权限验证-JWT认证

最新推荐文章于 2025-10-30 18:34:50 发布
原创 最新推荐文章于 2025-10-30 18:34:50 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jwt #权限认证

JWT是一种安全的身份验证机制,由三部分组成,用于在不同服务间安全传输信息。它常用于用户登录后的授权认证。文中提供了JWT的创建和解析示例,使用了jjwt库,并展示了如何设置有效期、签名以及如何从JWT中提取信息。

JWT

1. 什么是JWT?

JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;

2. JWT有什么用?

JWT最常见的场景就是授权认证,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都要先进行JWT安全校验,通过后在进行处理;

3. JWT的组成

JWT右3部分组成,使用.进行拼接。

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwicm9sZSI6ImFkbWluIiwic3ViIjoiYWRtaW4tdGVzdCIsImV4cCI6MTY4NjU0MDczMSwianRpIjoiOTc2MGY2MjUtMmM1ZS00YzgzLWE4M2QtYTY3MDY4YmFkZTNhIn0.wJDEgWculFDYcY_xFLqOIKEQU38L-JF2NT5ls4yBWwE

这三部分分别是:

  • Header

    {
    'typ': 'JWT',
    'alg': 'HS256'
}

  • Payload(有效信息的存放点)

    {
    'sub': '123456',
    'name': 'john',
    'admin': true
}

  • Signature

    var encodeString = base64UrlEncode(header)+'.'+base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secure'); //这里的secure就是盐

4. 依赖引入

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

5. JWT实现

package org.example;

import io.jsonwebtoken.*;
import org.junit.jupiter.api.Test;

import java.util.Date;
import java.util.UUID;

public class JwtTest {

    //有效期
    private final long expiration = 1000 * 60 * 60 * 24; //一天
    //加密key
    private final String secureKey = "admin";

    @Test
    public void jwt(){
        //获取JWT构造对象
        JwtBuilder jwtBuilder = Jwts.builder();
        String jwtToken = jwtBuilder
            //header
            .setHeaderParam("typ", "jwt")
            .setHeaderParam("alg", "HS256")
            //payload
            .claim("username", "zhangsan")
            .claim("role", "admin")
            .setSubject("admin-test") //主题
            .setExpiration(new Date(System.currentTimeMillis() + expiration))//有效期:一天
            .setId(UUID.randomUUID().toString())//id
            //signature
            .signWith(SignatureAlgorithm.HS256, secureKey)
            //将上面的三部分:header、payload、signature拼接成一个字符串
            .compact();
//        System.out.println(jwtToken);
    }

    @Test
    public void parser(){
        //jwt token
        String jwtTokenString = "eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwicm9sZSI6ImFkbWluIiwic3ViIjoiYWRtaW4tdGVzdCIsImV4cCI6MTY4NjU0MDczMSwianRpIjoiOTc2MGY2MjUtMmM1ZS00YzgzLWE4M2QtYTY3MDY4YmFkZTNhIn0.wJDEgWculFDYcY_xFLqOIKEQU38L-JF2NT5ls4yBWwE";
        //获取JWT解密对象
        JwtParser jwtParser = Jwts.parser();

        Jws<Claims> claimsJws = jwtParser
                .setSigningKey(secureKey)//传入加密时的key
                .parseClaimsJws(jwtTokenString);//将jwt token转换为一个集合
        //获取payload数据
        Claims payloads = claimsJws.getBody();
        //获取用户名
        System.out.println(payloads.get("username")); //zhangsan
        //有效期
        System.out.println(payloads.getExpiration());//Mon Jun 12 11:32:11 CST 2023

        JwsHeader headers = claimsJws.getHeader();
        System.out.println(headers.get("alg"));//HS256
    }
}
周巴帝
关注
单点登录认证系统-SpringBoot-Mybatis-Redis-JWT-React-TypeScript-单点登录流程设计-用户认证中心-权限管理-会话缓存-分布式部署-前后端.zip
07-09
用户认证中心负责处理用户认证请求,生成和验证令牌,而权限管理则确保只有合适的用户才能访问特定的资源。会话缓存则优化了认证状态的存储和检索过程。 最后,分布式部署的方案使得系统能够水平扩展,提高处理能力...
shiro-jwt-oauth权限认证
11-11
客户端每次请求时将JWT放在请求头中,服务器通过验证JWT来确认用户身份。这种方式的优点是减少了服务器对session的依赖,适合分布式系统和微服务架构。 2. **基于Shiro-JWT-OAuth的认证方式**:这是更复杂的一种...
用户登录和权限认证之 —— JWT
qq_45770253的博客
11-23 3597
这里我会讲解 web 前端常用的用户登录和权限认证的方法 —— JWT,有错误希望指正 文章目录1、Cookie + Session① 概述② 流程图③ 校验步骤④ 存在的问题2、JWT① 流程图② 校验步骤③ 解读 token 中存储的内容④ 对 Swagger 一个功能的补充3、总结 1、Cookie + Session        在讲解 JWT 之前,我先介绍一下最简单的用户登录和权限认证方式:Cookie + Ses.
JWT权限验证
weixin_53216033的博客
06-29 1441
JWT,全称JSON Web Tokens,是一种开放标准(RFC 7519)定义的方式,用于在双方之间安全地传输信息。这些信息可以包括用户的身份信息、角色、权限等。JWT通过编码、签名等方式保证传输的信息的安全性和可验证性。JWT不是一种只能做权限验证的工具,而是一种标准化的数据传输规范,所以只要是在系统之间进行简短而又需要一定安全保护的数据传输都可以使用JWT规范来传输。而规范是不受平台限制的,所以JWT是可以跨平台使用的。在JWT中,Claim(生称)的用途主要是存储和传递用户身份信息和其他相关数据。
Shiro整合JWT实现认证权限鉴定(执行流程清晰详细)
最新发布
Helloqiyiguo的博客
10-30 1026
Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成一个Token令牌,通过安全管理器中的认证器进行校验,成功则授权以访问系统.(详细描述可以参考文章:Shiro基础)可以看到Shiro本身是可以实现认证功能的,默认Shiro是在subject.login()后将认证状态存入全局session中, 之后的请求会从这个session中拿这个登录状态。JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。
springBoot 的jwt实现权限认证
qq_45515347的博客
08-27 3434
jwt原理以及使用springboot实现一个简单实例
Spring Security Oauth2学习(二)
收破烂的小熊猫
11-25 372
Spring Security Oauth2(二) 认识JWT令牌 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次访问资源服务,资源服务都须携带令牌去认证服务中心请求验证令牌合法性,并根据令牌获取用户相关信息,性能低下。 这个时候的令牌只是作为唯一标识,并没有其他用途。 解决: 使用JWT的思路,用户认证通过会得到一个JWT令牌,JWT令牌中已经包含了...
基于Golang-Gin框架构建的高性能后台管理系统-集成权限控制-日志管理-模板引擎-自动分页-Docker部署-静态资源打包-性能监控-JWT认证-Redis日志持久化-HTT.zip
10-18
JWT认证(JSON Web Tokens)用于安全的用户身份验证,它通过紧凑的、自包含的方式在双方之间安全传递信息。JWT认证由于其轻量和易于使用,在现代Web应用中广泛使用。 Redis日志持久化是将系统运行中的日志信息存储...
django-cognito-jwt:适用于AWS Cognito JWT令牌的Django Rest框架的身份验证后端
01-29
它能够解析和验证JWT,然后将验证过的用户信息映射到Django的User模型,使得Django应用可以识别并处理AWS Cognito验证过的用户。这允许开发者构建与AWS Cognito无缝集成的API服务,无需自己实现复杂的JWT验证逻辑。 ...
JWT 使用 授权 认证
weixin_51689532的博客
09-11 775
JWT 使用 授权 认证
Springboot集成JWT token实现权限验证
liuyang___的博客
03-30 938
我又发现一个bug,因为我们每次点击前端的退出登陆的时候,这个token还是会留在浏览器的缓存里面,所以我们需要做一个退出登陆的时候,清除浏览器缓存的一个操作!设置完这个,我们发现请求头中多了一个token数据,这个token就是登录接口返回的token,在每一次的请求的时候,都会在请求头带上这个token,作为验证信息!这种后端的访问地址,他是直接可以访问我们的所有的用户数据的,这样是绝对不可以的,所以我们现在要写一个拦截器,将。我们现在设置完了会发现一个bug,因为我们的登录接口也被拦截了!
Jwt(Json web token)——使用token的权限验证方法 &amp; 用户+角色
2401_84267735的博客
04-17 1289
PrivsCheck.java文件/*** 定义注解*/
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 2382
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
带你从零学会---基于JWT的接口权限验证
Always-Learning
12-29 894
服务端配置JWT的方法 安装jsonwebtoken第三方工具包 npm i jsonwebtoken 引入jwt var jwt = require('jsonwebtoken'); 在控制器中生成token,并进行返回 router.get('/login', function (req, res, next) { var token = jwt.sign({ uid: '1', username: "zhangsan" }, 'this is sign', { expire
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2521
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
权限认证JWT
程序员架构进阶
06-03 407
一 背景 最近在做的一个项目中,需要自己开发权限与角色功能,所以就再次调研了一下认证和授权框架及方案,JWT也是其中之一。因此做本篇整理。 二 JWT简介及Token认证方案 2.1 简介 JWT,即JSON Web Tokens(JWT官网),也就是JSON结构的Web Token。完整描述参见rfc7519。 JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transfe...
Jwt 权限验证
lm759231639的博客
08-26 854
1.引入jwt需要的jar`` <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>2.2.0</version> </dependency> <depe...
Jwt(Json web token)——使用token的权限验证方法 & 用户+角色+权限表设计 & SpringBoot项目应用
Arya的博客,专注后端领域
08-08 3255
1.认证鉴权服务,注册中心,认证中心,鉴权中心; 2.用户,角色,权限表设计,数据库视图的使用; 3.项目中的应用,使用自定义注解+拦截器; 4.枚举类型的json化, @JsonFormat(shape = JsonFormat.Shape.OBJECT) @Getter
使用express-jwt-authz进行端点访问的JWT权限验证
资源摘要信息:"express-jwt-authz:验证JWT范围以授权对端点的访问" 知识点: 1. JWT概念:JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输声明。JWT的声明一般被用来在身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值