JWT令牌技术介绍及使用

于 2024-09-25 12:13:17 发布
阅读量1.1k 收藏 14
点赞数 24
文章标签: jwt springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_76552486/article/details/142519898
版权

一、JWT介绍

JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

JWT最重要的作用就是对 token信息的防伪作用

JWT令牌的组成

一个JWT由三个部分组成:JWT头、有效载荷、签名哈希
最后由这三者组合进行base64url编码得到JWT

典型的,一个JWT看起来如下图:该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。
JSON Web Tokens - jwt.io

JWT头

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

{
  "alg": "HS256",
  "typ": "JWT"
}
有效载荷

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

iss: jwt签发者
sub: 主题
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

{
  "name": "Helen",
  "role": "editor",
  "avatar": "helen.jpg"
}

默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。

JSON对象也使用Base64 URL算法转换为字符串保存。

下图来自官网

签名哈希

签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)    ==>   签名hash

在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。

Base64URL算法

如前所述,JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。

作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/"和"=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"="去掉,"+"用"-"替换,"/"用"_"替换,这就是Base64URL算法。

二、SpringBoot项目集成JWT令牌

(1)pom.xml文件中导入依赖,version为你实际使用的版本

 <!--jwt-->
            <dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>${jwt.version}</version>
            </dependency>

(2)在项目的Common模块下创建jwt包,创建JwtHelpher类


import io.jsonwebtoken.*;
import org.springframework.util.StringUtils;

import java.util.Date;

public class JwtHelper {
    private static long tokenExpiration = 365 * 24 * 60 * 60 * 1000;
    private static String tokenSignKey = "123456";

    public static String createToken(Long userId, String username) {
        String token = Jwts.builder()
                //分类
                .setSubject("AUTH-USER")
                //设置token有效时长
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
                //设置主体部分
                .claim("userId", userId)
                .claim("username", username)
                //签名部分
                .signWith(SignatureAlgorithm.HS512, tokenSignKey)
                .compressWith(CompressionCodecs.GZIP)
                .compact();
        return token;
    }

    //从生成token字符串中获取用户id
    public static Long getUserId(String token) {
        try {
            if (StringUtils.isEmpty(token)) return null;

            Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
            Claims claims = claimsJws.getBody();
            Integer userId = (Integer) claims.get("userId");
            return userId.longValue();
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
    //从生成token字符串中获取用户名称--username
    public static String getUsername(String token) {
        try {
            if (StringUtils.isEmpty(token)) return "";

            Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
            Claims claims = claimsJws.getBody();
            return (String) claims.get("username");
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    public static void main(String[] args) {
        String token = JwtHelper.createToken(1L, "admin");
        System.out.println(token);
        System.out.println(JwtHelper.getUserId(token));
        System.out.println(JwtHelper.getUsername(token));
    }

}

(3)封装并进行测试

 (4)测试结果

Cookie、Session、JWT令牌技术JwtUtils工具类
2301_77358195的博客
03-26 1586
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是Cookie、Session、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
会话跟踪技术——JWT令牌
cl的博客
01-18 1139
服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。我们使用就是要。
JWT 帮助类 JWTHelper
一只小迷糊虫
08-20 7773
JWTPlayloadInfo.cs 代码如下: /// <summary> /// JWT载荷实体 /// </summary> public sealed class JWTPlayloadInfo { /// <summary> /// jwt签发者 /// &lt...
JWT工具使用
市民景先生
03-08 552
ps:base64编码不是加密,只是把铭文信息换成不可见字符串,但主要通过一些工具就可以可以把base4破解成明文,所以不能放重要内容进去。:当前服务器的ip地址(Linux中配置代理服务器的ip),主要用户对JWT生成字符串的时候进行加密。:用户自定义信息,通过解析jwt可以获取对应内容。:主要是JWT相关配置参数比如签名。
jwt token 过期刷新_.net core 3.1 Jwt操作封装类,JwtHelper,支持生成、刷新等
weixin_39689428的博客
11-27 909
最近在开发项目中,为了便于操作jwt,自己封装了一个jwthelper,发出来,供大家一起讨论。using Microsoft.AspNetCore.Http;using Microsoft.IdentityModel.Tokens;using Newtonsoft.Json;using System;using System.Collections.Generic;using System.Id...
JWT令牌校验是什么东西?举个例子
weixin_45791946的博客
03-13 734
JWT令牌的有效期快要结束时,客户端可以使用刷新令牌(Refresh Token)来获取新的JWT令牌。客户端可以在当前JWT令牌即将过期时,使用刷新令牌来获取新的JWT令牌,从而保持用户登录状态的连续性。:在某些情况下,客户端可以与服务器协商,当JWT令牌即将过期时,自动进行令牌刷新操作,以保持用户登录状态的持续性。JWT令牌具有一定的有效期,一旦生成后,在有效期内可以重复使用。:在验证用户身份后,服务器生成一个JWT令牌,其中包含用户的身份信息,比如用户ID、角色等,以及所需的有效期和其他元数据。
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 安装 您可以克隆此存储库并手动构建它。 cd jwthelper docker build -t fonoster/jwthelper:%%VERSION%% . 否则,您可以从泊坞窗索引中拉出该映像。 docker pull fonoster/jwthelper:latest:%%VERSION%% 使用范例 以下是使用此图像的最小示例。 sudo docker run -it \ -v $( pwd ) :/home/fonos/access \ -e PRINT_ACCESS_INFO=
SpringBoot | 使用jwt令牌实现登录认证,使用Md5加密实现注册
jingling555的博客
06-27 696
对于登录认证中的令牌,其实就是一段字符串,那为什么要那么麻烦去用jwt令牌?其实对于登录这个业务,在平常我们实现这个功能时,可能大部分都是通过比对用户名和密码,只要正确,就登录成功;而并不会考虑到使用jwt令牌。
JWT令牌认证技术.zip
11-29
以下是对JWT令牌认证技术的详细说明: 1. **JWT结构**: JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是JSON对象,然后它们被Base64编码。签名是通过编码后的头部、编码后...
JWT令牌 JWT概述和简单使用
guohao_Kwok的博客
04-24 7375
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
Go-jwthelper是一个Golang包提供了JWT(JSONWebToken)功能基于jwt-go.
08-14
jwthelper是一个Golang包提供了JWT(JSON Web Token)功能基于jwt-go.
spring提供的JwtHelper生成JWT令牌原理,使用RSA签名算法
干饭两斤半
08-27 1430
生成令牌 //生成一个jwt令牌 @Test public void testCreateJwt(){ //证书文件 String key_location = "xc.keystore"; //密钥库密码 String keystore_password = "xuechengkeystore"; //访问证书路径 ClassPathResource resource = new ClassPathResource(key_location); //密钥工厂 KeySto
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 903
什么是JSON Web Token(JWT)?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其...
JwtHelper生成token
qq_40769768的博客
10-24 4605
日常中用到的源码,直接从工程中拿出来稍加改动。给自己和有需要的人mark.一下 public class JwtHelper { public static Claims parseJWT(String jsonWebToken, String base64Security){ try { Claims claims = J
oauth2 jwt token 返回accessToken对象中携带用户字段信息
Amy的博客
06-30 9265
oauth2 源码中用户信息只返回用户名称,现有需求要求返回userId,只能重写某些方法,server端和client端都要修改: 方法一、结果:userId 封装在token中,需要解析access_token才能看到,但是经测试发现,使用此方法之后refresh_token获取access_token时,自定义的字段都不见了,连自带的username也不见了,应该是要再重写refresh_...
Springboot整合JwtHelper实现非对称加密
AllenLuoYi的博客
03-02 1212
一、生成公私钥对 提供两种方法,一种基于命令行中的Keytool工具生成,一种是基于SpringSecurity中的KeyPairGenerator类生成,现实现第二种方式: // 加密算法 private static final String KEY_ALGORITHM = "RSA"; // 公钥key private static final String PUB_KEY="publicKey"; // 私钥key private static fin
服务器session和jwt之争
热门推荐
三少GG
12-12 1万+
1. session session和cookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同。session通过cookie,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端。因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或co
JWT 单点登录(项目实现)
专注基础架构领域
05-25 1538
下面以实际项目中的应用分析,首先看一下大致的数据流图: 一、实现思路 1、项目一开始我先封装了一个JWTHelper工具包,主要提供了生成JWT、解析JWT以及校验JWT的方法,其他还有一些加密相关操作,后面我会以代码的形式介绍下代码。工具包写好后我将打包上传到私服,能够随时依赖下载使用; 2、接下来,我在客户端项目中依赖JWTHelper工具包,并添加Interceptor拦截器,拦截需要校验登录的接口。拦截器中校验JWT有效性,并在response中重新设置JWT的新值; 3、最后在JWT
学生证书_2025-06-10.zip
最新发布
06-10
学生证书_2025-06-10.zip
登录及身份验证使用 JWT 令牌技术流程以及怎么实现
09-11
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间传递声明(claims)的紧凑的自包含方式。JWT 令牌技术在登录和身份验证流程中可以提供一种安全且简洁的方法来处理身份验证和信息交换。以下是使用 JWT 进行登录及身份验证的一般流程: 1. 用户登录:用户通过登录界面输入用户名和密码,后端系统验证这些凭据的正确性。 2. 生成 JWT 令牌:一旦用户身份被验证,后端服务就会创建一个 JWT 令牌,并将其返回给用户。该令牌通常包含三个部分: - Header(头部):通常包含两部分信息:令牌类型(即 JWT),以及所使用的签名算法,如 HMAC SHA256 或 RSA。 - Payload(载荷):包含所谓的“声明”(claims),声明是关于实体(通常是用户)和其他数据的声明。claims可以是用户的权限、角色、令牌的有效时间等。 - Signature(签名):为了创建签名部分,您必须有编码后的 Header 和 Payload,然后使用密钥对它们进行签名。签名用于验证消息在此过程中未被篡改,并且在从服务器发送至客户端时保持了完整性。 3. 存储和传输:用户收到 JWT 令牌后,通常将其存储在客户端的本地存储中(例如 localStorage 或 sessionStorage),并在后续的请求中将其添加到 HTTP 头的 Authorization 字段中(通常以 "Bearer token" 的格式),用以访问受保护的资源。 4. 服务器验证:每当用户尝试访问一个受保护的路由或资源时,服务器端会解码并验证 JWT 令牌的有效性。服务器会检查签名、令牌的过期时间以及其他声明信息。 5. 响应:如果 JWT 令牌有效,服务器将处理用户请求并返回相应的数据或资源;如果无效,则返回错误信息。 以下是使用 Node.js 和 Express 实现 JWT 身份验证的一个简单例子: ```javascript const express = require('express'); const jwt = require('jsonwebtoken'); const bcrypt = require('bcryptjs'); // 假设我们有一个用户模型和验证用户的方法 const User = require('./models/User'); const verifyUser = require('./utils/verifyUser'); const app = express(); app.use(express.json()); // 登录接口 app.post('/login', async (req, res) => { const { username, password } = req.body; const user = await User.findOne({ username }); if (user && bcrypt.compareSync(password, user.password)) { const token = jwt.sign({ id: user._id }, 'secret_key', { expiresIn: '1h' }); res.status(200).json({ token }); } else { res.status(401).send('用户名或密码错误'); } }); // 受保护的路由 app.get('/protected', verifyUser, (req, res) => { // 这里处理业务逻辑 res.status(200).send('protected route accessed'); }); app.listen(3000, () => { console.log('Server is running on port 3000'); }); // 使用中间件来验证 JWT const verifyUser = (req, res, next) => { try { const token = req.headers.authorization.split(' ')[1]; // 假设请求中携带的格式为 'Bearer token' const decoded = jwt.verify(token, 'secret_key'); req.userId = decoded.id; next(); } catch (error) { res.status(401).send('Invalid token'); } }; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YY...yy

你的鼓励将是我创作的最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值