JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)

已于 2024-08-25 00:23:20 修改
阅读量2w 收藏 147
点赞数 53
CC 4.0 BY-SA版权
分类专栏: SpringCloud & Alibaba 面试总结 文章标签: JWT
于 2023-10-13 11:50:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CYK_byte/article/details/133803214

目录

一、JWT 认证

1.1、对 JWT 的认识

1.1.1、JWT 解释

1.1.2、为什么使用的 JWT 认证,而不是 Session 认证?

a)基于传统的 Session 认证

1.1.3、JWT 认证流程

1.1.4、优势

1.1.5、JWT 的结构

JWT 第一部分:标头 Header

JWT 第二部分:有效载荷 Payload 

JWT 第三部分:签名 Signature

1.2、JWT 的使用

1.2.1、实例

a)引入 jwt 依赖

b)生成 Token

c)根据密钥创建验证对象,然后验证 Token

d)执行结果

1.2.2、封装 Jwt 工具类

一、JWT 认证

1.1、对 JWT 的认识

1.1.1、JWT 解释

JWT 是 “JSON Web Token” 的简写,也就是通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安全的将信息作为 JSON 对象传输.  在数据传输过程中还可以完成数据加密,签名等相关处理.

这就像是皇上的玉玺,谁见到了哪怕没见过皇上长啥样,都知道是皇上来了.

1.1.2、为什么使用的 JWT 认证,而不是 Session 认证?

了解本专栏 订阅专栏 解锁全文
19【安全实战】Flask JWT认证完全指南:构建无懈可击的用户认证系统
熵数实验室
05-21 743
本文详细介绍了如何在Flask框架中实现JWT(JSON Web Token)认证,构建安全可靠的用户认证系统。JWT作为一种现代认证机制,适用于前后端分离、微服务移动应用场景。文章首先解析了JWT的基础原理,包括其结构(头部、载荷、签名)与传统会话认证的对比。接着,通过Flask-JWT-Extended库的安装与配置,展示了如何在Flask中实现基本的JWT认证流程,包括用户登录、令牌生成受保护路由的访问控制。此外,文章还探讨了高级JWT认证实现,如刷新令牌机制、自定义声明与负载、以及令牌撤销与黑
jwt+redis实现登录认证
每天学习一点点
02-17 2072
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中keyvalues是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证JwtUtil工具类
全网超细--Java实现Token登录验证步骤实现
欢迎来到快乐懒洋洋的博客
05-08 7063
2、后端核对用户名密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
JWT | 一分钟掌握JWT | 概念及实例
liuqinhou的博客
07-30 567
JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
JWT(JSON Web Token)基础概念详解
最新发布
csdn_tom_168的博客
06-10 879
JWT(JSON Web Token)是一种无状态的身份认证方案,由Header、PayloadSignature三部分组成,通过点号分隔。Header包含算法类型,Payload存储用户声明数据,Signature用于验证完整性。JWT适合分布式系统,支持跨域请求,具有自包含防篡改特性。常见应用场景包括API认证、单点登录微服务通信。使用时需注意密钥保护、合理设置过期时间、避免存储敏感信息并使用HTTPS传输。相比传统Session方案,JWT无状态且扩展性更强,但需防范XSS等安全风险。典型流程
JWT 认证机制
qq_74114417的博客
03-22 1379
JSON Web Token(JWT认证机制是一种无状态、基于令牌的身份验证方法,广泛应用于现代Web应用API服务。
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8775
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT(JSON Web Token)认证
缘友一世的博客
02-27 1135
JSON Web Token官网JSON Web 令牌JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以验证信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。通俗理解:JWT简称JSONWebToken,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
JWT 令牌
qq_41893505的博客
09-23 1856
使用阿里云 KMS 进行 JWT 签名验签的情况下,您可以省略 JwtAccessTokenConverter,而是直接调用 KMS API 来完成这些操作。这样不仅减少了代码复杂性,还提高了安全性,因为密钥管理由 KMS 负责。
Jwt认证
在努力学习的路上
03-05 1150
jwt认证、拦截器、token过期时间
sping-boot-shiro-jwt-redis.zip
07-22
3. **JWT实现**:创建JWT工具类,用于生成解析Token。设置Token的有效期,并在Token中携带用户信息。 4. **Redis配置**:配置Redis连接池,设置Key-Value的过期策略,确保Token能够在过期前被自动刷新。 5. **...
SpringBoot集成Shiro、JwtRedis
10-24
通过以上步骤,我们可以构建一个完整的RBAC系统,其中Shiro处理权限控制,Jwt实现无状态认证Redis提供高效的会话管理,而MyBatisPlus则简化了数据库操作。这样的系统不仅安全可靠,而且具有良好的扩展性可维护性...
gatewayjwt网关认证实现过程解析
08-25
Gateway JWT 网关认证实现过程解析 ...Gateway JWT 网关认证实现过程可以分为四步:依赖项、编写 Jwt 工具类、全局过滤器刷新 token。通过这些步骤,我们可以实现一个安全可靠的身份验证授权系统。
认证令牌
zhinen丶的博客
08-30 2794
1.简介 认证令牌是代替口令的好办法。认证令牌是个小设备,在每次使用时生成一个新的随机数。这个随机数是认证的基础。认证令牌通常具有如下特性:处理器;LCD,显示输出;电池;小键盘,用于输入信息(可选);实时时钟(可选)。每个认证 ...
JWT令牌
qq_51106567的博客
07-05 986
JWT令牌简介基本使用,基本异常
springboot项目中 在使用jwt + redis认证授权时, 具体流程是什么样的
03-18
<think>好的,我现在需要回答用户关于在Spring Boot项目中使用JWTRedis进行认证授权的具体流程的问题。首先,我得回顾一下用户提供的引用内容,确保回答符合他们的参考资料。 首先,用户提到了三个引用:引用[1]是关于Spring SecurityJWT认证流程解析,引用[2]是整合Spring Boot、Security、RedisJWTCSRF,引用[3]是关于设置父工程Spring Boot版本。这些资料应该作为回答的基础,确保流程正确并符合实际整合方法。 接下来,我需要整理认证授权的流程步骤。根据Spring Security的工作流程,通常包括用户登录、生成JWT、存储令牌、验证令牌等步骤。结合JWTRedis使用,可能需要考虑令牌的存储刷新机制。比如,用户登录成功后生成JWT,并将其存储在Redis中,每次请求时验证JWT的有效性,并从Redis中检查是否存在。 然后,要确保回答的结构清晰,分步骤说明每个环节。可能需要分为用户认证流程权限验证流程两个主要部分。在认证部分,包括提交凭证、验证用户、生成JWT、存储到Redis、返回给客户端等。在权限验证部分,包括客户端携带JWT、过滤器验证、从Redis检查、设置Security上下文、鉴权等。 同时,要注意引用标记的正确添加。例如,在提到生成JWT时,引用[1]可能涉及这部分内容;在整合Redis存储令牌时,引用[2]可能相关。需要确保每个引用的位置自然,不破坏回答的流畅性。 还需要考虑可能的相关问题,比如如何刷新令牌、整合CSRF双认证、性能优化等。这些问题可以放在相关问题部分,帮助用户进一步了解相关主题。 最后,要检查是否遵循了用户给出的系统级指令,比如数学表达式的格式是否正确,使用中文回答,生成相关问题等。虽然这个问题不涉及数学公式,但其他格式要求如代码块的使用、引用标识的添加都需要注意。 总结一下,回答需要分步骤详细说明认证授权的流程,结合JWTRedis使用,正确引用提供的资料,并生成相关问题。确保结构清晰,符合用户的要求。</think>在Spring Boot项目中整合JWTRedis实现认证授权的流程可分为以下步骤: --- ### 一、认证与授权流程核心步骤 1. **用户登录认证** - 用户提交账号密码后,系统通过`UserDetailsService`加载用户信息,验证密码权限[^1]。 - 验证通过后,生成JWT令牌(包含用户ID、角色等),并将令牌存储到Redis中(设置有效期)[^2]。 2. **令牌存储与响应** - 使用Redis的`String`结构存储JWT,Key通常为用户ID或令牌唯一标识,Value为令牌值,例如: ```redis SET user:1001:token "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." EXPIRE user:1001:token 3600 # 设置过期时间 ``` 3. **请求鉴权** - 客户端在后续请求的`Authorization`头中携带JWT- 自定义`JwtAuthenticationFilter`拦截请求,解析JWT并验证其合法性: - 校验签名是否有效 - 检查Redis中是否存在该令牌(防止令牌被手动注销) - 通过后,将用户信息存入`SecurityContextHolder`,供后续权限校验使用--- ### 二、关键代码实现 1. **JWT生成与验证工具类** ```java public class JwtUtils { public static String generateToken(UserDetails user) { return Jwts.builder() .setSubject(user.getUsername()) .claim("roles", user.getAuthorities()) .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) .signWith(SignatureAlgorithm.HS512, "your-secret-key") .compact(); } public static Boolean validateToken(String token, UserDetails user) { // 验证签名与过期时间,并与Redis中的令牌比对 } } ``` 2. **自定义认证过滤器** ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { String token = extractToken(request); if (token != null && JwtUtils.validateToken(token)) { String username = JwtUtils.extractUsername(token); UserDetails user = userDetailsService.loadUserByUsername(username); // 检查Redis中是否存在该用户的令牌 if (redisTemplate.hasKey("user:"+username+":token")) { UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(auth); } } chain.doFilter(request, response); } } ``` --- ### 三、流程优化建议 1. **双Token机制** - 使用`access_token`(短有效期)`refresh_token`(长有效期),减少频繁查询Redis的次数。 2. **黑名单管理** - 主动注销令牌时,将未过期的JWT存入Redis黑名单,拦截时优先检查黑名单。 3. **整合Spring Security配置** ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/api/public/**").permitAll() .antMatchers("/api/admin/**").hasRole("ADMIN") .anyRequest().authenticated(); } } ``` ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈亦康

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值