jwt token

最新推荐文章于 2024-02-29 03:30:57 发布
最新推荐文章于 2024-02-29 03:30:57 发布
阅读量131 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoqing19910812/article/details/85004790
版权

简介

      JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。

JWT的组成
一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature)。
拼接形式为: Header.Payload.Signature
头部(Header)
JWT的头部用户描述关于该JWT的最基本信息,例如其类型以及签名所使用的算法等。这个可以被表示成一个JSON对象,比如下面类型就是JWT,使用的算法是HS256。

{
“typ”: “JWT”,
“alg”: “HS256”
}

上面的内容用Base64进行编码,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(Payload)
Payload里面是Token的具体内容,也就是Token的数据声明(Claim),这些内容里面有一些是标准字段,也可以添加其他需要添加的内容,如userId,email等。

{
“iss”: “why”,
“iat”: 1416797419,
“exp”: 1448333419,
“aud”: “www.example.com”,
“sub”: “taobao.com”,

}

iss: 该JWT的签发者,是否使用是可选的;
sub: 该JWT所面向的用户,是否使用是可选的;
aud: 接收该JWT的一方,是否使用是可选的;
exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;
iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;
nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟;,是否使用是可选的;

上面的json内容,经过Base64编码后就成为如下内容:

ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd
3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9

签名(Signature)
签名就是对头部及载荷内容进行签名,如果有人截取了Token信息并对Token信息进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密时用的密钥的话,得出来的签名也一定是不一样的。
签名的过程是这样的:采用header中声明的算法,接受三个参数:base64编码的header、base64编码的payload和秘钥(secret)进行运算。签名这一部分如果你愿意的话,可以采用RSASHA256的方式进行公钥、私钥对的方式进行。在下面的代码中,我们将介绍使用的签名方式。
将上面的两个编码后的字符串都用句号连接在一起(头部在前),就形成了:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd
3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9

我们将上面拼接完的字符串用HS256算法进行加密,在加密的时候,提供一个密钥(secret),然后对上面的字符串进行加密后得到签名

6OcLdX38eKWn1gCyJ6RNwsAvIvXxYq1CGBkFWgiTsyc

最后,将将这一部分也用句号拼接在字符串后面,就形成了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd
3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9.6OcLdX38eKWn1gCyJ6RNwsAvIvXxYq1CGBkFWgiTsyc

JWT的工作流程

如上图所示:
1. 用户导航到登录页,输入用户名和密码,进行登录
2. 服务器对登录用户进行认证,如果认证通过,根据用户的信息和JWT的生成规则生成JWT Token
3. 服务器将该Token字符串返回
4. 客户端得到Token信息,将Token存储在localStorage、sessionStorage或cookie等存储形式中。
5. 当用户请求服务器API时,在请求的Header中加入 Authorization:Token。
6. 服务端对此Token进行校验,如果合法就解析其中内容,根据其拥有的权限和自己的业务逻辑给出响应结果,如果不通过,返回HTTP 401。
7. 用户进入系统,获得请求资源

JWT的JAVA实现
1.JWT的组成已经在上面详细的介绍过了,所以如果自己写生成方法的话也是可以的,就是先将Header信息和Payload信息分别进行Base64编码,用英文句号隔开,然后用HMACSHA256算法进行签名,再把签名组合起来的过程。
2. 这里我们重点说下使用JJWT的开源库;JJWT实现了JWT、JWS、JWE和JWA RFC规范,下面将简单举例说明如何使用:

生成Token码

package why.test;
 
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
 
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import java.util.Date;
 
/**
 * @Author: 王洪玉
 * @Decsription: 生成Token的工具类
 * @Create: 2017/11/12 20:06
 * @Modified By:
 */
public class TokenUtil {
    private static final String APP_KEY = "why_key"; //进行数字签名的私钥,一定要保管好,不能和我一样写到博客中。。。。。
 
    private TokenUtil(){
 
    }
 
    /**
     * 一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature)
     * @param id 当前用户ID
     * @param issuer 该JWT的签发者,是否使用是可选的
     * @param subject 该JWT所面向的用户,是否使用是可选的
     * @param ttlMillis 什么时候过期,这里是一个Unix时间戳,是否使用是可选的
     * @param audience 接收该JWT的一方,是否使用是可选的
     * @return
     */
    public static String createJWT(String id,String issuer,String subject,long ttlMillis, String audience){
 
 
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
 
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
 
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(APP_KEY);
 
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
 
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .setIssuer(issuer)
                .setAudience(audience)
                .signWith(signatureAlgorithm,signingKey);
	//设置Token的过期时间
        if(ttlMillis >=0){  
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            jwtBuilder.setExpiration(exp);
        }
 
        return jwtBuilder.compact();
 
    }
 
    //私钥解密token信息
    public static Claims getClaims(String jwt) {
        return Jwts.parser()
                .setSigningKey(DatatypeConverter.parseBase64Binary(APP_KEY))
                .parseClaimsJws(jwt).getBody();
    }
 
}

生成Token信息并解密

    @Test
    public void testCreateToken(){
        String userId = "WKSH121321KKsdfk";
        String issuer = "http://whytfjybj.com";
        String subject = "师范学院";
        long ttlMillis = 1000 * 60;
        String audience = "schoolNo";
        String token = TokenUtil.createJWT(userId,issuer,subject,ttlMillis,audience);
        //打印出token信息
        System.out.println(token);
 
 
//        解密token信息
        Claims claims = TokenUtil.getClaims(token);
        System.out.println("---------------------------解密的token信息----------------------------------");
        System.out.println("ID: " + claims.getId());
        System.out.println("Subject: " + claims.getSubject());
        System.out.println("Issuer: " + claims.getIssuer());
        System.out.println("Expiration: " + claims.getExpiration());
 
    }

总结:JWT本身的实现非常简单,虽然很高效的完成了用户认证,但网站的安全性问题是一个非常重要且关键的问题,通过上面的JWT生成过程我们可以很清楚的知道,JWT本身没有做加密处理,都是通过Base64进行编码后方便通过HTTP传输而已,Header和Payload信息都是可以通过Base64解码进行查看的。简单的安全措施是:

  1. 为保证用户密、密码验证过程的安全性,敏感信息需要在网络中传输,Token信息也会在Request请求信息中看到,因此,这个过程建议将网站进行SSL加密传输,采用HTTPS协议,以确保通道的安全性。
    2.在Payload中尽量少带敏感性信息,只带ID等无关网站安全的信息。
    总之,网站安全又是另一个非常重要的话题了,涉及到的方方面面都很广,要防范的攻击也很多,我们就不做讨论了。
    权声明:本文为博主原创文章,转载请附上博文链接!
xiaoqing19910812
关注
基于JWTToken认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web TokenJWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
深入浅出JWT(JSON Web Token )
Mantou的博客
05-05 964
1. JWT 介绍 JSON Web TokenJWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。 这些信息可以通过数字签名进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。 虽然JWT可以加密以提供各方之间的保密性,但我...
使用JWT生成token实现权限验证
m0_59359926的博客
04-07 9404
一、给登录按钮添加单击事件@click="doSubmit"。给账号文本框密码文本框都添加@blur="checkInfo"事件。发送请求 <script type="text/javascript"> var baseUrl = "http://localhost:8080/"; var vm = new Vue({ el:"#container", data:{ username:"", password:"", ..
JWT生成Token
风雨过后的博客
01-23 6218
什么是JWT       Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
JWT+Token
最新发布
weixin_67201964的博客
02-29 406
瑞吉外卖的加强版苍穹外卖 初学在瑞吉外卖的基础上使用了JWT+Token实现登录功能 并且用的是手写mapper方法锻炼sql基础能力
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWT(JSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
Token生成方案-JWT
奇遇少年
01-17 2908
JWT的使用简化了用户身份验证的流程,使得开发者能够在Web应用中轻松实现高效的身份认证和信息传递。
关于JWT + Token
nsnydnz的博客
09-25 571
文章目录关于 TokenOAuthOAuth 2.0JWT 关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 url 参数 或者 google 提供的类库都可以: /
JWT生成Token,以及解析Token
YeahToYeah的博客
04-08 2123
JWT生成Token,以及解析Token
Jwt生成token,超级简单入门
zhoujie的博客
06-28 7699
新建maven项目 在pom.xml文件下添加依赖 <dependencies> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version&gt...
关于JWTToken
热门推荐
架构专栏
07-04 1万+
关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 ...
jwt+token验证
qq_51127361的博客
09-19 2089
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
TokenJwt详解
向着高亮的地方
10-30 3981
区别: Token验证方式:由于服务器没有存储token数据,因此需要先从数据库中查询当前token,服务器再是验证否有效; JWT验证方式:直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息,在第二部分payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是JWT自己实现的。 接下来,详细介绍TokenJwt相关概念 1.To...
JWT 实现token验证
weixin_41446608的博客
10-21 1533
1. 什么是JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用 户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以 被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名算法是HS256算法。 我们进行BASE64编 码http://base64.xpcha.c
JWT_Token
qq_27295923的博客
09-09 468
Token (一)token概念 1.传统身份认证 HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。 解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收...
JwtTokenUtil
qq_37377082的博客
02-27 2614
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.c
jwttoken过期
07-27
1. 获取新的Token:如果您的JWT Token已过期,您可以向相应的身份验证服务请求一个新的Token。请确保在请求新Token时提供正确的凭据和必要的身份验证信息。 2. 刷新Token:有些身份验证服务提供了Token刷新机制。您...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值