JWT、Token、MD5

最新推荐文章于 2025-06-08 10:09:22 发布
原创 最新推荐文章于 2025-06-08 10:09:22 发布 · 1.8k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了JWT(Json Web Token)与传统Token的区别,JWT的组成(Header、Payload、Signature)及其作用,阐述了JWT的优缺点和应用场景。同时提到了MD5在JWT中的角色,以及手写JWT的简单示例和注销机制,强调了JWT的有效期管理和安全性问题。

Session、cookie、Token可看:session、cookie、token 详解

一、传统的Token

传统的token(也叫令牌)

jwt只是生成token用的

在这里插入图片描述在这里插入图片描述传统的Token,例如:用户登录成功生成对应的令牌,key为令牌 value:userid,隐藏了数据真实性 ,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。
客户端每次访问后端请求的时候,会传递该token在请求中,服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。

二、jwt(json web token)

JSON WEB Token JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
jwt 官网:
https://jwt.io/

jwt和Token的区别

在这里插入图片描述

JWT组成的部分

小demo:

在这里插入图片描述

运行后得到了一个jwt:
在这里插入图片描述

把这串字符串复制到jwt官网进行解析:

在这里插入图片描述

1.Header(头)

作用:记录令牌类型、签名算法等 例如:{“alg":“HS256”,“type”,"JWT}

2.Payload(有效载荷)

作用:
就是存放jwt存放的数据内容
携带一些用户信息 例如
{
“userId”:“1”, //存放在客户端,不安全
“username”:“mayikt”
}

在这里插入图片描述

3.Signature(签名)

作用:防止Payload、Token被篡改、确保安全性 例如 计算出来的签名,一个字符串,就算MD5加密而已

1.第一部分:header (头部)
{
Typ=“jwt” —类型为jwt
Alg:“HS256” --加密算法为hs256
}
2.第二部分:playload(载荷) 携带存放的数据 用户名称、用户头像之类 注意铭感数据不要存 标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp:jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
3.第三部分:Signature(签名)

在这里插入图片描述

可能你就会问了,那么别人在你浏览器获取你的payload怎么办?答案:就算你获取了payload那么你也只能模拟,篡改不了的,因为他有签名的:

在这里插入图片描述

三、JWT优缺点

优点:

  1. 无需再服务器存放用户的数据,减轻服务器端压力
  2. 轻量级、json风格比较简单
  3. 跨语言
    缺点:
    jwt一旦生成后期无法修改:
  4. 无法更新jwt有效期
  5. 无法销毁一个jwt
    jwt 90天以后过期 提前60天过期(这种就改不了,因为jwt存在客户端,后期无法修改的。这是Token就有点优势了,因为token存在redis,你只要把redis清除了就可以改了

四、JWT的应用场景

前端分离项目、(移动app、小程序、H5)
Base64
Base64不是加密和解密 主要是 编码和解码 基于64个可打印字符来表示二进制数据
https://baike.baidu.com/item/base64/8545775?fr=aladdin
https://base64.us/
header 头部:
{
“typ”:“jwt”,
“alg”:“HS256”
}
ewoidHlwIjoiand0IiwKImFsZyI6IkhTMjU2Igp9
playload 存放的数据
{
“userName”:“mayikt”,
“age”:“28”
}
cGxheWxvYWQ=
secret=Base64(header .playload)
https://base64.us/

五、MD5:

在这里插入图片描述

六、简单手写jwt 和破解

获取到盐就可以破解了,所以盐一定不要被别人知道

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.codec.digest.Md5Crypt;

import java.io.UnsupportedEncodingException;
import java.util.Base64;

public class JWTDemo04 {

    public static void main(String[] args) throws UnsupportedEncodingException {
        String jwtSecret="mayikt"; //盐存在服务器中的
        // jwt jwtHeader
        JSONObject jwtHeader = new JSONObject();
        jwtHeader.put("alg","HS256");
        jwtHeader.put("typ","jwt");
        // jwt playload 
        JSONObject jwtPlayload = new JSONObject();
        jwtPlayload.put("userName","yushengjun644");
        jwtPlayload.put("age",22);
        //base64JwtHeader
        String base64JwtHeader= Base64.getEncoder().encodeToString(jwtHeader.toJSONString().getBytes());
        String base64JwtPlayload= Base64.getEncoder().encodeToString(jwtPlayload.toJSONString().getBytes());
        // 使用MD5 生成签名 后面再加盐(存在服务器,所以别暴力破解不了)
        String signature = DigestUtils.md5Hex(jwtPlayload.toJSONString() + jwtSecret);
        String jwt=base64JwtHeader+"."+base64JwtPlayload+"."+signature;
        System.out.println(jwt);
        // 解密
        String jwtPlayloadStr=new String(Base64.getDecoder().decode(jwt.split("\\.")[1].getBytes()),
                "UTF-8");
        String jwtsignatureStr=jwt.split("\\.")[2];
        System.out.println(DigestUtils.md5Hex(jwtPlayloadStr+jwtSecret).equals(jwtsignatureStr)); //获取到盐就可以破解了,所以盐一定不要被别人知道
      

    }
}

下面可以不用看了:
实际项目整合jwt

maven依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.6.0</version>
</dependency>

登录接口:

package com.mayikt.api.member;/*
* 作    者 :蚂蚁课堂-余胜军
* 版 本 号 :v1.0.0.0
*******************************************************************
* 版权由每特教育-蚂蚁课堂-余胜军所有 微信yushengjun644 QQ644064779
* 官方网址:www.mayikt.com 
*******************************************************************
//----------------------------------------------------------------*/

import com.alibaba.fastjson.JSONObject;
import com.mayikt.api.base.BaseApiService;
import com.mayikt.api.base.BaseResponse;
import com.mayikt.api.member.dto.req.UserLoginDto;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestParam;

public interface JWTLoginService {
    /**
     * jwt登录的方式
     *
     * @return
     */
    @PostMapping("loginJwt")
    BaseResponse<JSONObject> loginJwt(@RequestBody UserLoginDto userLoginDto);

    /**
     * jwt 验证
     *
     * @return
     */
    @GetMapping("jwtVerification")
    BaseResponse<JSONObject> jwtVerification(@RequestParam("jwt") String jwt);
}

package com.mayikt.api.impl.member;/*
* 作    者 :蚂蚁课堂-余胜军
* 版 本 号 :v1.0.0.0
*******************************************************************
* 版权由每特教育-蚂蚁课堂-余胜军所有 微信yushengjun644 QQ644064779
* 官方网址:www.mayikt.com 
*******************************************************************
//----------------------------------------------------------------*/

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.mayikt.api.base.BaseApiService;
import com.mayikt.api.base.BaseResponse;
import com.mayikt.api.impl.entity.UserInfoDo;
import com.mayikt.api.impl.mapper.UserInfoMapper;
import com.mayikt.api.impl.utils.MayiktJwtUtils;
import com.mayikt.api.member.JWTLoginService;
import com.mayikt.api.member.dto.req.UserLoginDto;
import com.mayikt.api.utils.MD5Util;
import io.jsonwebtoken.Claims;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class JWTLoginServiceImpl extends BaseApiService<JSONObject> implements JWTLoginService {
    @Autowired
    private UserInfoMapper userInfoMapper;

    @Override
    public BaseResponse<JSONObject> loginJwt(UserLoginDto userLoginDto) {
        // 验证参数
        String mobile = userLoginDto.getMobile();
        if (StringUtils.isEmpty(userLoginDto.getMobile())) {
            return setResultError("mobile 不能为空!");
        }
        String passWord = userLoginDto.getPassWord();
        if (StringUtils.isEmpty(userLoginDto.getPassWord())) {
            return setResultError("passWord 不能为空!");
        }
        // md5加密
        String newPassWord = MD5Util.MD5(passWord);
        QueryWrapper<UserInfoDo> userInfoDoQueryWrapper = new QueryWrapper<>();
        userInfoDoQueryWrapper.eq("MOBILE", mobile);
        userInfoDoQueryWrapper.eq("PASSWORD", newPassWord);
        UserInfoDo userInfoDo = userInfoMapper.selectOne(userInfoDoQueryWrapper);
        if (userInfoDo == null) {
            return setResultError("手机号码或者密码错误");
        }
        // 生成jwttoken
        String jwt = MayiktJwtUtils.generateJsonWebToken(userInfoDo);
        JSONObject data = new JSONObject();
        data.put("jwt", jwt);
        return setResultSuccess(data);
    }

    @Override
    public BaseResponse<JSONObject> jwtVerification(String jwt) {
        if (StringUtils.isEmpty(jwt)) {
            return setResultError("jwt is null");
        }
        Claims claims = MayiktJwtUtils.checkJWT(jwt);
        if(claims==null){
            return setResultError("jwt error");
        }
        return setResultSuccess();
    }

}

http://127.0.0.1:7000/jwtVerification?jwt=

七、Jwt如何实现注销

  1. 浏览器cookie清除(但是服务器还是存在)
  2. 建议将时间设置稍微短一点

jwt有效期 90天 无法提前过期 (无法实现提前过期的,所以我们的jwt尽可能设的有效期短点
jwt 有效期180天 用户退出

本文来源:B站余胜军的,仅供本人复习使用

基于redis+jwt+MD5实现登录功能
大叔的博客
03-21 1633
1.导入依赖 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <!--像Md5加密呀--> .
tokenjwt区别
qq_43518966的博客
11-05 1157
Token是一个广义的概念,可以有多种实现方式。JWT是一种具体的 Token 实现方式,具有固定的结构、内置的签名机制无状态特性,适用于分布式系统 API 授权。希望这个解释对你理解TokenJWT区别有所帮助!
tokenJWT token区别、登录安全、页面权限、数据权限、单点登录
感冒石头的博客
09-27 4535
包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等 2)Plubic Claims, 3)Private Claims,交换信息的双方自定义的声明 { "sub": "1234567890", "name": "John Doe", "admin": true } 同样经过Base64Url编码后形成第二部分。{ "alg": "HS256", "typ": "JWT" } 这会被经过base64Url编码形成第一部分。
数据库拓展---MD5
凯大爷
09-01 307
> MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2
使用token+MD5+JWT实现登录注册
m0_55746729的博客
07-01 2511
使用token+MD5+JWT实现登录注册
koa+jwt实现token验证与刷新功能
10-16
const psdMd5 = crypto.createHash('md5').update(user.password).digest('hex'); if (user.password === psdMd5) { const token = jwt.sign(user, secret, { expiresIn: '1h' }); ctx.body = { token }; } } ...
JWT产生验证Token
热门推荐
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
JWT Token+geteway网关实现登录验证
weixin_47125615的博客
10-27 1448
随着 Restful API、微服务的兴起,基于 Token 的认证现在已经越来越普遍。基于token的用户认证是一种服务端无状态的认证方式,所谓服务端无状态指的token本身包含登录用户所有的相关数据,而客户端在认证后的每次请求都会携带token,因此服务器端无需存放token数据。 当用户认证后,服务端生成一个token发给客户端,客户端可以放到 cookie 或 localStorage 等存储中,每次请求时带上 token,服务端收到token通过验证后即可确认用户身份。 JWT 一个加密的工具类
tp6 JWT token认证
xy_702593469的博客
11-30 1656
public static function createjwt($userid=null) { //t的签发密钥,验证token的时候需要用到 $key = md5(env('TOKEN.key',"pyg")); //签发时间 $time = time(); //过期时间 $expire = $time + 14400; $token = array( "user_id" => $userid, //签发组织.
SpringBoot整合JWTMD5实现单点登录
weixin_45734473的博客
10-20 2953
SpringBoot整合JWTMD5实现单点登录
JWTMD5与登录机制详解
uuukkyo的博客
08-02 1072
通过JWTMD5以及有效的登录机制,我们能够在Web应用中实现更安全、高效的用户身份验证数据传输。尽管安全是一个持续演进的过程,但是采用这些现代安全技术可以大大提升Web应用的安全性用户体验,为开发者用户提供更可靠的保障。通过本文的介绍,希望读者能够对JWTMD5以及登录机制有更深入的理解,并在实际应用中运用这些技术来增强其Web应用的安全性。
【密码学】MD5、UUID,加盐,JWT的理解与使用范例
m0_70083523的博客
12-17 3428
UUID 是通用唯一识别码(Universally Unique Identifier)的缩写,是一种软件建构的标准,亦为开放软件基金会组织在分布式计算环境领域的一部分。其目的,是让分布式系统中的所有元素,都能有唯一的辨识信息,而不需要通过中央控制端来做辨识信息的指定。如此一来,每个人都可以创建不与其它人冲突的UUID。在这样的情况下,就不需考虑数据库创建时的名称重复问题。
什么是 Token MD5
记录一位C++爱好者的笔记
11-28 1058
讲解TokenMD5还有Base64.并给出了简单的Token生成程序
JWT Token的生成解析及MD5加/解密
weixin_45305706的博客
06-15 2501
JWT Token的生成解析及MD5加/解密jwt Token生成工具类, 及MD5加密解密工具类JwtToken类AES加密,解密Base64Method类3. 上面代码使用了Cipher类实现加密MD5Utils工具类 jwt Token生成工具类, 及MD5加密解密工具类 生成的工具类, 网上很多; 我记录下我用的, 代码如下: JwtToken类 package com.common; import java.util.Calendar; import java.util.Date; i
令牌工具类(Jwt Md5随机盐值加密
m0_54597180的博客
01-30 730
令牌工具类(Jwt
微服务实战(十七)微服务Token的实现: MD5简易TokenJwtJwt结合AES加密
看山不是山
03-13 7773
关于Token (令牌) 说起令牌,仿佛回到了封建时代,一掏出令牌,其他人都知道你是什么身份了。 而在web系统中,前后端的业务交互也往往需要附带身份数据,先姑且把这个数据统称为Token (令牌) 。 面向有状态HTTP请求:在前后端不分离的模式下,这个Token实际上是 jsessionId,存储在前端的cookies中,后端根据请求者cookies里的jsesssionId获取到服务...
MD5工具类的编写JWT工具类的编写
Jjw的博客
04-01 3817
密码往往不便直接存放在数据库中,所以需要写一个MD5工具类,下面是写法 import java.security.MessageDigest; /** * 通用工具类 */ public class CommonUtils { /** * MD5加密工具类 * @param data * @return */ public static String MD5(String data) { try {
重定向转发,用户登陆操作,MD5介绍,token的作用,接口,Cookie,Session,编辑配置类,数据的自动填充创建时间/修改时间,事务说明,全局异常的处理机制,正则表达式
鬼道迷踪的博客
08-07 991
1.1 转发问题 说明: 用户访问服务器,但是目标服务器无法处理该请求,由服务器内部将请求交给其他服务器处理. 这个过程称之为转发. 1.2 重定向问题 说明: 用户访问服务器,但是目标服务器无法处理该请求,目标服务器返回一个能够处理请求的网址.由用户再次发起请求,访问服务器获取数据. 1.3路由关键字 1. redirect 路由的重定向 需求: 要求用户访问 "/"根目录 要求重定向到 "/user"请求路径中. 2.修改前端服务器端口号 脚手架 参数里修改在任务里 ...
tokenmd5
最新发布
weixin_71694051的博客
06-08 389
代表“用户是谁”,用于身份认证权限校验。
jwtmd5加密的区别
09-21
JWT(JSON Web TokenMD5加密是两种完全不同的概念用途。 JWT是一种用于在用户服务器之间传递安全可靠信息的开放标准。它是一种基于JSON的令牌,由三部分组成:头部、载荷签名。头部包含用于指定签名算法的信息,载荷包含实际传输的数据,签名用于验证数据的完整性真实性。JWT主要用于身份验证授权。 而MD5加密是一种常用的哈希算法,它将任意长度的数据映射成固定长度的哈希值。MD5加密后的结果是不可逆的,即无法通过哈希值还原出原始数据。MD5主要用于对密码等敏感信息进行加密处理,在数据传输或存储过程中提高安全性。 所以,JWTMD5加密的区别在于:JWT是一种用于在用户服务器之间传递信息的开放标准,用于身份验证授权;而MD5加密是一种哈希算法,用于对数据进行加密处理。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值