jwt token 验证

最新推荐文章于 2023-10-13 16:37:48 发布
最新推荐文章于 2023-10-13 16:37:48 发布
阅读量91 收藏
点赞数
文章标签: json java php
原文链接:http://www.cnblogs.com/blogwangwang/p/11093055.html
版权

JWT简介

JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

基于session的登录认证

在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

图片来源于网络博客

cookie+session这种模式通常是保存在内存中,而且服务从单服务到多服务会面临的session共享问题,随着用户量的增多,开销就会越大。而JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

图片来源于网络博客

JWT生成Token后的样子

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9.49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature)。

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt

  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{

"typ": "JWT",

"alg": "HS256"

}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明

  • 公共的声明

  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者

  • sub: jwt所面向的用户

  • aud: 接收jwt的一方

  • exp: jwt的过期时间,这个过期时间必须要大于签发时间

  • nbf: 定义在什么时间之前,该jwt都是不可用的.

  • iat: jwt的签发时间

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{

"name":"Free码农",

"age":"28",

"org":"今日头条"

}

然后将其进行base64加密,得到Jwt的第二部分:

eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)

  • payload (base64后的)

  • secret  (这个我们可以使用登陆用户id)

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分:

49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和验证,所以需要保护好。

java方式实现

Maven

<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.1.0</version></dependency>

加密与校验代码:

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

加密方法与校验方法

测试代码:

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

测试方法

代码输出结果:

国服最强JWT生成Token做登录校验讲解,看完保证你学会!

代码输出结果

可以很清楚的看到,第一次用生成的Token去校验,校验通过,并且输出了Token中包涵的信息。第二次用过期的Token调用校验方法,直接抛出异常,提示Token信息过期。

JWT总结

1、因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

2、payload部分,JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展

转载于:https://www.cnblogs.com/blogwangwang/p/11093055.html

dg989385783
关注
基于jwt token验证
m0_71472890的博客
11-30 1270
JWT全称是JSON WEB TOKEN,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在多方之间安全地传输JSON格式的信息。JWT主要由三部分组成:头部(Header)、负载(Payload)、签名(Signature),每部分之间以点(.)分隔。头部(Header):这部分包含令牌类型和所使用的算法。载荷(Payload):这部分包含用户信息和其他元数据。签名(Signature):这部分是对头部和载荷进行加密签名以验证其完整性和真实性的部分。
Spring Boot 集成JWT实现Token验证详解
ning的博客
11-09 1475
Token是一种令牌,它在用户登录后由服务器生成并返回给客户端,客户端在随后的请求中将Token附在HTTP请求头中,以此来验证用户的身份。Token通常包含了用户的身份信息和一些其他的元数据。JWTJson Web Tokens)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在双方之间以JSON对象的形式安全地传输信息。每个Token都是经过数字签名的,因此可以被验证和信任。JWT可以使用秘密(对称加密)或使用RSA或ECDSA的公钥/私钥对(非对称加密)进行签名。
JWT Token生成及验证
07-16
JWT Token生成及验证,JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
JwtToken生成及认证过程
flylr^的博客
05-27 2761
什么是JWT 要了解jwt的生成及验证,首先要了解什么是jwtjwtjson web token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,该token被设计紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。jwt的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需的声明信息,该token也可以直接被用于认证,也可以被加密。 JWT jwt是由三段信息通过点号拼接而成,例如:
JWT如何在服务端验证Token令牌是否正确?
Calm 的博客
11-16 7271
JWT结构 header:就包含了两部分,一个是使用什么算法加密的,另一个是Token的类型,会使用Base64的算法进行编码。 // 通过Base64算法编译后的header: // eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 { "typ": "JWT", "alg": "HS256" } 我们会对头部进行base64编码,得到第一部分数据 payload:载荷,就是一些有效数据,登录之后可以存放用户id之类的信息,因为采用Base64编码,可以被解.
C# 生成JWTToken
Jessyzhao_0的博客
10-13 1131
【代码】C# 生成JWTToken
JWTtoken验证.zip
04-16
Json web token (JWT),适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须...
C#中通用方法 JWT生成Tocken 备忘
weixin_43542114的博客
11-14 1041
public static string GenerateJWTTocken(string secret, Dictionary<string, object> payload) { string str = ""; IJwtAlgorithm algorithm = new HMACSHA256Algorithm(); IJsonSerializer serializer = new JsonNetSe.
在小程序端使用JWT头部验证
hlyphard的博客
04-13 2956
什么是jwt Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于...
jwt token 实现
07-27
本例子教你如何在你的项目中搭建jwt token授权登录,代码清晰易懂。
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
JWT 生成Token实战验证
10-23
JWT 生成Token实战验证
微信小程序登陆 + 基于JWTToken 验证 + 内部用户登陆系统
小天哥12的博客
04-07 1万+
微信小程序登陆 + 基于JWTToken 验证 + 内部用户登陆系统 公司需要做一个用于内部员工的培训系统的小程序,之前只是了解过,但是并没有自己动手做过小程序,以下是记录自己这次的开发过程。 文档层解析 微信官方登陆文档 https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html 1、微信小程序端调用wx.login 获取一个code(这个code是变化的,即每次调用都会不同,导致session_
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
C# 生成校验解析token
技术分享博客
09-24 9819
C# 生成校验解析token方式1方式3转载自 https://www.cnblogs.com/fanfan-90/p/12911203.html 重要对象 JwtSecurityToken:代表一个jwt token,可以直接用此对象生成token字符串,也可以使用token字符串创建此对象 SecurityTokenJwtSecurityToken的基类,包含基础数据 JwtSecurityTokenHandler:创建、校验token,返回ClaimsPrincipal   CanReadTok
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 1万+
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
jwt token验证
最新发布
01-22
### JWT Token验证方法 #### 创建Token工具类 为了方便操作JWT,在项目中通常会创建一个专门处理JWT的工具类。此类负责生成和解析Token,确保其有效性和安全性。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public class JwtUtil { private static final String SECRET_KEY = "yourSecretKey"; // 密钥应妥善保管并配置到更安全的地方 public String generateToken(String username){ return Jwts.builder() .setSubject(username) .signWith(SignatureAlgorithm.HS256,SECRET_KEY.getBytes()) .compact(); } public Claims parseToken(String token){ return Jwts.parser() .setSigningKey(SECRET_KEY.getBytes()) .parseClaimsJws(token.replace("Bearer ","")) .getBody(); } } ``` 此代码展示了如何构建以及解码带有签名算法HS256的JSON Web Tokens[^1]。 #### 创建拦截器 为了让应用程序能够自动检查请求中的Token有效性,可以编写自定义过滤器来截获HTTP请求,并从中提取出Authorization头内的Bearer Token进行校验。 ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); try{ username = jwtUtil.parseToken(jwt).getSubject(); }catch(Exception e){ logger.error("Invalid JWT token",e); throw new ServletException("Unauthorized"); } } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.jwtUserDetailsService.loadUserByUsername(username); if (jwtUtil.validateToken(jwt,userDetails)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } chain.doFilter(request,response); } } ``` 这段Java代码实现了对传入HTTP请求携带的身份令牌的有效性检测机制。 通过上述方式,当客户端发送包含合法授权凭证(即有效的JWT)至服务器时,则允许访问受保护资源;反之则拒绝未认证用户的非法访问尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值