JWT学习(二):JWT在分布式SSO中的应用实例

最新推荐文章于 2025-03-26 10:19:57 发布
最新推荐文章于 2025-03-26 10:19:57 发布
阅读量2.8k 收藏 6
点赞数 5
分类专栏: 微服务 文章标签: JWT SSO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a18716374124/article/details/78475688
版权


上一篇文章讲解了JWT的基本简介,这一篇文章我就来实战一下。介绍一下在分布式单点登录中的使用方法:


首先来看一下Token实体类,

public class Token implements Serializable{
	private static final long serialVersionUID = -5391652691006115018L;
	
	/** 认证头 **/
	private Head head;
	/** 认证信息有效载荷 **/
	private Playload playload;
	
	/** 第一部分:base64head头 **/
	private String base64Head;
	/** 第二部分:base64playload荷载 **/
	private String base64PlayLoad;
	/** 第三部分:签证信息 **/
	private String signature;
	/** 最终token字符串 **/
	private String tokenStr;
	
	/**
	 * Token头
	 *
	 *
	 */
	public static class Head implements Serializable{
		private static final long serialVersionUID = -6516084948347601103L;
		
		/** token类型 **/
		private String typ = "JWT";
		/** token算法 默认:HMAC SHA256**/
		private String alg = "HS256";
		
		public String getTyp() {
			return typ;
		}
		public void setTyp(String typ) {
			this.typ = typ;
		}
		public String getAlg() {
			return alg;
		}
		public void setAlg(String alg) {
			this.alg = alg;
		}
	}
	
	/**
	 * Token有效载荷
	 * 
	 *
	 */
	public static class Playload implements Serializable {
		private static final long serialVersionUID = 3981890375700111920L;
		
		/** 该token签发者 **/
		private String iss;
		/** 该token的所有人,可以存放用户名 **/
		private String sub;
		/** 接收token的一方 **/
		private String aud;
		/** token的过期时间(时间戳),必须要大于签发时间;大于等于该时间需要刷新token **/
		private long exp;
		/** token生效的开始时间(时间戳),意味着在这个时间之前验证token是会失败的,默认生成token后立即生效 **/
		private long nbf;
		/** token的签发时间 时间戳**/
		private long iat;
		/** token的唯一身份标识,主要用来作为一次性token,从而回避重放攻击 **/
		private String jti;
		/** token验证宽限时间(时间戳) 超过宽限时间需要重新登录,  
		 * 即该token的真正存活时间,宽限时间的加入是为了解决并发token刷新后新token失效问题
		 * **/
		private long gra;
		/** token类型:  后台登录用户,互联网用户,第三方机构 **/
		private String typ;
		
		public String getIss() {
			return iss;
		}
		public void setIss(String iss) {
			this.iss = iss;
		}
		public String getSub() {
			return sub;
		}
		public void setSub(String sub) {
			this.sub = sub;
		}
		public String getAud() {
			return aud;
		}
		public void setAud(String aud) {
			this.aud = aud;
		}
		public long getExp() {
			return exp;
		}
		public void setExp(long exp) {
			this.exp = exp;
		}
		public long getNbf() {
			return nbf;
		}
		public void setNbf(long nbf) {
			this.nbf = nbf;
		}
		public long getIat() {
			return iat;
		}
		public void setIat(long iat) {
			this.iat = iat;
		}
		public String getJti() {
			return jti;
		}
		public void setJti(String jti) {
			this.jti = jti;
		}
		public long getGra() {
			return gra;
		}
		public void setGra(long gra) {
			this.gra = gra;
		}
		public String getTyp() {
			return typ;
		}
		public void setTyp(String typ) {
			this.typ = typ;
		}

		
	}

	public Head getHead() {
		return head;
	}
	public void setHead(Head head) {
		this.head = head;
	}
	public Playload getPlayload() {
		return playload;
	}
	public void setPlayload(Playload playload) {
		this.playload = playload;
	}
	public String getSignature() {
		return signature;
	}
	public void setSignature(String signature) {
		this.signature = signature;
	}
	public String getBase64Head() {
		return base64Head;
	}
	public void setBase64Head(String base64Head) {
		this.base64Head = base64Head;
	}
	public String getBase64PlayLoad() {
		return base64PlayLoad;
	}
	public void setBase64PlayLoad(String base64PlayLoad) {
		this.base64PlayLoad = base64PlayLoad;
	}
	public String getTokenStr() {
		return tokenStr;
	}
	public void setTokenStr(String tokenStr) {
		this.tokenStr = tokenStr;
	}
	
}

可以看到实体类里面包含了head payload signature这三部分。

然后用户登录成功之后创建token的代码如下:

public static Token createToken(String secret,String tokenId,TokenType tokenType,String userName) {
		try {
			Token token = new Token();
			//创建头
			Token.Head head = new Token.Head();
			head.setAlg("HS256");
			head.setTyp("JWT");
			
			//创建载荷
			//签发时间
			long iat = System.currentTimeMillis();
			//过期时间 20 分钟后过期
			long exp = iat + AuthConstants.TOKEN_EXP_TIME ;
			//最后存活时间
			long gra = iat + AuthConstants.TOKEN_GRA_TIME ;
			Token.Playload playload = new Token.Playload();
			playload.setAud("CLIENT"); //接收token的一方
			playload.setIat(iat); //签发时间
			playload.setExp(exp);
			playload.setGra(gra);
			playload.setIss("AUTH_CENTER");//签发者
			playload.setJti(tokenId); //token唯一身份标识
			playload.setNbf(iat);//生效时间,立即生效
			playload.setSub(userName); //token的所属者,可以存放用户名
			playload.setTyp(tokenType.toString().toUpperCase());
			
			//创建token
			String base64Head = Base64Util.encodeStr(JSONUtil.toJson(head) );
			String base64Playload = Base64Util.encodeStr(JSONUtil.toJson(playload) );
			String signature = HmacUtil.encryptHMACSHA256(base64Head+"."+base64Playload, secret); //token签名
			String tokenStr = base64Head+"."+base64Playload+"."+signature; //token字符串
			
			//组装token对象
			token.setHead(head);
			token.setPlayload(playload);
			token.setBase64Head(base64Head);
			token.setBase64PlayLoad(base64Playload);
			token.setSignature(signature);
			token.setTokenStr(tokenStr);
			return token;
		} catch (Exception e) {
			e.printStackTrace();
			logger.error("生成token失败:{}",e.getMessage());
		}
		return null;
	}

创建成功之后,要把token放到响应头中,setHeader方法name参数要用Authorization,value值要使用

"Bearer "+token。

然后用户访问需要权限的接口都需要在请求头加上token,因为使用了Spring Cloud微服务架构,因此请求

会统一通过API网关访问,所以需要在网关处验证token的合法性,使用下面这个parseToken的方法:

/**
	 * 验证并解析token
	 * @param token token字符串
	 * @param secret token签名的盐(密钥)
	 * @return 成功返回token ,失败返回ull
	 */
	public static Token parseToken(String token,String secret) {
		try {
			//判断token是否是合法格式的token串
			if(StringUtils.isEmpty(token)) {
				throw new AuthException("token串为空!");
			}
			if(StringUtils.isEmpty(secret)) {
				throw new AuthException("解析token时,token密钥为空!");
			}
			String[] tokens = token.split("\\.");
			if(tokens==null || tokens.length!=3) {
				throw new AuthException("非法格式的token串:"+token);
			}
			
			//token分解
			String base64Head = tokens[0].trim(); //token头
			String base64Playload = tokens[1].trim(); //token载荷
			String signature = tokens[2].trim(); //token签名
			//验证签名是否为合法的
			String signData = base64Head+"."+base64Playload;
			String signaturedStr = HmacUtil.encryptHMACSHA256(signData, secret.trim()); //token签名
			if(!signature.equals(signaturedStr)) {
				throw new AuthException("非法的token:解析token时,token验签失败!");
			}
			
			Token.Head head = JSONUtil.toBean(Base64Util.decodeStr(base64Head), Token.Head.class);
			Token.Playload playLoad = JSONUtil.toBean(Base64Util.decodeStr(base64Playload), Token.Playload.class);
			Token rs = new Token();
			rs.setHead(head);
			rs.setPlayload(playLoad);
			rs.setSignature(signature);
			return rs;
		} catch (Exception e) {
			e.printStackTrace();
			logger.error("解析token失败:{}",e.getMessage());
			return null;
		}
	}

使用JWT进行身份验证的基本方法的实例就到这里,没有接触过JWT的同学可以先看一下JWT

的简介:http://blog.youkuaiyun.com/a18716374124/article/details/78474955

【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
单点登录(SSO)、JWT、HTTP详解及实例演示
BaiKnow的博客
02-07 3950
单点登录(JWT) 作者:pox21s 1.HTTP 1.1 概述 超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求 - 响应协议,它通常运行在TCP之上。(1) 所谓的"协议"实际上就是双方约定好的"格式"让双方都能看得懂的东西,交互实际上就是"请求"和"响应"。 (1):在HTTP/3 使用的就是 UDP 协议 1.2 发展 HTTP/1.0 HTTP/1.0 成为最重要的面向事务的应用层协议。该协议对每一次请求/响应建立并拆除一次连接。默认
JWT实现分布式Session,三分钟搞定分布式结构服务部署发布
m0_60747327的博客
08-09 402
} >1、alg属性表示**签名的算法,默认算法为HS256**,可以自行别的算法。 >2、typ属性表示这个**令牌的类型**,JWT令牌就为JWT。 上面的JSON数据会通过**Base64算法**进行编码而成,看工具图 ![](https://upload-images.jianshu.io/upload_images/15590149-bd62303e35e4da17.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240) #
分布式应用的登录检验解决方案 JWT讲解( json web token)
hushuai1559的博客
12-13 392
什么是JWT JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 优点 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库 存储在客户端,不占用服务端的内存资源 缺点 token是经过base64编码,所以可以解码,因此token加密前的对象不应该
在前端使用 JWT(JSON Web Token)实现sso单点登录
最新发布
m0_51429350的博客
03-26 1200
是一种身份验证机制,允许用户使用一组凭据(如用户名和密码)登录,即可访问多个互联的应用或系统,无需重复输入凭据。它的核心目标是提高用户体验和安全性。
分布式应用下登录校验解决方案——JWT
weixin_43434080的博客
05-17 512
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
【JAVA】jwt实战
qq_39938236的博客
01-10 476
jwt用于登陆验证后token发放,后续请求头中携带token进行鉴权操作
分布式环境集成JWT(Java Web Token)
weixin_44924882的博客
08-30 1190
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放行,不校验tokenimport cn//如果不是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就不校验了,直接放行 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执行认证 if(StringUtils . isBlank(token)) {
【OAuth 2.0的扩展和新动态】JWT的使用:JSON Web Tokens在OAuth中的应用
[【OAuth 2.0的扩展和新动态】JWT的使用:JSON Web Tokens在OAuth中的应用](https://media.geeksforgeeks.org/wp-content/uploads/20220401174334/Screenshot20220401174003.png) # 1. OAuth 2.0的基本原理和架构 ...
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
JWT指南:解决网络应用间的身份验证与安全问题
JWT是一种基于JSON的标准,旨在解决网络应用间安全地传递声明的问题,特别是在分布式系统中的单点登录(SSO)场景。它被设计为紧凑且安全,便于存储和验证用户身份信息,支持认证和加密。 章节一,介绍部分解释了...
STS创建Spring Boot项目实战(Rest接口、数据库、用户认证、分布式Token JWT、Redis操作、日志和统一异常处理)
11-24
STS创建Spring Boot项目实战(Rest接口、数据库、用户认证、分布式Token JWT、Redis操作、日志和统一异常处理)
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
spring security oauth2 实现jwt sso
11-14
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt
jwt手写SSO单点登录框架zip
07-02
手写的JWT,实现SSO框架,将获取到的Token保存在cookie中。简单的练习练习权限框架,提升自己
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 988
:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
分布式认证JWT
b2105859的博客
02-13 1413
分布式认证JWT
JWT在java中的应用以及分布式应用下登录校验
ITzhongzi的博客
12-11 410
简介:讲解单机和分布式应用下登录校验,session共享,分布式缓存使用 1、单机tomcat应用登录检验 sesssion保存在浏览器和应用服务器会话之间 用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId, 客户端会把sessionId保存在cookie中,每次请求都会携带这个session...
分布式权限验证之JWT
小小的人儿的博客
03-27 1660
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:JWT”,“alg”:“HS256”} 在头部指明了签名算法...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值