【SSO】JWT协议示例

最新推荐文章于 2024-05-26 14:52:43 发布
最新推荐文章于 2024-05-26 14:52:43 发布
阅读量657 收藏 1
点赞数
分类专栏: SSO 文章标签: jwt

转:http://www.iteedu.com/arch/sso/jwt.htm

JSON Web Token是什么

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

什么时候你应该用JSON Web Tokens

下列场景中使用JSON Web Token是很有用的:

Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。

Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。

JSON Web Token的结构是什么样的

JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:

Header
Payload
Signature

因此,一个典型的JWT看起来是这个样子的:

xxxxx.yyyyy.zzzzz

接下来,具体看一下每一部分:

Header

header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。

例如:

{"typ":"JWT","alg":"HS512"}

然后,用Base64对这个JSON编码就得到JWT的第一部分

Payload

JWT的第二部分是payload,它包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。

Registered claims : 这里有一组预定义的声明,它们不是强制的,但是推荐。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等。

Public claims : 可以随意定义。

Private claims : 用于在同意使用它们的各方之间共享信息,并且不是注册的或公开的声明。

下面是一个例子:

{"sub":"026a564bbfd84861ac4b65393644beef","iat":1558597028,"exp":1559201828}

对payload进行Base64编码就得到JWT的第二部分

注意,不要在JWT的payload或header中放置敏感信息,除非它们是加密的。

Signature

为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。

例如:

HMACSHA512(base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)

签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。

登录示例

登录过程:

  1. 验证用户名和密码
  2. 生成token
  3. 返回token和过期时间

验证用户名密码要根据业务来。

生成token方法如下:

   public String generateToken(String userId) {
        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId)//主题,也差不多是个人的一些信息
                .setIssuedAt(nowDate) //创建时间
                .setExpiration(expireDate)//添加Token过期时间
                //.setAudience(audience) //个人签名
                //.setIssuer(issuer) //发送谁
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

生成token结果:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIwMjZhNTY0YmJmZDg0ODYxYWM0YjY1MzkzNjQ0YmVlZiIsImlhdCI6MTU1ODU5NzAyOCwiZXhwIjoxNTU5MjAxODI4fQ.ePnFkWzqRYA_XeP1lOsbr_ZKJtXFIIBqofszn3A47t1uyZYvFmhOIJI3r7ziAKjFwIml-f9zX50YbhOWIrWOPA

用base64解密后如下:

header每次的token都一样,如下:

{“typ”:“JWT”,“alg”:“HS512”}

body每次会变,因为iat创建时间和exp过期时间每次会变:

{“sub”:“026a564bbfd84861ac4b65393644beef”,“iat”:1558597028,“exp”:1559201828}

访问验证

token在生成返回给客户端,以后客户端每个请求要在http header上带上,所有需要被验证的接口都从header上取出token,用如下方法验证:


//验证token
Claims claims = jwtUtils.getClaimByToken(token);
 if(claims == null || jwtUtils.isTokenExpired(claims.getExpiration())){
            throw new MyException("凭证失效,请重新登录");
}

    public Claims getClaimByToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            logger.debug("token验证错误,请重新登陆 ", e);
            return null;
        }
    }

核心逻辑

token的核心在于签名,是通过下面设置实现的:

signWith(SignatureAlgorithm.HS512, secret)

这里有的hamc,再加个密码盐。

对一个字符串,用hamc(string+secret)得到的hash值为签名。

因为secret这个字符串只有自己知道,所以别人是生成不了一个字符串的签名的。

这种签名逻辑就保证了token只有自己发出去的才有效,别人伪造不了。

安全问题

因为token是在请求中明文传的,所以如果不用https协议,别人可以获取到。

这样别人就可以用token访问服务了。

所以token和传输一定要保证安全,不加密一定用https。

证心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SprintBoot 实现基于Token的登录验证功能
CYW2019_HUST的博客
02-27 1006
SpringBoot 实现基于Token的登录验证功能 一、知识储备 1、基于服务器的验证 我们都知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。 基于服务器验证方式所暴露的一些问题: Session:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。 可扩展性:在服务端的内存中使用Session存储登
SpringBoot 集成token实践详解
MENGXIXIXIXI的博客
10-22 1913
一、需求 SpringBoot 集成 JWT(token), 拦截器自动验证验证 token 是否过期 token 自动刷新(单个 token 刷新机制,保证活跃用户不会掉线) 标准统一的 RESTFul 返回体数据格式 异常统一拦截处理 单个 token 刷新机制(介绍): token 距离发布token 2 个小时内的token为新生token,2-3 个小时的token为老年token 每次请求,前端带上 token, (1)如果 token
JWT详解
最新发布
xiao_xiao_w的博客
05-26 759
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递生命而执行的一种基于JSON的开放标准。JWT本身没有定义任何技术实现,它只是定义了一种基于token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别使用与分布式站点的单点登录场景一个JWT Token格式它有 . 分割成但部分组成,头部负载签名头部和负载以JSON形式存在,这就是JWT中的JSON,三部分的内容都分别单独经过了 Base64编码,以 . 拼接成一个JWT Token。
Spring-Boot-14-理解Token的实现机制
SpriCoder的博客
04-24 860
Spring-Boot-14-理解Token的实现机制
5分钟springboot极速整合JWT生成Token,一篇文章带你快速了解原理并使用
yw99999的博客
07-08 4930
SpringBoot整合jwt登录功能的实现实现原理Session、Cookie、Token的使用状况实践测试生成Token给客户端pojoJwtUtilController解决跨域问题Vue验证客户端存储Tokenrouter.jsError.vueJwtUtil.javaUserController.java运行效果专业解读 登录功能的实现 登陆页面输入用户名和密码进行登录 服务器验证用户生成该用户Token返回客户端 客户端存储该Token 后续客户端的所有请求携带该Token 服
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2673
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
hello-sso-jwt:带有JSON Web令牌(JWT)的单一登录(SSO示例,Spring启动
02-05
在本示例中,“hello-sso-jwt”是一个使用Spring Boot实现的单一登录(Single Sign-On,SSO)系统,它利用JWT来处理用户认证。 SSO允许用户通过一次登录就能访问多个应用,而无需为每个应用单独进行身份验证。这极...
sso-examples:元数据库集成的单点登录 (SSO) 示例
08-04
3. **示例应用**:展示如何与SSO系统集成的不同应用实例,可能包括使用JWT和SAML的两个版本。 4. **文档**:提供运行和测试这些示例的说明,包括环境设置、依赖安装、以及如何启动和测试SSO功能的步骤。 5. **测试...
hello-sso-jwt-auth:带有JSON Web令牌(JWT),Spring启动的单点登录(SSO示例
02-05
带有JSON Web令牌(JWT),Spring Boot的单一登录(SSO示例-身份验证服务指南你需要什么JDK 1.7以上Maven 3+叠放JavaSprint BootFreeMarker跑运行身份验证服务: mvn spring-boot:run 运行1: mvn spring-boot:run...
springbt_sso_jwt.7z
07-13
总的来说,这个压缩包提供了实现基于Spring Boot的SSO系统,结合JWT进行安全认证的示例。通过学习和分析这些代码,开发者可以掌握如何在实际项目中构建类似的解决方案,提升应用的安全性和用户体验。
JWT实现的单点登录系统Demo
02-01
- **测试用例**:演示如何使用JWT进行SSO登录和验证的示例代码。 通过深入理解JWTSSO的工作原理,以及如何在Java环境中实现它们,开发者可以构建出高效、安全的多系统身份验证解决方案。此Demo提供了一个实践平台...
JWT SpingBoot原理
我亦无他,唯手熟尔
04-06 172
SpringBoot的自动配置就是当Spring容器启动后,一些配置类、bean对象就自动存入到了IOC容器中,不需要我们手动去声明,从而简化了开发,省去了繁琐的配置操作。比如:我们要进行事务管理、要进行AOP程序的开发,此时就不需要我们再去手动的声明这些bean对象了,我们直接使用就可以从而大大的简化程序的开发,省去了繁琐的配置操作。下面我们打开idea,一起来看下自动配置的效果:运行SpringBoot启动类。
springboot中使用token
Cidaren的博客
07-15 1万+
1. pom.xml文件中添加依赖 <!-- 引入操作JWT的相关依赖 --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.11.0</version> </dependency> 除此依赖之外还需要添加springbootweb的起步依赖,以及使用的数据库依赖 2. 定
【保姆级教程】Spring Boot单元测试(Controller层的Header处有Token验证的详细示例代码),文末介绍Postman 的基本使用
热门推荐
小名同学
01-10 6万+
文章目录一、 单元测试的概念二、单元测试的作用三、Spring Boot引入的MockMvc的概念四、Service层的单元测试五、Controller层的单元测试六、断言的概念七、新断言assertThat使用八、Postman与Spring Boot 单元测试的区别九、Postman基本用法 一、 单元测试的概念 概念: 单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。在Java中单元测试的最小单元是类。 单元测试是开发者编写的一小段代码,用于检验被测代码的一个很小的
【SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 7609
单点登录
SpringBoot集成JWT实现Token登录验证
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
深入了解Token认证的来龙去脉
zyh568879280的博客
02-15 471
转载至:https://blog.csdn.net/niugang0920/article/details/80615137 Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。     不久前,我在前后端分离实践中提到了基于 Token 的认证,现在我...
【三】springboot整合token
weixin_56995925的博客
09-03 1万+
springboot整合token
springboot+Vue整合前后端分离权限后台管理系统
04-07
本课程从0到1实现一个基于SpringBoot+Jpa+JWT+Spring Security+Vue+ElementUI整合前后端分离权限后台管理系统,数据库采用的是:mysql5.7,本项目主要功能模块有:用户管理、角色管理、菜单管理、部门管理、岗位管理、字典管理、邮件发送、日志管理等基础功能,项目在线体验地址:http://vue.xueden.cn/
JWT介绍和实践,带demo
03-03
JWT的设计目标是紧凑且安全,特别适合分布式站点的单点登录(SSO)场景。它允许身份提供者和服务提供者之间传递经过认证的用户身份信息,从而可以从资源服务器获取资源,同时还能扩展其他业务所需的声明信息。 JWT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值