【Java web】JWTtoken登录校验

最新推荐文章于 2024-06-02 22:57:30 发布
最新推荐文章于 2024-06-02 22:57:30 发布
阅读量2.1k 收藏 7
点赞数 1
分类专栏: Java web 文章标签: JWTToken jwt token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z944733142/article/details/89646877
版权

JWTtoken登录校验

JWT (Json Web Token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开放标准。

JWT可以校验用户的身份,传递用户的身份信息,一般用在用户登录上。

session用户认证的一般流程

  1. 用户输入账号密码, 向服务器发送请求
  2. 服务器验证账号密码是否正确, 如果正确则在该用户的session回话里保存相关的信息如id, 登录时间等
  3. 服务器向用户返回一个Cookie, 存着sessionId
  4. 用户再次请求服务器时带上sessionId.服务器根据sessionId从服务器保存的session中获取的信息.

这种方式在单服务器场景下没有太大问题
但在服务器集群下扩展性较差, session存在于不同的服务器, 则用户下次请求又必须分配到上次请求的服务器, 影响了负载均衡的能力.

CSRF: 跨站请求伪造, 如果截获了用户Cookie中的sessionId, 则很容易会受到跨站请求伪造的攻击

使用JWTToken则不会遇到该问题, 因为使用JWTToken服务器就不保存信息了, 而是token里保存着编码的信息, 并对附带一个加密的签名, 服务器接收到token可直接解密进行认证.

JWTToken认证的流程

  1. 用户输入账号密码, 向服务器发送请求.
  2. 服务器验证账号密码,返回一个加密的保存有用户信息的token
  3. 用户再次请求时带上token
  4. 服务器解析token, 取出token中的信息进行认证

JWT token的组成

三个部分

  • Header 头部
  • Payload 负载
  • Signature 签名

头部(header)

{
  "alg": "HS256",
  "typ": "JWT"
}

alg : 加密类型
typ : JWT token的类型

alg算法介绍
HS256HMAC256HMAC with SHA-256
HS384HMAC384HMAC with SHA-384
HS512HMAC512HMAC with SHA-512
RS256RSA256RSASSA-PKCS1-v1_5 with SHA-256
RS384RSA384RSASSA-PKCS1-v1_5 with SHA-384
RS512RSA512RSASSA-PKCS1-v1_5 with SHA-512
ES256ECDSA256ECDSA with curve P-256 and SHA-256
ES384ECDSA384ECDSA with curve P-384 and SHA-384
ES512ECDSA512ECDSA with curve P-521 and SHA-512

payload 负载

负载主要是存放有效信息的地方

标准中注册的声明

建议但不强制使用

iss : jwt签发者
sub : jwt所面向的用户
aud : 接收jwt的一方
exp : jwt的过期时间, 要大于签发时间
nbf : 定义一个时间前, token都是不可用的
iat : jwt的签发时间
jti : jwt的唯一身份标识, 作为一次性token, 避免重放攻击

自定义数据

可以加入一些自己定义的数据, 用来进行用户认证

不建议存放敏感信息, 因为这部分内容不会进行加密, 而是采用base64进行编码.

id : 22
name : zhangs

signature签名

签名为jwt的第三个部分
jwt的签名是根据headers头部和payload负载通过头部中声明的加密方式进行加盐secret组合加密
secret存在服务器中, 服务器通过这个签名验证token的合法性, 防止伪造的token.

三个部分组合形成token

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload)+ "." +
  your-256-bit-secret
)

样例

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MjIsImV4cCI6MTU1NzU4Mjc1NSwiaWF0IjoxNTU2OTc3OTU1fQ.icWwR1ysVb4p30XywCck6Fkzn6Oep45zG50NmRLc3BE

解析出来的headers

{
  "alg": "HS256",
  "typ": "JWT"
}

解析出来的payload

{
  "id": 22,
  "exp": 1557582755,
  "iat": 1556977955
}

java中使用JWTToken

导入依赖

   <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.5.0</version>
    </dependency>

创建token

	Map<String, Object> map = new HashMap<String, Object>();
 	map.put("alg", "HS256");
	map.put("typ", "JWT");
	String token = JWT.create()
                .withHeader(map)    // 添加头部
                .withClaim("id", id)   // 添加自定义数据
                .withExpiresAt(experiesDate) // 设置过期的日期
                .withIssuedAt(iatDate) // 签发时间
                .sign(Algorithm.HMAC256(SECRET)); // 加密

校验token

		JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT jwt = null;
        try {
            jwt = verifier.verify(token);
        } catch (Exception e) {
            throw new Exception("登录过期");
        }
        return jwt.getClaims();

在做登录的intercepter中加入验证逻辑

  String token = request.getHeader("token");                               // 获取请求头里的token
  if (token == null) {                                              
                // 跳转返回未登录
                request.getRequestDispatcher("/user/need_login.do").forward(request, response);
                logger.info("未登录");
            } else {
                try {
                    Map<String, Claim> map = JWTUtil.verifyToken(token);    // 该方法验证失败会抛出异常
                    int id = map.get("id").asInt();                         // 没有id也会抛出异常
                    request.setAttribute("id", id);                         // 传递参数id
                    return true;                                            // 验证成功放行
                } catch (Exception e) {                                     // 抛出异常进行跳转
                    request.getRequestDispatcher("/user/need_login.do").forward(request, response);
                    logger.info("登录过期");
                }
            }
ZhangShuoo
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)...
JWTJWTVerifier
mingzq123的博客
03-27 774
verify(Algorithm algorithm):使用指定的算法验证JWT的签名是否有效。withAudience(String... audience):指定JWT的受众(audience),以确保该JWT只能被特定的受众使用。withSubject(String subject):指定JWT的主题(subject),以确保该JWT只能用于特定的目的或场景。withIssuer(String issuer):指定JWT的发行者(issuer),以确保该JWT只能由特定的发行者签发。
一篇文章让你学会JWT令牌认证
Java是世界上最好的语言
12-18 1932
用户每次访问后台的时候,如果是一些需要认证的链接,都需要识别用户身份,比如用户抢单、用户中心等,在传统项目中用的是Session,但在微服务中不建议使用Session,使用JWT令牌。 1. 初识JWT JWT简称JSON Web Token ,也就是通过json形式作为web应用的令牌,用在各方之间安全的将信息作为json对象传输,在数据传输过程中还可以完成数据加密,签名相关处理 。 JWT令牌作用: 身份授权:这是使用jwt的最常见方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该领牌
jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-02 917
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
编程不良人JWT笔记
拧发条鸟的博客
07-15 906
JWT 1.简介 1.含义 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 2.认证流程 1.认证流程 - 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 - 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Paylo
JWT认证实现
qq_36636312的博客
12-07 4122
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
JWT,这一篇就够了
qq_18841277的博客
09-05 631
比如客户端传入 Header(A)、Payload(B)、Signature(C),我们需要通过A、B和密钥通过Base64编码后的值和C进行对比,如果值相同则正确。包含两个部分:令牌的类型和所使用的签名算法.标头使用的是Base64编码,注意Base64编码不是一种加密的过程,可以被解码为初始值。签名是将编码后的(标头、有效载荷和我们提供的一个密钥)和我们Header中指定的签名算法进行编码。有效载荷存放的是用户的数据信息,通过Base64进行加密,不要在Payload中存放重要的值。
SpringBoot集成JWT生成token校验方法过程解析
08-19
在SpringBoot中,我们可以使用Java JSON Web Tokens(JWT)库来生成JWT token。在上面的示例代码中,我们定义了一个JwtTokenUtil类,其中包含了生成token校验token的方法。 生成token的过程主要包括以下步骤: 1...
JAVA中的Token 基于Token的身份验证实例
08-24
JWT(JSON Web Tokens)是一种常用的Token验证方法。JWT Token由三个部分组成:header、payload和signature。header部分主要包含Token的类型和使用的算法,payload部分包含Token的具体内容,signature部分是对Token...
Springboot 整合 JWT + Redis 实现双Token 校验Demo
11-23
本教程将详细解释如何整合Spring Boot与JWT(JSON Web Token)以及Redis来实现双Token校验,确保用户会话的安全性和效率。 首先,JWT是一种轻量级的身份验证机制,它允许服务器通过生成一个包含必要信息的令牌(如...
java token验证和注解方式放行
08-28
常见的Token类型有JSON Web Token (JWT) 和 OAuth2 access tokenJWT包含三部分:Header、Payload和Signature,它们都被Base64编码,并由"."分隔。JWT可以在客户端保存,每次请求时发送到服务器进行验证,而OAuth2 ...
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1846
SpringBoot+Mybatis-plus+Mysql+JWT
一文学会JWT登录验证操作。
weixin_59519801的博客
11-10 166
傻瓜操作学会简单的JWT操作
JWT(java web token)
LC的博客
12-08 683
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
中间件学习-jwt登录验证
weixin_43596589的博客
07-30 913
中间件学习-jwt登录验证 jwt json web token 简要说明 前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少服务器的压力,不用向以前一样将对象保存在session里面,或者是利用redis保存信息,因为
JWT验证
guishengyx的博客
06-02 452
在工具包中新建JwtUtils public class JwtUtils { /*** * 签发JWT令牌 * */ public static String getToken(){ String token = ""; String STR = "yctxdy";//盐 token = JWT.create().withAudience("hly") .withExpires.
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
良月柒
07-27 2563
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。作者:何甜甜在吗链接:https://juejin.cn/post/6932702419344162823‍过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程。今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡...
JWT生成tonken验证+AOP拦截验证
一只程序猿
12-01 1187
JSON Web TokenJWT)是目前都在用的前后分离跨域验证规则。5、前端调用查看效果,token生成返回成功,后端也能成功读取数据。3、自定义注解APO实现类AuthAspect.java。4、在需要token验证的地方加入注解@Auth。2、编写jwt工具类JwtUtil.java。2、自定义注解接口Auth.java。1、引入依赖pom.xml。
后台用户登录-Token模块
12-22
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证。JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值