KS-JWT学习

已于 2022-10-14 16:04:09 修改
阅读量243 收藏
点赞数
文章标签: python
于 2021-09-05 11:56:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33274797/article/details/120100324
版权
本文介绍了JWT(Json Web Token)在身份验证中的应用,对比了session和cookie的局限,并详细解析了JWT的构成,包括头部、负载和签证,以及如何使用Java实现JWT的创建和验证。着重讨论了JWT在解决分布式系统扩展问题上的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.JWT

Json web token (JWT),主要用于做身份鉴别或者资源接口的安全机制。

2.基于session认证显露的问题

1.session通常都是保存在内存中的,随着认证用户的增多,服务器的资源消耗会增大。
2.用户认证的信息保存在内存中,这就意味着用户下次请求还必须请求这台服务器,才能拿到授权的资源,
这样在分布式系统限制了应用的扩展能力。
3.cookie如果被截获,用户容易受到跨站请求伪造攻击。

3.JWT的构成

第一部分:头部(header)
第二部分:负载(payload)
第三部分:签证(signature)

header

JWT的头部承载两部分信息:
 
{
  'typ':'JWT', //声明类型
  'alg':'HS256' //声明加密的算法
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分。

playload

载荷就是存放有效信息的地方。

1.标准中注册的声明。
2.公共的声明
3.私有的声明

标准中注册的声明(建议但不强制使用):
1.iss:JWT签发者
2.sub:JWT所面向的用户
3.aud:接收JWT的一方
4.exp:JWT的过期时间,这个过期时间必须要大于签发时间
5.nbf:定义在什么时间之前,该JWT都是不可用的
6.iat:JWT的签发时间
7.jti:JWT的唯一身份标识

公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务信息,但不建议添加敏感信息,因为
该部分在客户端可以解密。

私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着
该部分信息可以归类为明文信息。

定义一个payload:
{
   "sub":"xxxxx",
   "name":"John Doe",
   "admin":"xx"

}
然后进行base64加密,得到JWT的第二部分。
signature
JWT的第三部分是一个签证信息,这个签证信息由三部分组成:

1.header(base64加密后)
2.payload(base64加密后)
3.secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header
中声明的加密方式进行加盐secret组合加密,然后就构成了JWT的第三部分。
 
a1 =  base64UrlEncode(header)+"."+base64UrlEncode(payload);

signature = HMACSHA256(a1,'secret');

base64UrlEncode(header).base64UrlEncode(payload).signature

4.JWT实战

1.导入pom

<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.18.1</version> 
</dependency>
2.JwtService


package com.ldd.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;

import java.util.Date;

/**
 * @author 小李同学
 * @pageage com.ldd.utils
 * @date
 * @week
 * @action
 */
@Slf4j
public class JwtService {


    //定义加密的盐信息
    private static final String KEY = "siZong";
    //签发者
    private static final String ISSUSER = "YYKK";
    //token过期时间
    private static final Long TOKEN_EXPIRE_TIME = 1000 * 60L;

    /**
     * @Author: 13513
     * @Date: 2021/9/5 13:05
     * @Param:
     * @Return: 创建jwt 可以指定如下参数
     * JWT.create().withIssuer("签发人")
     * .withExpiresAt(new Date())...//到期时间 超过到期时间会抛出TokenExpiredException
     * iss (issuer):签发人
     * exp (expiration time):过期时间
     * sub (subject):主题
     * aud (audience):受众
     * nbf (Not Before):生效时间
     * iat (Issued At):签发时间
     * jti (JWT ID):编号
     * 注意:不设置过期时间就是永久token
     */
    public String createToken() {
        Date now = new Date();
        //1.定义算法
        Algorithm algorithm = Algorithm.HMAC256(KEY);
        //2.开始创建和生成token
        String token = JWT.create()
                .withIssuer(ISSUSER) //签发者
                .withIssuedAt(now) //签发时间
                .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME))
                .withClaim("userName", "userName")
                .withClaim("openId", "openId")
                .sign(algorithm);
        return token;
    }

    public String verifyToken(String token) {
        //1.定义算法
        Algorithm algorithm = Algorithm.HMAC256(KEY);
        //2.进行校验
        JWTVerifier verifier = JWT.require(algorithm)
                .withIssuer(ISSUSER)
                .withClaim("userName", "userName")
                .build();
        //3.如果校验成功,可以从jwt获取定义的内容
        //  如果校验失败,则抛出异常
        DecodedJWT jwt = verifier.verify(token);
        return jwt.getClaim("openId").asString();
    }


    public static void main(String[] args) {
        JwtService jwtService = new JwtService();
        String token = jwtService.createToken();
        log.info("token:" + token);
        String openId = jwtService.verifyToken(token);
        log.info("openId:" + openId);
    }
}

章北海01
关注
【JavaWeb】关于JWT做认证授权的十万个理由(JSON Web Token)
墩墩分墩
11-04 788
JWT与Session的差异相同点是,他们都是存储`用户信息`。然而`Session是在服务器端`的,而`JWT是在客户端`的 JWT方式将用户状态分散到了`客户端`中,可以明显减轻请服务器的`内存压力`,服务端只需要用`算法解析客户端的token`就可以得到信息
KS检验学习[转载]
weixin_34248118的博客
11-28 464
转自:https://wenku.baidu.com/view/ccfa573a3968011ca30091d6.html https://www.cnblogs.com/arkenstone/p/5496761.html 1.定义 Kolmogorov-Smirnov是比较一个频率分布f(x)与理论分布g(x)或者两个观测值分布的检验方法。其原假设H0:两个数据分布一致或者数据符合理论分...
JWT生成tonken验证+AOP拦截验证
一只程序猿
12-01 1277
JSON Web Token(JWT)是目前都在用的前后分离跨域验证规则。5、前端调用查看效果,token生成返回成功,后端也能成功读取数据。3、自定义注解APO实现类AuthAspect.java。4、在需要token验证的地方加入注解@Auth。2、编写jwt工具类JwtUtil.java。2、自定义注解接口Auth.java。1、引入依赖pom.xml。
JWT最全知识点-动力节点
weixin_49543720的博客
10-20 1483
一个JWT,应该是如下形式的:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。JWT 解决什么问题?JWT的主要目的是在服务端和客户端之间以安全的方式来转移声明。主要的应用场景如下所
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2854
springboot shiro jwt实现认证和授权
Java 使用JWT创建token 使用HMAC256进行加密
qq_36826506的博客
07-20 5401
    首先要导入对应的Maven依赖                对Token进行加密 先定义两个常量 private final static String secret = "yunhao"; // 目的是加盐,内容随意 private JWTVerifier verifier; // 加密过程 public ApiTokenResult createT...
kubeadm join token JWT not found问题分析
u012449333的专栏
08-01 452
kubeadm bootstrap token问题
ks_考试系统_
09-28
使用JWT(JSON Web Tokens)进行用户身份验证。 5. 测试:通过单元测试和集成测试确保代码质量和系统稳定性。 三、扩展与完善: 在现有基础上,"ks_考试系统_"可以进一步优化和完善,例如: 1. 添加视频教程或...
ruoyi-admin和ruoyi-vue3笔记-gl-wms物流管理项目
TY121810的博客
07-24 1129
gl-wms物流管理项目。
《机器学习实战:从数据清洗到云端部署的可视化进阶指南(三)》​
yong_su的博客
03-01 2611
目标、适用场景、技术栈。
KubeSphere的使用
fen_dou_shao_nian的博客
08-18 6133
默认的 dashboard 没啥用,我们用 kubesphere 可以打通全部的 devops 链路。 Kubesphere 集成了很多套件,集群要求较高 https://kubesphere.io/ Kuboard 也很不错,集群要求不高 官方文档:https://kuboard.cn/support/,但是我们也不用它。 一 、简介 KubeSphere 是一款面向云原生设计的开源项目,在目前主流容器调度平台 Kubernetes 之 上构建的分布式多租户容器管理平台,提供简单易用的操作界面以及向导式操
JWT、JWE、JWS 、JWK 都是什么鬼?还傻傻分不清?
emprere的博客
12-18 1万+
上一篇:MySQL这样写UPDATE语句,劝退作者:NinthDevilHunster来源:www.freebuf.com/articles/web/180874.htmlJWT 相信很多...
【107】Java使用JWT的小例子。使用HMAC256算法加密。
热门推荐
zhangchao19890805的专栏
01-29 1万+
我利用 JWT 官网提供的 Java 模块,写了个加密和解密token的例子。这个例子使用Maven管理项目,源代码共包含三个文件:Encrypt.java、Decrypt、Main.java pom.xml project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSche
HMAC256 Token
weixin_30565199的博客
04-10 1824
依赖包: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.3.0</version></dependency> 使用 Algorithm.HMA...
spring-security+jwt认证
weixin_40361868的博客
05-05 289
SpringSecurity的最基本的使用(没有深入的查看源码) security依赖导入 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dep...
如何利用 Python 获取京东商品 SKU 信息接口详细说明
J15779585792的博客
05-17 1055
通过上述步骤和代码示例,你可以轻松地使用 Python 调用京东商品 SKU 信息接口,获取商品的详细信息。希望这个指南对你有所帮助!如果你对电商数据开发有更多兴趣,可以尝试探索更复杂的功能,如多线程爬取、数据可视化等。如遇任何疑问或有进一步的需求,请随时与我私信或者评论联系。
python】返回所有匹配项的第一个元素、第二个元素。。。
最新发布
突围
05-19 257
python】返回所有匹配项的第一个元素、第二个元素。。
Python星球日记》 第95天:分布式训练与推理
Code_流苏:在代码中寻诗意,在实践中觅真知
05-19 763
Python星球日记》 第95天:分布式训练与推理,今天,我们将探索分布式训练与推理技术,这是解决大规模AI模型训练和部署挑战的关键方法
weibo_comment_pc_tool | 我于2025.5月用python开发的评论采集软件,根据帖子链接爬取评论的界面工具
python布道者0516的博客
05-18 792
开始采集前,先把自己的cookie值填入cookie.txt文件。pc端cookie获取说明:然后把复制的cookie值填写到当前文件夹的cookie.txt文件中。软件首发众公号”老男孩的平凡之路“,欢迎技术交流、深度探讨!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值