使用JJWT做token验证

最新推荐文章于 2022-09-20 19:46:13 发布
最新推荐文章于 2022-09-20 19:46:13 发布
阅读量706 收藏 1
点赞数
分类专栏: java 文章标签: JWT token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xycgyyx/article/details/103471838
版权

 

  1. 什么是JJWT?

JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。

  1. 什么是JSON Web Token(JWT)

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替换了 SessionId 的资源访问和状态的保持。

  1. JWT的组成

Jwt由头部、载荷、签名三部分组成,头部包含元数据,通常用来记录JWT所用的算法。

例如:

Header:

{

"typ": "JWT",

"alg": "HS256"

}

将这个头部使用Base64编码过后,就得到的JWT的第一段字符串

载荷:载荷用来承载JWT中的有效信息,通常包括三部分

  1. 公共的声明

可以存放自定义的信息,但是由于载荷仍旧使用的Base64进行编码,所以不建议在载荷中存放敏感信息。

  1. 私密的声明

私密的声明用来存放提供者和消费者共同定义的数据。但是由于载荷仍旧使用的Base64进行编码,所以不建议在载荷中存放敏感信息。

  1. 标准中注册的声明

iss:jwt的签发者

sub:jwt的面向用户

aud: 接收jwt的一方

exp: jwt的过期时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

将载荷进行base64编码之后,得到第二部分字符串,不建议在载荷中存放过多的数据。

最低0.47元/天 解锁文章
雨夜丶心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jjwt实现token验证(指定api拦截)
yushun的博客
01-06 839
前言 这边是自己搭建项目的时候弄的一个token验证,包括无token时的拦截等,在网上查了很多资料大部分都用不了,有的生成了token,但是没有放到请求头里面接口照样能访问,有的拦截器执行了N遍,这里整理了下使用的是jjwt实现的token验证。 代码实现 我这里使用的是springboot pom.xml <!-- token --> <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt --&gt
基于jjwt实现token登录验证
最新发布
2401_84048338的博客
04-20 779
任何事情都要用心,要非常关注细节。看起来不起眼的、繁琐的工作透了会有意想不到的价值。当然要想成为一个技术大牛也需要一定的思想格局,思想决定未来你要往哪个方向去走, 建议多看一些人生规划方面的书籍,多学习名人的思想格局,未来你的路会走的更远。更多的技术点思维导图我已经了一个整理,涵盖了当下互联网最流行99%的技术点,在这里我将这份导图分享出来,以及为金九银十准备的一整套面试体系,上到集合,下到分布式微服务《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
使用JJWT完成Token验证
zuofengnihao的博客
04-24 8411
上周接到上级命令,需要完成提供给APP的后台接口功能,首先要解决的就是Token验证token相信能看到此文章的都知道是什么东西了,因为查看之前的项目中,都是自己手写的,交给我完成我肯定就图方便(偷懒)使用JJWT,在此下记录而已1.maven依赖&lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; ...
常见的认证机制与JWT
梦想是很难很难的,所以先勇敢一点
06-23 474
密码加密 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强 哈希方法来加密密码。 我们在添加了spring security依赖后,所有的地址都被spring security所控制了,我们目 前只是需要用到BCrypt密码加密的部分,所以我们要添加一
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
使用 jjwt token 认证
liu1shi的博客
03-16 388
  采用 springcloud 微服务。   创建父工程。 // pom.xml 部分代码 <packaging>pom</packaging> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <..
JWT(JJWT)结合注解实现Token验证
LuckyLay的博客
09-05 664
JWTJJWT、注解、Token验证
jwt生成以及验证token
sjgllllll的博客
01-06 407
这里写目录标题引入依赖:创建token解析token设置token失效时间解析token(失效时间)创建token(自定义声明)解析token(自定义声明) 引入依赖: <!--jwt依赖--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId>
基于JJWTToken认证机制
lixuanfeng blog
06-14 2648
##基于JWTToken认证机制 1、生成Token 用户登陆之后,在后台根据用户名、密码、时间戳、用户角色等信息(根据业务需求,看哪些字段可以满足要求)生成token。最终返回给前端token以及加密盐(该加密盐可随机生成)。 2、验证Token 前端在请求数据接口的时候,带上token字符串以及加密盐传到后台,后台解析出token中的加密盐与用户传过来的加密盐是否一致。 3、JWTToken...
基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项.zip
03-24
基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项
jjwt-0.11.2.zip
04-22
jjwt-0.11.2.zip,使用jjwt开源框架生成JWT
JwtPermission:基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展
05-10
token机制增加@Ignore注解(用于忽略验证)增加url自动匹配权限机制(自带RESTful模式模式和简化模式)增加自定义查询权限和角色的sql配置1、简介基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储...
jjwt-0.11.2.tar.gz
04-22
jjwt-0.11.2.tar.gz,使用jjwt开源框架生成JWT
jjwt-0.11.5 jackson-2.13.3
06-24
最新版本 jjwt-0.11.5 jackson-2.13.3
Token验证--JWT
qingxiao1999的博客
09-06 3267
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
JWT: 基于Token验证
michael1112的专栏
08-22 744
现在SPA(Single Page Application, 单页面应用)和前后端分离已经是主流. 基于Token验证非常适合这种构架. Difference between Token-based Auth and Cookie-based Auth 基于Cookie的验证 基于Cookie的验证是有状态的 (stateful). 前后端都要为验证保存状态: 后端要保存active ...
jwt token
weixin_43775723的博客
09-20 295
1
JJWT-token(工具类)
DW524245的博客
05-24 1393
前言 客户端要通过操作访问服务器,第一次登录后服务器会生成一个token(用户id,失效时间...),然后把token返回给客户端留存。以后的每一次操作都可以携带token到服务端去进行验证。如果验证成功,那么继续执行,如果验证失败,不让访问或者去其他操作(再次登录)。 一、token的格式 JJWT(Java json web token)生成的token字符串格式如下: {header}.{body}.{加密信息} header:指定当前token使用的加密算法 bod...
springboot使用token实现登录验证接口
06-13
可以使用Spring Security和JWT(JSON Web Token)来实现基于token的登录验证接口。下面是一个简单的示例: 1. 添加依赖 在pom.xml中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> ``` 2. 配置Spring Security 在Spring Boot的配置类中添加以下代码: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public JwtAuthenticationFilter authenticationJwtTokenFilter() { return new JwtAuthenticationFilter(); } } ``` 这个配置类禁用了CSRF保护,允许所有用户访问“/api/auth/**”接口,其余接口需要进行认证。它还使用JwtAuthenticationFilter”类来验证token。 3. 实现UserDetailsService 创建一个UserDetailsService的实现类,用于从数据库或其他数据源中获取用户信息。例如: ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override @Transactional public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User Not Found with username: " + username)); return UserDetailsImpl.build(user); } } ``` 这里的“UserDetailsImpl”类是一个自定义的实现了UserDetails接口的类,用于封装用户信息。 4. 实现JwtUtils 创建一个JwtUtils类,用于生成和验证token。例如: ``` @Component public class JwtUtils { @Value("${jwt.secret}") private String jwtSecret; @Value("${jwt.expirationMs}") private int jwtExpirationMs; public String generateJwtToken(Authentication authentication) { UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal(); return Jwts.builder() .setSubject((userPrincipal.getUsername())) .setIssuedAt(new Date()) .setExpiration(new Date((new Date()).getTime() + jwtExpirationMs)) .signWith(SignatureAlgorithm.HS512, jwtSecret) .compact(); } public boolean validateJwtToken(String authToken) { try { Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken); return true; } catch (SignatureException e) { logger.error("Invalid JWT signature: {}", e.getMessage()); } catch (MalformedJwtException e) { logger.error("Invalid JWT token: {}", e.getMessage()); } catch (ExpiredJwtException e) { logger.error("JWT token is expired: {}", e.getMessage()); } catch (UnsupportedJwtException e) { logger.error("JWT token is unsupported: {}", e.getMessage()); } catch (IllegalArgumentException e) { logger.error("JWT claims string is empty: {}", e.getMessage()); } return false; } public String getUsernameFromJwtToken(String token) { return Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token).getBody().getSubject(); } } ``` 这里的“jwt.secret”和“jwt.expirationMs”分别是用于生成token的密钥和过期时间(以毫秒为单位)。 5. 实现JwtAuthenticationFilter 创建一个JwtAuthenticationFilter类,用于在每个请求上验证token。例如: ``` public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String jwt = parseJwt(request); if (jwt != null && jwtUtils.validateJwtToken(jwt)) { String username = jwtUtils.getUsernameFromJwtToken(jwt); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception e) { logger.error("Cannot set user authentication: {}", e.getMessage()); } filterChain.doFilter(request, response); } private String parseJwt(HttpServletRequest request) { String headerAuth = request.getHeader("Authorization"); if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) { return headerAuth.substring(7, headerAuth.length()); } return null; } } ``` 这个过滤器将从请求头中获取token,并使用JwtUtils类来验证token。如果token有效,则将用户信息设置为Spring Security的上下文中的认证信息。 6. 创建登录接口 创建一个登录接口,用于验证用户并生成token。例如: ``` @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @PostMapping("/signin") public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateJwtToken(authentication); return ResponseEntity.ok(new JwtResponse(jwt)); } } ``` 这个接口将使用AuthenticationManager来验证用户信息,并使用JwtUtils类来生成token。如果验证成功,则返回一个包含tokenJwtResponse对象。 7. 测试接口 现在可以测试接口了。使用POST方法向“/api/auth/signin”发送以下JSON数据: ``` { "username": "your_username", "password": "your_password" } ``` 如果验证成功,则会返回一个包含token的JSON响应。以后,可以在每个请求中将token作为“Authorization”请求头的值发送。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值