JWT

最新推荐文章于 2025-12-17 19:02:04 发布
原创 最新推荐文章于 2025-12-17 19:02:04 发布 · 188 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jwt

本文介绍了JWT(JSON Web Token)的基本概念,包括其主要结构(header、payload、signature)及其具体实现方式。详细阐述了JWT各组成部分的作用及编码过程,并提供了Header与Payload类的实现代码。

JWT的具体实现

1. JWT主要结构

形式:heder.payload.signature
三部分通过圆点(.)连接,形如:xxxxx.yyyyy.zzzzz

  • header

    由 token类型(type) + 算法名称组成
    需要将该header部分进行编码(Base64Url)

  • payload

    负载 主要是存放一些有效信息,比如jwt签发者、签发时间、过期时间、还可以添加用户的信息(用户名、用户)等。
    需要将该payload部分进行编码(Base64Url)

    负载部分建议(不强制)包含以下几个部分面 
	iss: jwt签发者
	sub: jwt所面向的用户
	aud: 接收jwt的一方
	exp: jwt的过期时间,这个过期时间必须要大于签发时间
	nbf: 定义在什么时间之前,该jwt都是不可用的.
	iat: jwt的签发时间
	jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
	可以添加任何信息,但一般添加的是与用户相关的非私密的信息(用户名、用户id等)
  • signature

    由 header + payload + secret 通过header中声明的算法生成
    生成signature方式:HS256(Base64Url(header) + “.” + Base64Url(payload), signature)
    这里的签名算法是在header中所声明的算法

2. JWT的具体实现

2.1 创建Header类

 @Data
 public class Header {
     /**
      * 确定加密算法
      */
     private String alg;
     /**
      * 令牌类型
      */
     private String typ;
 
     public Header() {
     	//一般jwt使用的算法为 HMAC SHA256
         alg = "HS256";
         //令牌(token)类型为 JWT
         typ = "JWT";
     }
 
     public Header(String alg, String typ) {
         this.alg = alg;
         this.typ = typ;
     }
     /**
      * @return String
      */
     public String toJson() {
         return JSON.toJSONString(this);
     }
 
     /**
      *	JWT的header是需要进行编码(Base64Url)的
      * @return String
      */
     public String toJSONBase64URL() {
         return Base64.getUrlEncoder()
                 .withoutPadding()
                 .encodeToString(this.toJson().getBytes(StandardCharsets.UTF_8));
     }
}

2.2 创建Payload类

@Data
@NoArgsConstructor
public class Payload {
    /**
     * 签发者
     */
    private String iss;
    /**
     * 过期时间戳,该时间应该大于创建时间
     */
    private Long exp;
    /**
     * 当前创建时间,即JWT签发时间
     */
    private Long iat;
    /**
     * userId
     */
    private Long id;
    /**
     * 用户名
     */
    private String name;
  
    public Payload(String iss, Long exp, Long iat, Long id, String name){
        this.iss = iss;
        this.exp = exp;
        this.iat = iat;
        this.id = id;
    }

    /**
     * @return String
     */
    public String toJson() {
        return JSON.toJSONString(this);
    }

    /**
     * 同理,对payload部分进行编码
     * @return String
     */
    public String toJsonBase64Url() {
        return Base64.getUrlEncoder()
                .withoutPadding()
                .encodeToString(this.toJson().getBytes(StandardCharsets.UTF_8));
    }
}

2.3 创建JWT工具类

public final class JwtUtils {

    /**
     * 3
     */
    private static final int THREE = 3;
    /**
     * 2
     */
    private static final int TWO = 2;

    private JwtUtils() {
    }

    /**
     * 生成jwt
     *
     * @param header  令牌头部
     * @param payload 负载
     * @param secret  密钥
     * @return String
     */
    public static String encoder(Header header, Payload payload, String secret) {
    	//将header、payload进行Base64Url编码
        String headerJsonBase64Url = header.toJSONBase64URL();
        String payloadJsonBase64Url = payload.toJsonBase64Url();
        //生成signature,SHA256是加密工具类
        String signature = SHA256.hmacSha256(headerJsonBase64Url + "." + payloadJsonBase64Url, secret);
        return headerJsonBase64Url + "." + payloadJsonBase64Url + "." + signature;
    }

    /**
     * 解析jwt
     *
     * @param jwtString jwt内容
     * @param secret    密钥
     * @return Payload
     */
    public static Payload decoder(String jwtString, String secret) {
        String[] jwtStrings = jwtString.split("\\.");
        if (jwtStrings.length != THREE) {
            return null;
        }
        //验证是否有效
        String signature = SHA256.hmacSha256(jwtStrings[0] + "." + jwtStrings[1], secret);
        if (!signature.equals(jwtStrings[TWO])) {
            return null;
        }

        //解析成Payload
        String payloadJson = new String(Base64.getUrlDecoder().decode(jwtStrings[1].getBytes(StandardCharsets.UTF_8)));
        Payload payload = JSON.parseObject(payloadJson, Payload.class);

        return payload;
    }
}

2.4 创建加密工具类

该部分用到时,再去查找相应资料

3. 结语

该文章主要是记录在工作中的学习知识,第一篇博客;不足之处望见谅!!!

4. 参考资料

参考资料来源

ZWulle
关注
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT详解
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
Jwt
weixin_45174537的博客
09-06 1783
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 2. JWT的工作原理 1、是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:...
jwt
大屌的博客
08-17 9576
文章目录介绍JWT的验证过程实例 在之前的项目中,大部分网页是通过session来判断用户是否有权限来访问个别网页的,但是如果是SPA项目的话,前后端分离,客户请求的是前端,所以并不会保存数据到session,那该怎么办呢? 针对这一问题,可以使用jwt来解决! 介绍 JWT也就是JSON Web Token(JWT),是目前最流行的跨域身份验证解决方案。 JWT的组成: 一个JWT实际上就是一个...
详解JWT
汐泠的博客
09-12 1038
本文介绍了JWT的知识,包括JWT的介绍,结构,样式,进行身份认证的流程,优缺点。
常见JWT伪造漏洞
2302_80763455的博客
05-09 1659
JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接,他们分别是:Header、Payload、Signature,所以,常规的JWT内容格式是这样的:AAA.BBB.CCC。分配给我们的jwt是使用rs256进行加密的,验证的jwt是直接使用public验证,那么我们可以直接使用只需要一个钥匙的hs256算法,当我们得到了public.key,直接使用hs256生成jwt即可。比较RS256和ES256两种算法,在安全性方面,两种算法都是非常安全的。
JWT产生和验证Token
热门推荐
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
JWT鉴权
wdy00000的博客
04-25 2147
文章目录一、什么是JWT二、JWT能做什么三、JWT介绍以及和传统Session的区别1)基于传统的Session认证2)基于JWT认证四、JWT的构成和认证流程五、JWT的优缺点 一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a
JWT详细教程与使用
Top_L398的博客
10-29 12万+
JWT JSON Web Token(JSON Web令牌) 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 JWT作用: 授权:一旦用户登录,每个后续请求将包
基于Thinkphp的JWT认证库JWT-AUTH设计源码
09-26
基于Thinkphp的JWT认证库JWT-AUTH设计源码涉及了多个方面的知识点。首先,它基于一个流行的PHP开发框架Thinkphp,这是开发过程中需要掌握的一个重要知识点。Thinkphp框架的优点在于它简洁实用,具有丰富的文档和强大...
精选资源
在 .NET 9.0 Web API 中实现 Scalar 接口文档及JWT集成
02-20
在.NET 9.0 Web API中集成Scalar接口文档和JWT是一项非常实用的技术实践,它允许开发者在构建Web API的同时,也能够提供一个详尽的接口文档,并且通过JWT(JSON Web Tokens)来实现安全的用户认证机制。随着Swagger...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
精选资源
网络安全 - JWT 密钥爆破 - CrackingJWTKeys.py
09-29
JWT(JSON Web Token)是一种广泛用于身份验证和信息交换的开放标准。然而,JWT的安全性在很大程度上依赖于其签名的有效性,而签名的有效性又依赖于密钥的保密性。因此,保护JWT密钥不被破解至关重要。`...
XML Schema 日期/时间 数据类型
csbysj2020的博客
12-11 551
datedateTimetimegYeargYearMonthgDaygMonthgMonthDayduration这些数据类型分别表示不同的日期和时间范围,适用于不同的应用场景。本文介绍了 XML Schema 中日期/时间数据类型的相关概念、类型、格式以及注意事项。通过了解这些知识,有助于我们在 XML 文档中正确地表示日期和时间数据,提高数据的一致性和准确性。
车载系统应用开发集成系统API
yangyulong0622的博客
12-16 195
车载开发中,为了快速迭代常将系统应用剥离为普通应用开发,但调用系统API时反射效率低。解决方法是通过集成framework.jar,但会遇到编译报错问题。通用方案是在gradle中配置bootstrapClasspath引入jar包。当使用高版本JDK时,必须强制指定模块使用JDK8并关闭lint检查才能生效。关键步骤:先加载jar包到工程,再设置模块JDK版本为1.8。
JAVA设计模式之观察者模式
最新发布
pingguocu3的博客
12-17 248
在我们开发的过程中,经常会遇到一些当什么什么事情发生的时候,然后做什么什么事。比如某种商品的物价上涨时会导致部分商家高兴,而消费者伤心。平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。著作权归作者所有,转载或内容合作请联系作者。
MyBatis-Plus 单元测试中 Lambda Mock 的坑与解决
qq_43657722的博客
12-17 1078
本文总结了 MyBatis-Plus 在单元测试中使用 LambdaWrapper 时常见的 Lambda 缓存异常问题,分析其根源在于 Mock 环境缺失真实上下文。通过精简示例说明为何 any(LambdaWrapper.class) 易出错,并给出使用 any() 的稳定解决方案,强调单元测试应聚焦业务逻辑、避免过度关注 SQL 与 Lambda 细节。
命令执行漏洞 (RCE) 渗透测试实战指南
weixin_45631123的博客
12-15 322
Burp Suite 或 OWASP ZAP 抓包工具、授权测试环境。:Burp Collaborator 或公网DNS服务器。:Java Web应用,可注入Java代码。:安装ysoserial工具、Java环境。:安装Commix、Python3环境。:识别表单输入点(如登录框):无回显但命令执行成功时。:确认RCE漏洞存在。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值