JWT小结(认证和授权)

已于 2024-01-11 09:31:28 修改
阅读量133 收藏
点赞数
分类专栏: Java开发 文章标签: java
于 2022-11-06 22:19:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanshengren520/article/details/127722461
版权

JWT

用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源安全性的技术。

传统的session认证:

流程:用户登录成功会保存一个会话,在cookie中维护一个jessionid,之后每次请求会携带到服务器上,如果没有过期并有状态,可以得到想要数据。一个session过期时间是30分钟,可在配置文件更改(server.servlet.session.timeout=30m)

@GetMapping
public R login(String username,String password,HttpSession session) {
   //...登录成功
   session.setAttribute("session",user);    
}

如果用户大概有10W,日活用户3000左右,可以上面session认证可以满足。如果日活用户过多,一个用户会创建一个Session会话对象,一个用户字节是10kb,3000个用户就是20MB,JVM内存是2G,会出现页面卡顿现象。

暴露的问题:

  1. session会保存在服务器上,会给服务器造成压力,对于分布式服务,需要使用Redis,做存储。
  2. CSRF攻击,cookie在客户端,容易被截取,受到其他网站的伪请求攻击。

基于token机制:

流程:每个服务可以生成token,认证后把token传给前端,token储存给客户端进行储存,服务端没有压力。前端每次请求携带token,token通过可以得到想要的数据。

JWT构成

  1. 头部 header

    声明加密的算法,是一个JSON,然后将JSON进行base64加密,得到一个字符串。

  2. 载荷 payload

    存放有效信息(有3部分)

    • 标准中注册的声明

      iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

    • 公共的声明

      公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息

    • 私有的声明

      有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息

  3. 签证

    这个部分需要base64加密后的header和base64加密后的payload使用,连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了JWT的第三部分。

官方网站:https://jwt.io/

如何使用

引入相关包:

<!-- jwt 实现接口安全性 -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.7.0</version>
</dependency>

编写JWT实现类

/**
 * jwt - 实现类
 * @author shengren.yan
 * @create 2022-10-30
 */
@Service
public class JwtService {

    private static final Logger log = LoggerFactory.getLogger(JwtService.class);

    // 1 定义加密的盐信息
    private static final String KEY = "goodyan";
    // 2 发行者
    private static final String ISSUSER = "yan";
    // 3 定义token的过期时间 (30天)
    public static final Long TOKEN_EXPIRE_TIME = 1000 * 60 * 60 * 24 * 30L;

    // 生产token
    public String token(UserVo vo) {
        Date now = new Date();
        // 1 确定加密算法 (有很多种加密算法 - 可在官网中查看 https://jwt.io/libraries )
        Algorithm algorithm = Algorithm.HMAC256(KEY);
        // 2 创建token
        String token = JWT.create()
                .withIssuer(ISSUSER) // 签发者
                .withIssuedAt(now)   // token签发的时间
                .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME))
                .withClaim("userid", userVo.getUserid())  // 加入要加密的值(可以多个)
                .sign(algorithm);
        return token;
    }

    // 验证token 参数 token 、userid (不要用自增主键 - 使用雪花算法)
    public boolean verifyUserId(String token, String userid) {
        try {
            // 定义算法
            Algorithm algorithm = Algorithm.HMAC256(KEY);
            // 进行校验
            JWTVerifier jwtVerifier = JWT.require(algorithm).withIssuer(ISSUSER)
                .withClaim("userid", userid).build();
            jwtVerifier.verify(token);
          	return true;
        } catch (Exception ex) {
            return false;
        }
    }

}

登录

/**
 * token 授权 登录方式
 * @author shengren.yan
 * @create 2022-10-30
 */
@RestController
public class LoginAuthController {

    @Autowired
    private JwtService jwtService;
    @Autowired(required = false)
    private RedisTemplate redisTemplate;
    @Autowired
    private UserService userService;

    // 登录
    @PostMapping("/login")
    public AuthResponse login(String username, String password) {
        // 1 效验是否为空
        // 2 根据用户查询用户是否存在
        User user = userService.getByUserName(username);
        if (user == null) 
            throw new VException(403, "用户名或密码有误!!!");
        // 3 对密码进行加密加盐进行处理
        password = MD5Util.md5slat(password);
        // 如果用户输入的密码和数据库查询到密码不一致
        if (!password.equalsIgnoreCase(user.getPassword())) 
            throw new ValidationException(403, "用户名或密码有误!!!");

        UserVo userVo = new UserVo();
        userVo.setUserid(user.getId());
        userVo.setUsername(user.getUsername());
        // 生成token信息
        String token = jwtService.token(userVo);
        userVo.setToken(token);
        // 刷新token (把值存入Redis中)
        userVo.setRefreshToken(UUID.randomUUID().toString());
        redisTemplate.opsForValue().set(userVo.getRefreshToken(), userVo, JwtService.TOKEN_EXPIRE_TIME, TimeUnit.SECONDS);

        return AuthResponse.success(userVo, ResponseCode.SUCCESS);
    }


    /**
     * 续签的方法 -- 重新生成token
     * @param refreshToken
     * @return
     */
    @PostMapping("/refresh/{refreshToken}")
    public AuthResponse refresh(@PathVariable("refreshToken")  String refreshToken) {
        // 查看当前用户是不是还在有效期内  (在redis查看)
        UserVo userVo = (UserVo) redisTemplate.opsForValue().get(refreshToken);
        if (userVo == null) 
             throw new VException(403, "用户不存在!!!");
        // 重新生成token
        String jwt = jwtService.token(userVo);
        userVo.setToken(jwt);
        // 删除 redis中的key ,重新生成
        redisTemplate.delete(refreshToken);
        userVo.setRefreshToken(UUID.randomUUID().toString());
        redisTemplate.opsForValue().set(userVo.getRefreshToken(), userVo, JwtService.TOKEN_EXPIRE_TIME, TimeUnit.SECONDS);

        return AuthResponse.success(userVo, ResponseCode.SUCCESS);
    }

    @GetMapping("/logout")
    public AuthResponse logout(String refreshToken) {
//        redisTemplate.delete(refreshToken);
        return AuthResponse.code(409L);
    }

}

流程:当前端输入账号和密码进行登录,后端把token、该用户返回前端,之后每次请求,前端需要把token值携带传给后端,来验证是否有权限访问。

每次携带token,进行获取验证可以放在拦截器进行校验:

/**
 * JWT 自定义过滤器
 * 作用:每条请求都携带 token,通过自定义拦截器来获取 token值
 * @author shengren.yan
 * @create 2022-11-02
 */
public class AuthorizationInterceptor implements HandlerInterceptor {
    
    @Autowired
    private JwtService jwtService;

    // 获取配置文件
    @Value("${spring.profiles.active}")
    private String profiles;

    // token名,存token值
    private static final String AUTH = "token";
    private static final String USER = "usercode";

    /**
     * 校验token
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
        response.setContentType("application/json;charset=utf-8");
        // 1. 获取配置文件,如果是开发环境直接(放行)
        if (!StringUtils.isEmpty(profiles) && profiles.equals("dev")) {
            return true;
        }
        // 2. 从 http 请求头获取请求接口
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        String username = getParam(request, AUTH_USERNAME);
        String token = getParam(request, AUTH);
        if (StringUtils.isEmpty(token)) 
            throw new ValidationException(300, "校验失败,请重新登录!!!");
        if (StringUtils.isEmpty(username)) 
            throw new ValidationException(300, "校验失败,请重新登录!!!");

        // 开始对你token和你用户名进行token校验,如果正常直接返回,如果不正常抛出异常
        AuthResponse authResponse = jwtService.verify(token, username);
        // 如果不等于1,说明token和用户名校验失败
        if (authResponse.getCode() != 1L) {
            throw new ValidationException(300, "token 校验失败!");
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    }

    // 从表头获取信息
    public static String getParam(HttpServletRequest request, String filedName) {
        return request.getHeader(filedName);
    }

}

案例代码可参考我的gitee上的JWT。

跳转地址:https://gitee.com/yan418

优秀的颜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt攻击_一文读懂 JWT
weixin_39955423的博客
12-19 287
作者 | 喵叔责编 | 胡巍巍JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全的。在讲解 JWT 之前我们先来看一个问题。我们都知道 Internet 服务的身份验正过程是这样的,客户端向服务器发送登录名和登录密码,服...
jwt攻击_JWT攻击
weixin_39975055的博客
12-19 565
JSON Web Token(JWT)是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证cookie /session /jwt 不同点1.对于一般的cookie,如果我们的加密措施不当,很容易造成信息泄露,甚至信息伪造,这肯定不是我们期望的。2.session:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将ses...
JWT + ASP.NET MVC间戳防止重攻击详解
10-18
主要给大家介绍了关于JWT + ASP.NET MVC间戳防止重攻击发的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT 安全性相关问题
Wjz_www的博客
08-05 650
攻击(英语:replay attack,或称为回攻击)是一种恶意或欺诈的重复或延迟有效数据的网络攻击形式。这可以由发起者或由拦截数据并重新传输数据的对手来执行,这可能是通过IP数据包替换进行的欺骗攻击的一部分。这是“间人攻击”的一个较低级别版本。这种攻击的另一种描述是: “从不同上下文将消息重播到安全协议的预期(或原始和预期)上下文,从而欺骗其他参与者,致使他们误以为已经成功完成了协议运行。
JWT安全漏洞以及常见攻击方式
最新发布
baimao__Ch的博客
05-22 392
随着web应用的日渐复杂化,某些场景下,仅使用Cookie、Session等常见的身份鉴别方式无法满足业务的需要,JWT也就应运而生,JWT可以有效的解决分布式场景下的身份鉴别问题,并且会规避掉一些安全问题,如CORS跨域漏洞,CSRF漏洞等。JWT即Json WebToken的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求用作身份认证使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。
一文读懂JWT,JWS,JWE
Java笔记虾
11-24 6360
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一间送达!作者:zh_coderhttps://blog.csdn.net/hellowordapi/article1.JWT是何物,有哪些常用的场景JWT(json web token)是设计一种简洁,安全,无状态的token的实现规范rfc7519,通常用于网络请求方和网络接收方之间的网络请求认证jwt的常用场景1.1: restful...
jwt单点登录 和防重攻击
lunge1234的博客
12-11 2539
Json web token (JWT)(网络令牌), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 三个部分组成 页眉header 有效载荷playload 签名(标签)sign..
JWT漏洞如何攻防?你的系统安全吗?
欢迎关注同名公众号,一起探索Java技术的奥秘,共同成长!
04-13 1043
JWT漏洞如何攻防?你的系统安全吗?
jwt攻击_JWT(Json web token)
weixin_39562197的博客
12-19 659
首先了解一下JWT使用过程:Token 是服务器端在验证客户端user_id/pwd 没问题后, 签发给客户端的, 作为标示该用户的一个令牌, 之后客户端就使用该令牌和服务器端进行交互.Token的根本作用:就一点: 用于服务器端标示是哪个用户的请求JWT 安全吗?基本上很安全, 否则就没有人用了, 具体分析:1. JWT 令牌可以防止信息伪造, 服务器在生成token的signature部分,...
springboot jwt token前后端分离_解释一下什么是前后端分离的核心 JWT
weixin_39634579的博客
12-03 196
JWT 详解JWT是为了在网络应用,前后端交付,进行页面传值的一种手段。 该TOKEN 设计紧凑,安全,适用于分布式站点的单点登录。起源传统的HTTP协议是无状态的,一个用户,只能保存一份用户信息。 这份登录信息,会在传递的候,无状态的传递给浏览器,告诉其保存为cookie。以便下次的候,告诉那个用户。 即传统的给予session的前后端认证。 基于Token的鉴权机制。基于token的鉴...
jwt攻击_JWT+ASP.NET MVC 间戳防止重攻击
weixin_39525255的博客
12-19 116
间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用请求包进行重复请求操作。如果服务端不进行防重攻击,就会服务器压力增大,而使用间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合间戳进行防重复攻击和被第三方抓包工具截取到Headerstoken,进行模拟请求操作。防篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
jwt需要存redis吗_微服务:一步步带你认知前后端分离利器之JWT
weixin_39518530的博客
11-21 2149
一、HTTP的无状态性HTTP 是无状态协议,它不对之前发送过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。假设要求登录认证的 Web 页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文附加参数来管理登录状态。不可否认,无状态协议当然也有它的优点。由于不必保存状态,自然可减少服务器的 CPU 及内存资源的消耗。从...
jwt攻击_基于JWT数据的防止重攻击的方法及系统与流程
weixin_39872044的博客
12-19 1064
本发明涉及网络安全技术领域,具体涉及一种基于JWT数据的防止重攻击的方法及系统。背景技术:目前,网络安全领域的技术方案对重攻击的重视程度不够,只对JWT数据的过期间管理,过期后需要用户重新登录。现有的技术方案仅通过控制当前JWT数据由哪个签发者颁布,间不能晚于某个指定间,不能早于某个指定间以预防止重攻击。现有的技术方案存在以下几个方面的问题:(1)针对不同签发者,签发者之间的JWT数...
jwt攻击_【干货分享】基于JWT的Token认证机制及安全问题
weixin_39720807的博客
12-19 4656
一步一步教你基于JWT的Token认证机制实现,以及如何防范XSS攻击、Replay攻击和间人攻击。文章目录一、几种常用的认证机制1.1 HTTP Basic AuthHTTP Basic Auth简单点说明就是每次请求API提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名...
jwt攻击_有关JWT(Json Web Token)如何解决并发问题的思考
weixin_39771301的博客
12-19 471
前段间开了一个《从零实现Lumen-JWT扩展包》的教程。在写这篇文章之前,教程已经进行到了JWT的解析这部分。为什么这几天没继续发教程,也是因为如题的原因。而截止这篇文章之前,我已经完成了Lumen-JWT扩展包的开发工作,自己试了下,能用,也挺顺手。最后还剩下一些单元测试没写。还是怪自己太年轻,觉得别人的不好用,自己造一个,想从根本上解决JWT的并发问题,这几天尝试了很多,都没有找到很好的解...
JWT令牌详解
深夜无眠的博客
03-31 937
概念Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开标准().该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT的原理及实际应用
liaozhixiangjava的博客
10-13 737
定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案JWT官网由于HTTP协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
【网络安全 | 密码学】JWT基础知识及攻击方式详析
等风来
04-17 1110
JWT(Json Web Token)是一种用于在网络应用之间安全地传输信息的开标准。它通过将用户信息以JSON格式加密并封装在一个token,然后将该token发送给服务端进行验证,从而实现身份验证和授权
JWT原理详解
前端那些事@时光
09-27 3277
JWT原理详解 随着前后端分离的发展,以及数据心的建立,越来越多的公司会创建一个心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与心服务器之间会进行http通信 一般来说,心服务器至少承担着认证授权功能,例如登录:各种设备发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值