录路径
    }
}

5.在后端登录控制器中生成令牌并返回给前端

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@RestController
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public Map<String, String> login(@RequestBody AuthRequest authRequest) {
        try {
            //验证用户名密码是否正确
            userMapper.......
            //正确后进行下面步骤,否则直接返回
           
            //生成令牌-username作为数据载荷部分
            String token = jwtUtil.generateToken(authRequest.getUsername());
            //将生成的令牌返回给前端
            Map<String, String> response = new HashMap<>();
            response.put("token", token);
            return response;
        } catch (AuthenticationException e) {
            throw new RuntimeException("Invalid login credentials");
        }
    }
}

class AuthRequest {
    private String username;
    private String password;

    // getters and setters
}

回顾整个流程:=====================================

用户首先进行登录==》

        请求到后端controller==》

                (用户名密码正确)生成令牌返回给前端==》

                        前端保存令牌并在以后每次请求中携带令牌

用户发起其他请求(请求头中携带了令牌)==》

        后端拦截器拦截用户请求==》

                解析请求中令牌是否合法==》

                        合法放行,不合法拒绝访问

        

但要及时清醒
关注
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT令牌
qq_51106567的博客
07-05 900
JWT令牌简介和基本使用,基本异常
JWT令牌——详解
最新发布
2302_77758423的博客
09-11 1567
在当今的Web开发中,安全认证和授权变得尤为重要。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种简洁、紧凑且自包含的方式,用于在各方之间安全地传输信息。这种信息可以被验证和信任,但不需要依赖服务器来解析。
JWT令牌详细解析
qq_40818172的博客
07-16 1795
主要介绍了SpringBoot集成JWT令牌详细说明,JWT方式校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录,验证token更为简单。
JWT 令牌
种一颗十年前的树
02-20 333
JWT 1.1 微服务鉴权 1.2 JWT介绍 JWT --> JSON Web Token 1). 为什么在项目的微服务鉴权中引入JWT令牌 ? 2). JWT令牌的构成 header , payload , signature ; -------> jwt = header.payload.signature JSON Web Token(JWT)是一个非常轻巧的规范。这...
JSON Web令牌(JWT)详解
weixin_56069070的博客
11-18 1618
前言 今天要分享的知识是JWT 码字不易,转载请说明!!! 目录 一、JWT出现的原因及工作原理 JWT是什么 为什么使用JWT JWT的工作原理 JWT组成 传统开发对资源的访问限制利用session完成图解 ​JWT所解决的问题及机制 JWT解决不需要登录就能直接访问的问题 web.xml:解决JWT问题的过滤器 JwtFilter.java:开启jwt令牌验证功能 UserAction .java:将jwt令牌塞入响应头 未登录就不能显示内容 并且报出4...
JWT令牌详细解读
。。。。
07-05 3249
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
vue12Jwt详解+JWT组成+JWT的验证过程+JWT令牌刷新思路+代码
全栈
11-05 7312
签名是把header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。算法不同,签名结果不同。以alg: HS256为例来说明前面的签名如何来得到。按照前面alg可用值的说明,HS256其实包含的是两种算法:HMAC算法和SHA256算法,前者用于生成摘要,后者用于对摘要进行数字签名。这两个算法也可以用HMACSHA256来统称5. JWT的验证过程。
JWT令牌介绍
liujiawei00的博客
07-31 1233
什么是JWT JSON Web令牌JWT)是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以进行验证和信任。可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥配对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则对第三方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还可以证明只有持有私钥的一方才是
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
jwt令牌
姬凝霜
08-02 383
一、简介 JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。 每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在授权标头中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值