JWT身份认证

最新推荐文章于 2022-11-10 15:55:36 发布
最新推荐文章于 2022-11-10 15:55:36 发布
阅读量439 收藏 1
点赞数
文章标签: 前端 http json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoping__/article/details/121073488
版权

文章目录

Json Web Token

JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输

目前无论单体应用还是分布式应用,都更加推荐用JWT token的方式进行用户认证

利用token进行用户身份验证的流程

1.客户端使用用户名和密码请求登录
2.服务端收到请求,验证用户名和密码
3.验证成功后,服务端会签发一个token,再把这个token返回给客户端
4.客户端收到token后可以把它存储起来,比如放到cookie中
5.客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
6.服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据

JWT的认证流程

1.前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探
2.后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串
3.后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可
4.前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)
5.后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等
6.验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果

img

JWT认证的优势

对比传统的session认证方式,JWT的优势是:

简洁:JWT Token数据量小,传输速度也很快
因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务
单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话, token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题
适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要 Cookie 保存 SessionId),所以不适合移动端

目前无论单体应用还是分布式应用,都更加推荐用JWT token的方式进行用户认证

JWT结构

标头(Header)、有效载荷(Payload)和签名(Signature)

在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串

1.Header

JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256;typ属性表示令牌的类型,JWT令牌统一写为JWT。

2.Payload

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

除以上默认字段外,我们还可以自定义私有字段,一般会把包含用户信息的数据放到payload中

默认情况下JWT是未加密的,因为只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中,以防止信息泄露。JWT只是适合在网络中传输一些非敏感的信息

3.Signature

签名哈希部分是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)

JWT每部分的作用

在服务端接收到客户端发送过来的JWT token之后:

header和payload可以直接利用base64解码出原文,从header中获取哈希签名的算法,从payload中获取有效数据

signature由于使用了不可逆的加密算法,无法解码出原文,它的作用是校验token有没有被篡改。服务端获取header中的加密算法之后,利用该算法加上secretKey对header、payload进行加密,比对加密后的数据和客户端发送过来的是否一致。注意secretKey只能保存在服务端,而且对于不同的加密算法其含义有所不同,一般对于MD5类型的摘要加密算法,secretKey实际上代表的是盐值

JWT依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

JWT工具类

package com.example.demo.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @date 2019/4/25 11:46
 * @atuther wangbo
 */
public class JwtUtil {

    //密钥(签名要用)
    public static final String SECRET = "sdjhakdhajdklsl;o653632";
    //过期时间:秒
    public static final int EXPIRE = 5;

    /**
     * 生成Token
     * @param userId
     * @param userName
     * @return
     * @throws Exception
     */
    public static String createToken(String userId, String userName) throws Exception {
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.SECOND, EXPIRE);
        Date expireDate = nowTime.getTime();

        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        String token = JWT.create()
                .withHeader(map)//头
                .withClaim("userId", userId)
                .withClaim("userName", userName)
                .withSubject("测试")//
                .withIssuedAt(new Date())//签名时间
                .withExpiresAt(expireDate)//过期时间
                .sign(Algorithm.HMAC256(SECRET));//签名
        return token;
    }

    /**
     * 验证Token
     * @param token
     * @return
     * @throws Exception
     */
    public static Map<String, Claim> verifyToken(String token)throws Exception{
        // 创建解析对象,使用的算法和secret要与创建token时保持一致
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT jwt = null;
        try {
        	//解析token 如果出现异常,表示前后token不一致,验证失败,或者token过期
            jwt = verifier.verify(token);
        }catch (Exception e){
            throw new RuntimeException("凭证已过期,请重新登录");
        }
        return jwt.getClaims();
    }

    /**
     * 解析Token
     * @param token
     * @return
     */
    public static Map<String, Claim> parseToken(String token){
        DecodedJWT decodedJWT = JWT.decode(token);
        return decodedJWT.getClaims();
    }

}
Coding_小平
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ocelot网关+jwt身份认证
06-09
基于webapi的微服务框架,ocelot网关+jwt身份认证
SymfonyRESTAPI的JWT身份验证
08-07
此Bundle为您的Symfony API提供JWTJson Web Token)身份验证
jwt方式token验证流程及基于java的JJWT的无状态的身份验证实现详解
i++;
03-11 862
1.Token认证流程 使用基于 Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的。 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端会签发一个 Token,再把这个 Token发送给客户端 4.客户端收到 Token以后可以把它存储起来,比如放在 Cookie里 5.客户端每次向服务端请求资源的时候需要带着服务端签发...
JWT(SSO方案)+身份认证的三种方式
努力的小C
01-07 2334
JWT(SSO方案)+身份认证的三种方式一、身份认证的三种方式1.1 单一服务器模式1.2 SSO(单点登录)1.3 Token1.3.1 token 验证过程1.3.2 使用token的案例演示(时序图)1.3.3 token 优缺点二、JWT2.1 JWT令牌2.2 JWT 的组成2.2.1 HEADER2.2.2 PAYLOAD2.2.3 VERIFY SIGNATURE2.2.4 拓展:Base64URL算法2.3 JWT 的使用2.4 JWT 的生成和解析(demo)2.4.1 jwt生成2.4.
SpringBoot集成JWT实现token验证
weixin_33994444的博客
07-10 2062
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包...
如何使用JWT进行身份验证与授权
dotNET跨平台
05-05 2104
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
个人博客--小小笔记2
qq_48021871的博客
08-16 1789
JWT(token)、事务管理、拦截器、过滤器、ThreadLocal内存泄漏、精度丢失、线程池、int基本类型在执行操作时会默认赋值0
token清除,退出登录
brillianceGlory的博客
10-13 1890
清除token失败的原因
JWT-登录Token解决方案
05-03 2636
一、Token解析 1、生成Token 使用一个字符串+失效时间进行生成Token private static final String secret = "1234567"; public static String createToken(String subject){ String token = Jwts.builder().setSubject(subject) .setExpiration(new Date(Syst
SpringBoot Security 单点登出清除所有业务系统的 token
weixin_42555971的博客
11-10 3181
登出清除token
.netMvc JWT身份验证
11-04
使用前nuget安装 JWT3.0.1
Vue路由之JWT身份认证的实现方法
10-16
主要介绍了Vue路由之JWT身份认证的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
webapi JWT身份验证Demo
08-16
使用postgresql+EF,用于JWT身份验证的 .NetCore WebAPI
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
token 生成验证工具类,亲测可用,使用教程参见:https://www.cnblogs.com/footmark/p/10654386.html
cookie中的JWT身份验证
08-16
使用Postgresql+EF,.Net Core webapi中实现在Cookie 中验证JWT,并且附有自定义权限策略
.Net WebAPi JWT身份验证
11-07
.NetFrameWork 4.6.2 WebAPI 实现JWT身份验证,简单的Demo程序
基于Express的JWT身份验证练习
07-24
基于Express的JWT身份验证练习,在该项目中,将会引导你从创建Express服务器开始,导入过程中所需要的包,包括CORS,express-jwtjsonwebtoken,以及解析数据的中间件body-parser,在本项目中,没有配置ul前端界面...
spring security如何启用jwt身份验证
最新发布
05-12
要在Spring Security中启用JWT身份验证,需要进行以下几个步骤: 1. 添加Spring Security和JWT依赖项 在Maven或Gradle构建文件中添加以下依赖项: Maven: ``` <groupId>org.springframework.boot <artifactId>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值