5分钟详解JWT

最新推荐文章于 2025-10-12 17:19:12 发布
原创 最新推荐文章于 2025-10-12 17:19:12 发布 · 826 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring

本文介绍了如何在SpringBoot项目中集成JWT,并展示了创建和验证JWT令牌的步骤。通过添加spring-security-jwt依赖,创建测试类,对JWT的生成和解码过程进行了详细解释,包括头部信息、有效载荷和签名的组成。最后,提到了JWT在OAuth2授权中的应用场景,演示了如何在请求头中携带JWT进行授权验证。

 1、创建一个maven工程,引入jwt的springboot依赖

            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-jwt</artifactId>
                <version>1.0.10.RELEASE</version>
            </dependency>

2、创建一个测试类

public class JWTTest {
    String accessToken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9" +
            ".eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ.lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU";

    String content ="{\"aud\":[\"res1\"],\"user_name\":\"admin\",\"scope\":[\"ROLE_ADMIN\",\"ROLE_USER\"," +
            "\"ROLE_API\"],\"exp\":1620384962,\"authorities\":[\"ROLE_admin\",\"test\"]," +
            "\"jti\":\"f619820a-b192-428c-9fae-84ac31244fe0\",\"client_id\":\"springcloudsecurity\"}";

    /**
     * 签名密钥
     */
    private final String signingKey = "jwtSigningKey";
    /**
     * 签名算法
     */
    private final Signer signer = new MacSigner(signingKey);
    /**
     * 认证密钥
     */
    private final String verifierKey = signingKey;
    /**
     * 认证算法
     */
    private final SignatureVerifier signatureVerifier = new MacSigner(verifierKey);

    @Test
    public void encode(){
        final Jwt encode = JwtHelper.encode(content,signer);
        System.out.println(encode.getEncoded());
        final String encodeJwt = encode.toString();
        System.out.println(encodeJwt);
        final Jwt decode = JwtHelper.decodeAndVerify(encode.getEncoded(), signatureVerifier);
        System.out.println(decode.toString());
        assert  encodeJwt.equals(decode.toString());
    }

    
    @Test
    public void decode(){
        final Jwt decode = JwtHelper.decode(accessToken);
        System.out.println(decode);
    }

}

3、运行一下结果:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ.lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU
{"alg":"HS256","typ":"JWT"} {"aud":["res1"],"user_name":"admin","scope":["ROLE_ADMIN","ROLE_USER","ROLE_API"],"exp":1620384962,"authorities":["ROLE_admin","test"],"jti":"f619820a-b192-428c-9fae-84ac31244fe0","client_id":"springcloudsecurity"} [32 crypto bytes]
{"alg":"HS256","typ":"JWT"} {"aud":["res1"],"user_name":"admin","scope":["ROLE_ADMIN","ROLE_USER","ROLE_API"],"exp":1620384962,"authorities":["ROLE_admin","test"],"jti":"f619820a-b192-428c-9fae-84ac31244fe0","client_id":"springcloudsecurity"} [32 crypto bytes]

4、详解

jwt = 头部信息.有效信息.签名

jwt= eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ.lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU

  • 头部信息,base64加密

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

{
  "alg": "HS256",
  "typ": "JWT"
}

jwt的头部承载两部分信息:

  1. 声明类型,这里是JWT
  2. 声明加密的算法 通常直接使用 HMACSHA256,也就是测试类中MacSigner使用的默认算法

  • 有效信息,base64加密

eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ
包括:标注声明(选填)+公共声明+私有声明

  标准中注册的声明(都是选填)

{
	"aud": ["res1"],
	"exp": 1620384962,
	"jti": "f619820a-b192-428c-9fae-84ac31244fe0",
}
  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

  公共的声明

  私有的声明

{    
    "user_name": "admin",
    "scope": ["ROLE_ADMIN", "ROLE_USER", "ROLE_API"],
    "authorities": ["ROLE_admin", "test"],
    "client_id": "springcloudsecurity"
}

  • 签名:HMACSHA256(头部信息 +"."+有效信息,secret)

lSpV6_0nFylzhdwTlqX_U4SkkcCRPn3tn5yAh12wyzU

5、在springboot oauth2中的应用

curl --location --request GET 'http://localhost:8080/' \
--header 'Authorization: Bearer eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiLCJST0xFX0FQSSJdLCJleHAiOjE2MjAzODQ5NjIsImF1dGhvcml0aWVzIjpbIlJPTEVfYWRtaW4iLCJ0ZXN0Il0sImp0aSI6ImY2MTk4MjBhLWIxOTItNDI4Yy05ZmFlLTg0YWMzMTI0NGZlMCIsImNsaWVudF9pZCI6InNwcmluZ2Nsb3Vkc2VjdXJpdHkifQ'

在Header中加入Authorization头,写入jwt即可

JWT详解
A_finder的博客
12-08 669
1、JWT介绍 定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 JWT官网:https://jwt.io/ 由于HTTP协议是无状态的,如果想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构不止一台服务器,此时要借助数据库或者全局缓存做存储,这种方案受限太多。 JWT提供提供了一种更好的方案,由令牌发布...
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 5542
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT(JSON Web Token)详解
最新发布
XiaoMu_001的博客
10-12 1590
JWT(JSON Web Token)详解
JWT解析
qq_43538925的博客
12-06 712
一个token分3部分,按顺序为头部(header)其为载荷(payload)签证(signature)由三部分生成token3部分之间用“.”号做分隔。例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c验证koten地址。
API开发基于Python的JWT身份验证实现:详解JWT原理、编码及应用实践
04-07
内容概要:本文详细介绍了JWT(JSON Web Token)的工作原理及其在Python中的实现方法。JWT作为一种开放标准,通过头部、负载和签名三部分确保信息的安全传输。文章解释了如何在Python中使用PyJWT库创建、验证和解析...
精选资源
详解JWT token心得与使用实例
01-21
JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串: eyJhbGciOiJIUzI1NiJ9 有效...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
JWT详细解析
热门推荐
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JSON Web Token 入门教程
weixin_34067102的博客
07-24 1065
2019独角兽企业重金招聘Python工程师标准>>> ...
基于JWT实现SSO单点登录流程图解
08-18
主要介绍了基于JWT实现SSO单点登录流程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java整合JWT使用
HUAIJIUdada的博客
10-18 1042
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用户登录。在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保存一个session,服务端会返回给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。
Spring Security Oauth2 解析jwt
Claroja
03-08 288
JWT令牌详细解析
qq_40818172的博客
07-16 3344
主要介绍了SpringBoot集成JWT令牌详细说明,JWT方式校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录,验证token更为简单。
JWT 详细分析
Galaxy_0的博客
01-12 1473
JWT 详细分析
深入解析JWT,从根源上保障你的网络安全
wuli1024的博客
12-07 2123
JWT结构 JWT由三部分组成,分别是头部、载荷和签名。头部用于描述签名算法和类型,载荷用于存储用户信息和过期时间等,签名用于验证Token的合法性和完整性。JWT优点 相比于传统的Session认证方式,JWT具有以下优点:无状态、可扩展、安全性高、跨平台、可自定义负载等。JWT使用场景 JWT适用于前后端分离的Web应用,如SPA单页面应用,APP等场景下。同时,JWT也可以用于微服务架构中的服务认证和授权。
JWT 使用分析
mannnn__的博客
12-12 426
JWT 使用分析 JWT 即(JSON WEB TOKEN),用于前后端分离的web项目的身份验证。 JWT计算方式 JAVA实现依赖jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactI...
JWT原理解析与实现
weixin_46120888的博客
12-26 4587
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
jwt详解
06-14
### 什么是JSON Web Token (JWT) JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。JWT使用JSON对象来表示数据,并支持通过加密或签名的方式确保信息的完整性和安全性[^1]。 JWT的核心设计理念是将用户认证信息直接嵌入到令牌中,而不是依赖于服务器端存储。这种方式使得JWT特别适合无状态认证系统,因为服务器不需要维护会话信息,从而提升了系统的可扩展性[^4]。 --- ### JWT的核心结构 JWT的结构由三部分组成,分别是Header(头部)、Payload(负载)和Signature(签名)。这三部分通过点号(`.`)连接,形成一个完整的JWT字符串。 #### 1. Header Header通常包含两部分信息:令牌类型(即JWT)和使用的签名算法(如HMAC SHA256或RSA)。例如: ```json { "alg": "HS256", "typ": "JWT" } ``` 这部分会被Base64编码后作为JWT的第一部分。 #### 2. Payload Payload是JWT的主要部分,包含了声明(Claims)。声明可以分为三种类型: - **Registered claims**(注册声明):预定义的标准字段,如`iss`(签发者)、`exp`(过期时间)、`sub`(主题)等。 - **Public claims**(公共声明):用户自定义的字段。 - **Private claims**(私有声明):应用内部使用的字段。 示例Payload: ```json { "sub": "1234567890", "name": "John Doe", "admin": true } ``` 同样,这部分会被Base64编码后作为JWT的第二部分。 #### 3. Signature 为了验证消息的来源并确保消息未被篡改,JWT需要对前两部分进行签名。签名过程如下: 1. 将Header和Payload进行Base64编码。 2. 使用指定的算法(如HMAC SHA256)和密钥对编码后的字符串进行签名。 签名公式为: ``` HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` 最终的JWT格式为: ``` <base64url-encoded-header>.<base64url-encoded-payload>.<signature> ``` --- ### JWT的工作原理 JWT的工作流程通常包括以下几个关键步骤: 1. **生成Token**:当用户登录成功后,服务器会根据用户的认证信息生成一个JWT,并将其返回给客户端。 2. **存储Token**:客户端可以将JWT存储在Cookie、LocalStorage或SessionStorage中。 3. **发送Token**:在后续请求中,客户端将JWT附加到HTTP请求头中(通常是`Authorization: Bearer <token>`)。 4. **验证Token**:服务器接收到请求后,解析JWT并验证其签名。如果签名有效,则允许访问受保护资源。 --- ### JWT的使用场景 JWT因其紧凑性和安全性,在以下场景中得到了广泛应用: 1. **身份认证**:JWT常用于Web应用中的用户认证。客户端在每次请求时携带JWT,服务器通过验证JWT确认用户身份[^2]。 2. **信息交换**:JWT可以在不同系统之间安全地传递信息,同时确保信息的完整性和真实性[^3]。 3. **分布式系统**:在微服务架构中,JWT可以用于跨服务的身份验证和授权。 4. **单点登录(SSO)**:JWT支持跨域认证,因此非常适合实现单点登录系统[^5]。 --- ### 示例代码:生成与解析JWT 以下是使用Python生成和解析JWT的示例代码: #### 生成JWT ```python import jwt import datetime secret_key = "my_secret_key" payload = { "sub": "1234567890", "name": "John Doe", "exp": datetime.datetime.utcnow() + datetime.timedelta(seconds=300) } token = jwt.encode(payload, secret_key, algorithm="HS256") print("Generated Token:", token) ``` #### 解析JWT ```python try: decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"]) print("Decoded Payload:", decoded_payload) except jwt.ExpiredSignatureError: print("Token has expired") except jwt.InvalidTokenError: print("Invalid token") ``` --- ### 注意事项 1. **安全性**:JWT本身并不提供加密功能,仅提供签名功能。如果需要加密,可以选择JWE(JSON Web Encryption)[^3]。 2. **Token过期管理**:应合理设置JWT的过期时间,并在必要时提供刷新机制。 3. **密钥管理**:签名密钥的安全性至关重要,必须妥善保管[^1]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宇哥哦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值