Java使用JWT

最新推荐文章于 2024-10-29 17:56:02 发布
原创 最新推荐文章于 2024-10-29 17:56:02 发布 · 837 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jwt

本文深入解析JWT(JsonWebToken)的原理,包括其结构(Header, Payload, Signature)和使用场景。阐述了JWT在授权和信息交换中的作用,并对比了传统Session认证的优缺点。此外,通过示例展示了JWT的生成与验证过程,以及在SpringBoot项目中的应用。最后,讨论了JWT认证中可能出现的异常情况及其处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文学习了网络上的视频资源 此处

什么是JWT(Json Web Token)?

在这里插入图片描述
一种规范、思想

JSON Web令牌

官方解释

JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

什么时候应该使用 ?

  • 授权
  • 信息交换

为什么要使用JWT认证

传统的Session认证

认证方式 我们向服务器发送请求 为了应用能识别是哪个用户发出的请求,我们只能在服务器端存储一份用户的登录信息,会再响应时传递给浏览器,让其保存为cookie,以便下次请求时发送给我们的应用。就可以识别出哪个用户了。 请求应用携带cookie找到对应的session。

传统session示例

创建一个springboot项目
在这里插入图片描述
创建一个controller 模拟放入session情况

/**
 * @create: 2021/8/25
 * @author: Tony Stark
 */
@RestController
public class TestController {
    @GetMapping("/test/test")
    private String test(String username, HttpServletRequest request){
        //校验成功之后  把用户信息放到session中
        request.getSession().setAttribute("username",username);
         return "login ok!";
    }
}

那么传统的session认证有什么问题呢?

每个用户认证之后,服务端都会做一次记录,通常我们的session都是保存在内存中的,认证的用户越多,服务端的压力就会增大。

我们认证之后,认证的记录被保存在内存中时,意味着下次用户要验证成功还要访问这台服务器,如果是分布式应用就限制了相应的能力

如果我们的cookie被获取了是很危险的

JWT认证简单流程

1.前端通过Web表单将自己的用户名和密码发送到后端接口 POST请求

2.后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload负载 对其进行编码之后形成JWT(Token)

3.后端将JWT字符串作为返回值返回给前端,前端将返回的结果保存 ,退出登录时删除即可

5.前端每次请求时将JWT放入HTTP Header 头中的Authorization 授权位中

6.后端检查是否存在 , 正确性 。

7.验证通过后后端使用JWT中包含的用户信息进行操作,返回结果。

JWT结构

1.标头(header)

2.有效载荷(Payload)

3.签名(Singnature)

通常形式 header.Payload.Signature

1.header

两部分组成 : 令牌类型(JWT)和所使用的签名算法,例如HMAC、、、等 会使用Base64编码组成JWT第一部分。 默认值就是下列值 一般我们不做修改

{
    "alg":"HS256",
    "typ":"JWT"
}

2.payload

有效负载,其中包含声明 ,声明是用户和其他数据的声明。也会使用base64编码,官方建议不要放敏感信息,密码等等、、

{
    "name": "Tom",
    "admin":"root"
}

3.Singnature签名

签名需要使用前两部分base64编码后的密文+一个密钥 用header中指定的算法进行签名,用于保证JWT没被篡改过。

使用JWT
第一步 引入jwt依赖

<!--引入JWT依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

获取签名

编写测试类

@Test
void testJwtCreate() {
    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.SECOND, 5);
    String token = JWT.create()
            //头可以不指定一般用默认值
            .withClaim("username", "张三")//payLoad
            .withClaim("userId", 1)
            .withExpiresAt(instance.getTime()) //指定令牌的过期时间
            .sign(Algorithm.HMAC256("qweqwrpf1")); // Singnature
         //Algorithm.ECDSA256()使用哪种加密算法  括号中写自己指定的密钥

    System.out.println(token);
}

输出结果

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2Mjk5NDMwNDgsInVzZXJJZCI6MSwidXNlcm5hbWUiOiLlvKDkuIkifQ.tEu5AI2-XDrHy5X7xyTthAOJVPg_GaU5q2-yViDq-7c

验证签名

@Test
    public void testRequire() {
        //require  解密    传入加密的签名
        //创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("qweqwrpf1")).build();
        //使用验证对象中的验证方法  传入生成的JWT串  会返回一个解码的JWT
        DecodedJWT decodedJWT = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2Mjk5NDcxNzQsInVzZXJJZCI6MSwidXNlcm5hbWUiOiLlvKDkuIkifQ.qZQwSXhf6omVuAOPGy1DFrOHR5NMF9nYaFIoS1qLgt4");
        //获取解码之后的数据信息
        System.out.println(decodedJWT.getPayload());
        System.out.println("userId为 : "+decodedJWT.getClaim("userId").asInt());
        System.out.println(decodedJWT.getClaims());
        //获取过期时间
        System.out.println("过期时间为 : "+decodedJWT.getExpiresAt());
    }

输出

eyJleHAiOjE2Mjk5NDcxNzQsInVzZXJJZCI6MSwidXNlcm5hbWUiOiLlvKDkuIkifQ
userId为 : 1
{exp=com.auth0.jwt.impl.JsonNodeClaim@67080771, userId=com.auth0.jwt.impl.JsonNodeClaim@72cde7cc, username=com.auth0.jwt.impl.JsonNodeClaim@5fd4f8f5}
过期时间为 : Thu Aug 26 11:06:14 CST 2021

几种异常判断

解码会先判断算法如果算法不一致会抛出异常

com.auth0.jwt.exceptions.AlgorithmMismatchException

签名不一致

SignatureVerificationException

签名过期异常

TokenExpiredException
功能篇:JAVA使用jwt
qq_34207898的博客
12-09 1471
以上就是使用Java实现JWT认证的基本步骤。根据你的具体需求,你可能还需要调整上述代码。你需要一个API端点来接收用户凭证,并在验证成功后返回一个JWT。这个过程通常涉及到对用户名和密码的校验,然后如果它们是正确的,就生成并返回一个JWT。最后,你需要创建一个过滤器来拦截请求并验证JWT。首先,你需要在项目中添加JWT库的依赖。接下来创建一个工具类来处理JWT的创建和解析。### 3. 实现登录接口,生成JWT。### 4. 实现过滤器,验证JWT。4. 实现过滤器,验证JWT。2. 创建JWT工具类。
JavaWeb】JWT
小秀的博客
07-30 451
【代码】【JavaWeb】JWT
java JJWT
记录点滴
07-15 1281
实际上就是一个字符串: 由三部分组成 (1)头部 - header: 描述该JWT的最基本的信息,如:类型(即JWT)以及签名所用算法 { "alg": "HS256", "typ": "JWT" } typ:类型 alg:签名的算法,这是使用的算法是HS256 会对头部进行 BASE64编码,编码格式如下: dsHHKLjklljLKJ678jklHJKjhJK657hjk (2)载荷 - payload 存放有效信息的地方。 分三部分 标准声明:...
Java使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT所需的jar包
10-18
JWT所需的jar包
Java使用JWT实现Token认证机制
最新发布
pan_junbiao的博客
10-29 2425
JWT(JSON Web Token)是一种用于在网络上安全地传输信息的简洁的、URL 安全的表示方法,它定义了一个紧凑且自包含的方式,用于不同实体之间安全地传输信息(JSON格式)。JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效载荷)和 Signature(签名)。JWT是一种简单、安全、便捷的身份验证和授权机制,在现代Web应用程序中得到广泛应用。然而,在使用JWT时也需要注意其安全性问题,并采取相应的措施来确保JWT的安全性和完整性。
java 使用jwt
09-03
Java使用JWT,你可以通过使用不同的开发语言实现JWT标准。Java中推荐使用JWT实现库是java-jwt。你可以使用Maven导入java-jwt库,并使用相应的代码生成加密的Token。例如,可以使用JWT.create()函数设置过期...
java使用JWT
weixin_45052750的博客
04-07 442
引入依赖 官网上面链接很多java实现,这里使用java-jwt <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> </dependency> ...
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
nodejs jwt java_NodeJs使用jwt生成token以及使用express-jwt校验和解密token
weixin_30744613的博客
02-27 890
/注:校验token,获取headers⾥里里的Authorization的token方法,要写在路由加载之前,静态资源之后app.use(expressJWT({secret: PRIVATE_KEY}).unless({path: ['/api/user/register','/api/user/login'] //⽩白名单,除了了这⾥里里写的地址,其他的URL都需要验证}));一、生成tok...
nodejs jwt java_Nodejs-JWT token认证
weixin_39942351的博客
02-27 210
一、为什么要使用Token?在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。在很多项目案例中,需要实现账户的功能,客户端所有的功能都基于用户已登陆的前提...
Java JWT
XY02120624的博客
02-17 508
Java JWT 笔记
JAVA 实现 JWT
weixin_43966635的博客
08-20 2407
引入JWT依赖,由于是基于Java,所以需要的是java-jwt <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 自定义注解用于判断是否需要验证 用来跳过验证的PassToken @.
JwtUtiles 生成token工具类
hwt1070359898的博客
11-15 913
package com.sense.fircloud.common.util; import com.sense.fircloud.common.exception.BusinessException; import com.sense.fircloud.common.result.RespCode; import io.jsonwebtoken.*; import org.springframework.util.StringUtils; import javax.crypto.spec.Secre.
Java实现JWT令牌技术
m0_67713667的博客
04-03 979
实现jwt
Java使用JWT 介绍和工具类
ZM_Crazy的专栏
02-02 1085
JWT一、简介1、JWTJWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。2、JWT结构JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。
JWT快速入门及所需依赖
hhhhhh的博客
12-16 6434
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
nodejs jwt java_以nodejs为例简单使用JWT令牌安全重置密码过程
weixin_34688479的博客
02-27 377
原标题:以nodejs为例简单使用JWT令牌安全重置密码过程你的网站是否仍通过电子邮件发送密码提醒?通常情况下密码可以以纯文本格式存储,也可以解密,而不是使用更强大,更安全的单向加密。当你的应用程序的用户忘记了密码时,可以并且应该安全地重置密码。为了完成安全的密码重置,我们回家大家如何使用JSON Web令牌(JWT)生成URL安全令牌。JWT包含关于用户的编码信息和签名,当解码时,该签名被验证以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值