Jwt简单使用

最新推荐文章于 2024-07-30 19:15:15 发布
最新推荐文章于 2024-07-30 19:15:15 发布
阅读量9.5k 收藏 16
点赞数 4
分类专栏: java 安全校验 文章标签: Jwt简单使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangcongyi420/article/details/89222307
版权

在分布式项目中,经常需要处理session共享的问题,解决的方式有很多,比如采用session或者cookie,或者redis进行存储都是解决方案,今天给大家介绍另一种比较轻量级的解决方式,就是使用jwt生成token,服务端进行加解密来处理;

首先要了解一下jwt的三个基本术语,

Header

Header是由以下这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到这个原来的Json,所以JWT中存放的一般是不敏感的信息)生成的字符串,Header中存放的内容是说明编码对象是一个JWT以及使用“SHA-256”的算法进行加密(加密用于生成Signature)

{
“typ”:“JWT”,
“alg”:“HS256”
}

Claim

Claim是一个Json,Claim中存放的内容是JWT自身的标准属性,所有的标准属性都是可选的,可以自行添加,比如:JWT的签发者、JWT的接收者、JWT的持续时间等;同时Claim中也可以存放一些自定义的属性,这个自定义的属性就是在用户认证中用于标明用户身份的一个属性,比如用户存放在数据库中的id,为了安全起见,一般不会将用户名及密码这类敏感的信息存放在Claim中。将Claim通过Base64转码之后生成的一串字符串称作Payload。

{
“iss”:“Issuer —— 用于说明该JWT是由谁签发的”,
“sub”:“Subject —— 用于说明该JWT面向的对象”,
“aud”:“Audience —— 用于说明该JWT发送给的用户”,
“exp”:“Expiration Time —— 数字类型,说明该JWT过期的时间”,
“nbf”:“Not Before —— 数字类型,说明在该时间之前JWT不能被接受与处理”,
“iat”:“Issued At —— 数字类型,说明该JWT何时被签发”,
“jti”:“JWT ID —— 说明标明JWT的唯一ID”,
“user-definde1”:“自定义属性举例”,
“user-definde2”:“自定义属性举例”
}

Signature

Signature是由Header和Payload组合而成,将Header和Claim这两个Json分别使用Base64方式进行编码,生成字符串Header和Payload,然后将Header和Payload以Header.Payload的格式组合在一起形成一个字符串,然后使用上面定义好的加密算法和一个密匙(这个密匙存放在服务器上,用于进行验证)对这个字符串进行加密,形成一个新的字符串,这个字符串就是Signature。

在这里插入图片描述

JWT实现认证的原理

服务器在生成一个JWT之后会将这个JWT会以Authorization : Bearer JWT 键值对的形式存放在cookies里面发送到客户端机器,在客户端再次访问收到JWT保护的资源URL链接的时候,服务器会获取到cookies中存放的JWT信息,首先将Header进行反编码获取到加密的算法,在通过存放在服务器上的密匙对Header.Payload 这个字符串进行加密,比对JWT中的Signature和实际加密出来的结果是否一致,如果一致那么说明该JWT是合法有效的,认证成功,否则认证失败。

在这里插入图片描述

下面通过两个工具类来说明一下JWT的具体使用,首先需要导入jwt的jar包,

<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
</dependency>

/**
 * jwt工具类封装
 * @author asus
 *
 */
public class JwtUtils {
	
	public static final String SUBJECT = "congge";
	
	/**
	 * 设置token的过期时间
	 */
	public static final long EXPIRITION = 1000 * 24 * 60 * 60 * 7;
	
	/**
	 * 秘钥,不同的环境应该配置不同的秘钥,注意保存好,不要泄露
	 */
	public static final String APPSECRET_KEY = "congge_secret";
	
	/**
	 * 加密生成token
	 * @param user
	 * @return
	 */
	public static String generateJsonWebToken(Users user){
		
		if(user.getId() == null || user.getUsername()==null||user.getFaceImage()==null){
			return null;
		}
		
		String token = Jwts.builder().setSubject(SUBJECT)
			.claim("id", user.getId())
			.claim("name",user.getUsername())
			.claim("img", user.getFaceImage())
			.setIssuedAt(new Date())
			.setExpiration(new Date(System.currentTimeMillis() + EXPIRITION ))
			.signWith(SignatureAlgorithm.HS256, APPSECRET_KEY).compact();
		return token;
	}
	
	/**
	 * 解密token获取用户信息
	 * @param token
	 * @return
	 */
	public static Claims checkJWT(String token){
		try {
			final Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
			return claims;
		} catch (Exception e) {
			e.printStackTrace();
			return null;
		}
		
	}
	
	/**
	 * eyJhbGciOiJIUzI1NiJ9.
	 * eyJzdWIiOiJjb25nZ2UiLCJpZCI6IjExMDExIiwibmFtZSI6Im51b3dlaXNpa2kiLCJpbWciOiJ3d3cudW9rby5jb20vMS5wbmciLCJpYXQiOjE1NTQ5OTI1NzksImV4cCI6MTU1NTU5NzM3OX0.
	 * 6DJ9En-UBcTiMRldZeevJq3e1NxJgOWryUyim4_-tEE

	 * @param args
	 */
	
	public static void main(String[] args) {
		
		Users user = new Users();
		user.setId("11011");
		user.setUsername("nuoweisiki");
		user.setFaceImage("www.uoko.com/1.png");
		String token = generateJsonWebToken(user);
		
		System.out.println(token);
		
		System.out.println("解密 ====================");
		
		Claims claims = checkJWT(token);
		if(claims != null){
			String id = claims.get("id").toString();
			String name = claims.get("name").toString();
			String img = claims.get("img").toString();
			
			System.out.println("id:" + id);
			System.out.println("name:" + name);
			System.out.println("img:" + img);
		}
		
	}
	
}

运行一下这段程序,可以看到如下结果,可以看出来,我们加密的用户信息是可以成功解密出来的,利用这个特性,可以将用户一些不敏感的信息通过jwt加解密的方式在客户端和服务端之间进行传递,就算是在分布式环境下,大家用的是同一套代码,加解密规则一样,因此对于同一个用户是可以很方便的进行操作,
在这里插入图片描述

那么实际业务中该如何使用呢?我认为可以存在这一一个场景,用户登录成功后,后端通过jwt产生一个token返回给客户端,客户端进行存储,以后每次访问相关资源时候,后端会有一个拦截器进行拦截,按照定义好的解密规则解密出用户信息,解密成功并且存在,则允许进行后续的操作,下面是一段模拟代码,有兴趣的小伙伴可以参考,


public class JwtInterceptor implements HandlerInterceptor{
	
	/**
	 * 模拟拦截用户请求的url,并从url中读取前端传来的token,如果校验通过,则允许进行后续其他的操作
	 */
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		String token = request.getHeader("authorization");
		Claims claims = JwtUtils.checkJWT(token);
		String userId = claims.get("id").toString();
		String userName = claims.get("name").toString();
		String img = claims.get("img").toString();
		UserService userService = SpringContextUtil.getBean("usersService");
		Users user = userService.findById(userId);
		if(user != null){
			return true;
		}else{	
			//生成token的动作是不是应该在用户登录成功的时候产生呢?
			return false;
		}
	}
	
}
小码农叔叔
关注
专栏目录
JWT简单了解与使用
HBBBOY的博客
10-16 1835
快速了解JWT怎么使用,之后便能利用它制作属于自己的单点登录了
JWT 简单使用
qq_45874216的博客
02-22 879
token 简单使用(常用于用户接口访问携带的请求头)
生成token
qq_46112274的博客
06-06 2051
生成token1、JWT介绍1.1、JWT工具1.2、JWT的原理,2、集成JWT2.1、引入依赖2.2、在common-util模块编写JwtHelper类2.3、完善登录service接口2.4、使用Swagger测试接口 1、JWT介绍 1.1、JWT工具 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就
JWT详细解析
最新发布
m0_65224643的博客
07-30 2068
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
微服务下登录检验解决方案之 JWT
重燃小窗
05-25 234
JWT(八股文):一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以「JSON」对象的形式安全传递信息的方法.JWT可以使用「HMAC」算法或者是「RSA」 的公钥密钥对进行签名 总结:通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息. 优点: 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库 存储在客户端,不占用服务端的内存资源 缺点: token是经过base64编码,所以可以解码,因此token加密前的对象不应
JWT简介
01-22 1148
简介 Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该标准被设计为紧凑且安全的,一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息。当然该标准也可直接被用于认证,也可被加密。 JWT 定义了一种用于简洁,自包含的用于通信双方之间以...
JWT——JWT的验证与解析
weixin_61974247的博客
08-05 711
运行之后,里面的结果可能出错,这个出错可能是因为你当初生成的jwtToken已经到了你所设置的过期时间,这时候,再重新生成一个jwtToken就行。
JWT简单介绍与使用
weixin_51980047的博客
07-27 2214
JWT简单介绍与使用
Android JWT 简单使用
happy_horse的博客
02-16 9017
一、什么是JWTJWT 的定义:JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.JWT的作用:1、JWT可以理解为一串通过特定算法生成的字符串,在API的请求中,将这段字符串放入请求参数中。API Server通过判
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的...2:jwt构成简单,占用很少的字节,便于传输。 3:json格式通用,不同语言之间都可以使用。 三:JWT组成 1:jwt由三部分组成:  头部(header)  载荷(payload) 包含一
jwt简单的介绍和了解
10-27
例如,`{ "alg": "HS256", "typ": "JWT" }`表示使用了HS256算法的JWT。 2. **载荷(Payload)**:也是一个JSON对象,包含了声明(Claims)。声明可以分为三类:注册声明、公开声明和私有声明。注册声明是预定义的,...
jwt原理及使用
weixin_42469186的博客
05-16 479
是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是项目。和使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。作用:类似保持登录状态 的办法,通过token来代表用户身份。
springboot集成Jwt,实现验证!
qq_43744387的博客
05-25 620
springboot集成Jwt,实现验证! 1,什么是JWT JWt简称为 JSON web Token 也就是通过josn形式作为web应用中的令牌,用于各方之间安全的将信息作为json对象传输,在数据传输过程中,还可以完成数据加密,签名等相关处理。 2,JWT能做什么 1,授权:(最常用) 正式JWt最常见的方案,一旦用户登录,每个后续请求将包括JWt,从而允许用户访问该令牌允许的路由,服务和资源,单点登录就是当今广泛使用JWT的一项功能,因为它开销很小并且可以允许跨域使用 2,信息交换
jwt认识
面朝大海,春暖花开
03-23 1643
jwt认识 jwt是长这样的: header.payload.signature eyJhbGciOiJSUzUxMiJ9.eyJleHAiOjE1MjE1Mzg1NDMsInN1YiI6InRl.c3RlciIsIm5iZiI6MTUyMTUzNzk0MywiYl 生成规则: b64_header = base64Encoded(header); b64_claim =...
JWT详解
Moonlight的博客
07-21 131
JWT详解
登录校验JWT封装方法
qq_36978700的博客
11-14 161
加入相关依赖 <!-- JWT相关 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> 封装⽣产token方法 /** * 根据⽤户信息,⽣成令牌 * @param user * @retu
JWT的初步说明
nancheng_wx的博客
08-08 442
当签发的 jwt 保存在客户端,客户端一直在操作页面,按道理应该一直为客户端续长有效时间,否则当 jwt有效期到了就会导致用户需要重新登录。JWT 主要用于用户登录鉴权,JWT (全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。因为一旦签发了一个 jwt,在到期之前始终都是有效的,如果用户信息发生更新了,只能等旧的 jwt 过期后重新签发新的 jwt。便于传输,JWT结构简单,字节占用小。
JWT---JWT基础知识点
weixin_52025712的博客
10-24 498
目录什么是JWTJWT的组成部分HEADER(算法与令牌)PAYLOAD(数据)VERIFY SIGNATURE(验证签名)JWT的基本格式 什么是JWTJWT是Json Web Token 的缩写,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。就是这是一种认证机制,让后台知道请求是来自于受信的客户端。 JWT的组成部分 HEADER(算法与令牌) 存放
详解 JWT(SpringBoot 整合 JWT 示例)
kkq的博客
11-16 581
先来看一下官方文档对 JWT 的介绍:JSON Web Token (JWT) 是一种开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于作为 JSON 对象在各方之间安全地传输信息。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。尽管 JWT 可以加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。
java jwt使用
02-01
解析 JWT 的过程也很简单,只需要调用 Jwts.parser() 并传入密钥即可: ``` import io.jsonwebtoken.Jwts; // 解析 JWT Jwts.parser() .setSigningKey("secretkey") .parseClaimsJws(jwt); ``` 希望这些信息能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小码农叔叔

谢谢鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值