JWT | 01.JWT基础学习-SpringBoot整合

最新推荐文章于 2024-08-15 14:47:41 发布
最新推荐文章于 2024-08-15 14:47:41 发布
阅读量167 收藏
点赞数
分类专栏: JWT 文章标签: jwt java spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyxyxyxyxyxyx/article/details/119044434
版权

0.前言

参考视频:

【极简入门】15分钟学会JWT的使用

参考文章:

利用Springboot实现Jwt认证

JSON Web Token 入门教程

SpringBoot整合JWT

1. 引入:解决跨域认证问题

互联网服务离不开用户认证。一般流程是下面这样。

  • 用户向服务器发送用户名和密码。

  • 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。

  • 服务器向用户返回一个 session_id,写入用户的 Cookie。

  • 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

  • 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。

举例来说,A 网站和 B 网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?

一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败。

另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。

2.JWT概述

2.1.概念

JSON Web Token,通过数字签名的方式,以JSON字符串为载体,在不同的服务终端之间进行更安全的信息传输

2.2.组成

JWT由三个部分组成,用.拼接

image-20200221230910489

  • Header(头部)

    里面包含两个信息,分别是类型(typ),另一个是算法名称(alg)

    {
    "typ": "JWT",
    "alg": "HS256"
}

    通过base64进行编码,便得到token中的第一部分

  • Payload(载荷)

    里面存储这个令牌的有效信息,

    包括标准注册的(签发时间、过期时间等)和自定义的(下方的stuNo、stuName、admin)

    {
    "stuNo": "3119******",
    "stuName": "xyx",
    "admin": true
}

    通过base64进行编码,便得到token中的第二部分

    注意:第二部分并未进行加密,因此该部分是可以被直接解码得到其中内容的,因此JWT并不适合存储敏感信息(如密码),只适合存储用户id、用户名等信息

  • Signature(签名)

    从以下代码可以看出,

    原理是将Header、Payload用base64编码后,再用.拼接(第一部分.第二部分)

    再将拼接结果通过Header中声明的算法(HS256)用密钥加密,得到第三部分

    var signingKey = "abcdefg1234567"
var encodedString = 
    base64UrlEncode(header) + "." + base64UrlEncode(Payload);

var signature = HMACSHA256(encodingString, signingKey);

    注意:第三部分是前面两部分根据加密算法(HS256)和"密钥"加密后得到的。因此如果没有"密钥",第三部分就无法被伪造。服务端的验证也正是利用了这个原理来防止用户伪造信息,确保安全性

3.JWT的工作流程

3.1.登录阶段

用户首次登录时,若成功登录,就会将一些附带信息封装成一个JWT字符串,并返回给客户端。

image-20200221234215011

这个JWT字符串里的附带信息一般是:用户id、用户权限、有效期。

下次用户登录的时候,必须把这个令牌也一起带上,否则将被要求重新登录。

3.2.认证阶段

登录阶段时,用户在客户端获取到了自己的JWT字符串

此后前端的每次请求,都要将这个JWT字符串放在请求头的某一位置一并发送过来,后端接受到请求后,解析JWT,验证该JWT是否合法(是否被伪造)、是否过期等

image-20200221234900958

3.3.补充内容

3.3.1.关于有效期

由于jwt是直接给用户的,只要能验证成功的jwt都可以被视作登录成功,所以,如果不给jwt设置一个过期时间的话,用户只要存着这个jwt,就相当于永远登录了,而这是不安全的,因为如果这个令牌泄露了,那么服务器是没有任何办法阻止该令牌的持有者访问的(因为拿到这个令牌就等于随便冒充你身份访问了),所以往往jwt都会有一个有效期,通常存在于载荷部分,下面是一段生成jwt的java代码:

 return JWT.create().withAudience(userId)
         .withIssuedAt(new Date())        <---- 发行时间
         .withExpiresAt(expiresDate)     <---- 有效期
         .withClaim("sessionId", sessionId)
         .withClaim("userName", userName)
         .withClaim("realName", realName)
         .sign(Algorithm.HMAC256(userId+"HelloLehr"));

在实际的开发中,令牌的有效期往往是越短越安全,因为令牌会频繁变化,即使有某个令牌被别人盗用,也会很快失效。但是有效期短也会导致用户体验不好(总是需要重新登录),所以这时候就会出现另外一种令牌—refresh token刷新令牌。刷新令牌的有效期会很长,只要刷新令牌没有过期,就可以再申请另外一个jwt而无需登录(且这个过程是在用户访问某个接口时自动完成的,用户不会感觉到令牌替换),对于刷新令牌的具体实现这里就不详细讲啦(其实因为我也没深入研究过XD…)

3.3.2.对比session

在传统的session会话机制中,服务器识别用户是通过用户首次访问服务器的时候,给用户一个sessionId,然后把用户对应的会话记录放在服务器这里,以后每次通过sessionId来找到对应的会话记录。这样虽然所有的数据都存在服务器上是安全的,但是对于分布式(一个项目部署到多个服务器中)的应用来说,就需要考虑session共享的问题了,不然同一个用户的sessionId的请求被自动分配到另外一个服务器上就等于失效了

而Jwt不但可以用于登录认证,也把相应的数据返回给了用户(就是载荷里的内容),通过签名来保证数据的真实性,该应用的各个服务器上都有统一的验证方法,只要能通过验证,就说明你的令牌是可信的,我就可以从你的令牌上获取你的信息,知道你是谁了,从而减轻了服务器的压力,而且也对分布式应用更为友好。(毕竟就不用担心服务器session的分布式存储问题了)

3.3.3.如何确保安全

image-20200221230910489

如图,前面已讲到JWT共被分成三部分

  • 头部header:只经过base64编码,可伪造
  • 载荷payload:只经过base64编码,可伪造
  • 签名signature:前面两部分进行拼接,根据密钥按规定的算法(HS256)加密

签名部分由于密钥的存在,用户在不得知密钥的情况下,是无法伪造出一个有效的签名的。正是这个第三部分的存在,确保了JWT的安全性。

4.代码实现

主要参考文章:SpringBoot整合JWT

4.1.JwtUtil.java

在util包中创建JwtUtil.java

调用Jwts.builder()生成一个JWT字符串:

  • 设置头部header:

    .setHeaderParam(K, V)

  • 设置载荷payload:

    .claim(K, V) 自定义内容

    .setExpiration(expireDate) 过期时间

  • 设置签名signature:

    .signWith(SignatureAlgorithm.JS256, signingKey)

image-20210723204603434

package com.eshang.jwt.learning.util;

import io.jsonwebtoken.*;

import java.util.Date;

/**
 * @author xyx-Eshang
 */
public class JwtUtil {
	/**
	 * 密钥
	 */
	private static String signingKey = "abcdefghijklmn";
	/**
	 * 过期的分钟
	 */
	private static Integer expireMinutes = 60;

	public static String createToken(Integer stuNo, Boolean whetherAdmin) {
		Date expireDate = new Date(System.currentTimeMillis() + 1000 * 60 * expireMinutes);
		return Jwts.builder()
				//header
				.setHeaderParam("typ", "JWT")
				.setHeaderParam("alg", "HS256")
				//payload
				.claim("stuNo", stuNo)
				.claim("admin", whetherAdmin)
				.setExpiration(expireDate)
				//signature
				.signWith(SignatureAlgorithm.HS256, signingKey)
				//拼接起来
				.compact();
	}

	public static Claims parseToken(String token) {
		JwtParser jwtParser = Jwts.parser();
		return jwtParser
				.setSigningKey(signingKey)
				.parseClaimsJws(token)
				.getBody();
	}
}

4.2.JwtLearningApplicationTests.java

编写测试类JwtLearningApplicationTests.java

image-20210723204826110

package com.eshang.jwt.learning;

import com.eshang.jwt.learning.util.JwtUtil;
import io.jsonwebtoken.Claims;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

@SpringBootTest
class JwtLearningApplicationTests {

	@Test
	void contextLoads() {
		//生成JWT:学号为1,非管理员
		String jwt = JwtUtil.createToken(1, false);

		//打印这个JWT
		System.out.println("===打印这个JWT===" + "\n" + jwt);

		//解析
		System.out.println("===解析这个JWT===");
		Claims claims = JwtUtil.parseToken(jwt);
		System.out.println("stuNo:\t" + claims.get("stuNo"));
		System.out.println("admin:\t" + claims.get("admin"));
	}

}
xyx-Eshang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT token过期后自动续期的解决方案
leeta的博客
08-20 3433
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
springboot整合jwt(二)
zsx18273117003的博客
06-28 732
原文地址:http://blog.marcosbarbero.com/centralized-authorization-jwt-spring-boot2/ Bcrypt参考地址:https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#pe-dpe 一、创建项目 1.分别创建一个maven父...
JWT全面解读、使用步骤
江城宴的博客
12-28 1154
前言 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。  缺点是无法作废已颁布的令牌/不易应对数据过期。 可能习惯了redis保存session,使用shiro做登陆,突然使用JWT有点不...
JWT的简单应用
qinshaoyuan的博客
01-16 275
JWT的简单应用jwt简介落地场景简单实例 jwt简介 jwt即json-web-token。目前比较流行的跨域身份校验方案。算是比较轻量级的解决方案。 jwt以"."为分隔符分为三个部分。第1部分:header 包含加密类型,消息类型等。payload(载荷):包含发布人,有效期,签发人等信息。第3部分VERIFY SIGNATURE,把将前两部分进行base64Url编码,然后加上用指定秘钥指...
首次用jwt做token
qq_42671193的博客
04-01 472
使用jwt做token时遇到这样的错误 return JWT.create().withHeader(header) .withClaim("userId", userId) .withClaim("loginName", username) .withExpiresAt(date) .sign(algorithm); 报错: DEBUG [http-nio-80...
springboot进阶】jwt在前后端分离的最佳实践方式(一)
06-05 1146
了解前后端分离的背景,session技术和token技术的差异,jwt的组成和应用
SpringBoot整合JWT
weixin_45782384的博客
12-29 98
新建一个SpringBoot项目 导入 Maven 坐标 <!--引入 jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 配置application.properties文件 server.po
Springboot整合JWT,Swagger.zip
07-12
SpringBoot整合JWT与Swagger是现代Web开发中两个重要的技术组件,它们可以极大地提升应用程序的效率和易用性。JWT(Json Web Token)用于安全地在客户端和服务器之间传输信息,而Swagger则是用于构建RESTful API的...
springboot整合jwt整合knife4j.zip
01-22
在本文中,我们将深入探讨如何将JWT(JSON Web Token)与Spring Boot以及Knife4j进行整合,以便在后端服务中实现安全、高效的API管理。JWT是一种轻量级的身份验证机制,而Knife4j则是一个优秀的Swagger UI增强工具,...
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证进行初步的分离。 首先,我们来了解JWTJWT是一种轻量级的身份验证标准,它允许用户信息以安全、紧凑的方式在网络中传递。一个JWT...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
liugh-parent-springboot.zip
05-27
在"liugh-parent-springboot"中,MybatisPlus作为数据访问层,与SpringBoot整合,方便地处理数据库操作,如查询、插入、更新和删除等,大大提高了开发效率。 综上所述,"liugh-parent-springboot"项目通过集成...
SpringBoot+SpringSecurity前后端分离+Jwt的权限认证(改造记录)
z_ssyy的博客
05-31 1499
一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了。
Java实现JWT(JSON WEB TOKEN)生成token登录凭证的demo以及解读部分JWT
小白轩的博客
06-25 2340
1、什么是JWT(代码demo在最下面,可以先代码后理解): 1.1、Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业...
SpringBoot+SpringSecurity+JWT后端分离(一)
m0_49844045的博客
09-15 507
1、引入坐标 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、实现UserDetails接口实体 /* * @description: 用户信息封装 */ @Data public class SecurityUs
SpringBoot集成jwt,解决前后端分离token跨域验证问题
weixin_46608377的博客
07-17 1025
在之前进行登录验证的,主要用的是session的方式,session是由客户端首次发起请求,后端为此创建空间,返回给前端用来身份识别标识sessionId,前端基于cookie存储起来,在后面的请求中都会携带sessionId,后端就会根据这sessionId识别出身份信息。前端sessionid是基于cookie进行存储的。这种方式会存在安全问题,如果被不法分子拦截这个sessionId或cookie信息,就能跳过后端验证,从而盗取你的信息。而且seesion这种方式容易占用到服务端的内存空间。
SpringBoot框架篇】16.security整合jwt实现对前后端分离的项目进行权限认证
皓亮君的博客
08-01 4692
使用Spring Security+JWT实现对前后端分离的项目进行权限认证
JWT(token)基础使用
dsaggdsd的博客
07-09 612
public class JwtUtil { //过期时间 30min private static final int EXPIRE_TIME = 30; //私钥 private static final String TOKEN_SECRET = "privateKey"; private static final String USER_NAME = "name"; /** * 签发对象:这个用户的id * .
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 767
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
SpringBoot整合JWTjava-jwt依赖包实现
05-20
可以通过以下步骤在Spring Boot中集成JWT: 1. 添加java-jwt依赖包到pom.xml文件中: ```xml <groupId>com.auth0</groupId> <artifactId>java-jwt <version>3.18.1 ``` 2. 创建一个JWT工具类来生成和验证JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值