jwt token 流程讲解

最新推荐文章于 2025-06-05 14:31:09 发布
置顶 最新推荐文章于 2025-06-05 14:31:09 发布
阅读量6.0k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: jwt 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35977237/article/details/79870274
本文介绍了一种结合JWT与Ajax的认证流程设计方案,包括认证管理器的配置、自定义认证提供者的绑定、路径配置及过滤器的应用等。此外,还详细讲解了客户端请求处理过程,从登陆请求到JWT令牌的生成与验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


1。启动项目,首先初始化WebSecurityConfig中的认证管理器
然后给认证管理器绑定提供者
第一个为自定义的ajax认证提供,第二个为jwt认证提供
2.重写WebSecurityConfigurerAdapter的配置项,为自己需要的进行配置

配置不需要携带token进行认证的路径
认证请求对登陆和刷新token放行,可以自定义添加更多不需要携带token的路径
然后对其他的路径都要求携带token
在认证token之前需要执行以下过滤器
(1)当执行登陆时,执行ajax登陆过滤器
传人登陆时的路径,成功后的处理器和失败后的处理器,以便于做不同的处理
(2)当执行其他路径时,调用jwt认证过滤器
设置需要跳过的token认路径和需要认证的路径
然后将失败处理器和TokenExtractor还有设置好的跳过请求路径认证类一起交给JwtTokenAuthenticationProcessingFilter
进行过滤,JwtTokenAuthenticationProcessingFilter会调用JwtHeaderTokenExtractor用于从头提取授权令牌
可以扩展TokenExtractor接口并提供您的自定义实现,例如从URL提取令牌
到此WebSecurityConfig配置完成
3.客户端发送post请求到SystemManagerController/userLogin执行登陆请求以ajax方式,将用户名和密码封装为json格式
此处不是必须ajax和json,可以进行更改,一般配合security为ajax和json
请求发出后先由跨域过滤器进行跨域响应参数处理CORSFilter
客户端每次都会先发送一次options请求,进行跨域试探性请求
接着进入AjaxLoginProcessingFilter进行登录过滤处理

如果为options请求直接返回,接着会立即再发送一份客户端原始请求
这里为post请求
接下来认证处理器会找到认证提供类AjaxAuthenticationProvider进行密码和账户的认证
此处处理业务逻辑,如果账户和密码比对成功则执行
创建的UserContext和你所需要的用户数据来填充它
认证成功后执行AjaxAwareAuthenticationSuccessHandler委托创建JWT令牌

进行创建token和传送需要的值
认证成功处理器会调用JwtTokenFactory工厂同时创建token和创建刷新token
token采用三段式
第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).
头部声明加密的算法 这里采用的HS521,可以是其他的加密方式如HMAC SHA256
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
第二部分为载荷部分
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
  • 标准中注册的声明
  • 公共的声明
  • 私有的声明
标准中注册的声明 (建议但不强制使用) :
  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
在本项目中只用了其中的一小部分
然后将其进行base64加密,得到Jwt的第二部分。
第三部分是一个签证信息,这个签证信息由三部分组成:
  • header (base64后的)
  • payload (base64后的)
  • secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
服务端完成响应,得到结果如下:
4.返回token后每次请求服务器都要带着token进行认证
当我们请求服务器时,需要携带自定义请求头
并且自定义认证请求头 的value值都需要以GuoAn 开头
请求同样会进行一次跨域试探
然后交由JwtTokenAuthenticationProcessingFilter进行认证

然后利用JwtHeaderTokenExtractor 从头提取令牌。然后交由JwtAuthenticationProvider 进行
验证访问令牌的签名
从Access令牌中提取身份和授权声明,并使用它们创建UserContext
如果访问令牌格式错误,过期或简单地如果令牌没有使用适当的签名密钥签名,则将抛出身份验证异常

认证成功后调用JwtTokenAuthenticationProcessingFiltersuccessfulAuthentication方法
最后响应到前台,至此结果完成
JWTToken 失效与刷新机制
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-16 609
随着前后端分离架构的普及,JWT(JSON Web Token)因“无状态”“自包含”等特性,成为接口身份验证的主流方案。但JWT一旦签发便无法主动失效的特性,也带来了“用户注销后Token仍有效”“权限变更后旧Token无法回收”等问题。本文将聚焦JWT Token的失效场景(如正常过期、强制失效)和刷新机制(如何用“续场券”延长会话),覆盖原理、实战、安全优化全流程。本文从“电影票”的生活场景切入,逐步解析JWT Token的失效原理、刷新机制设计,最后通过代码实战演示完整实现。
TokenJWT的关系详细讲解
LiuYuHao_的博客
01-11 891
是一种开放标准 (RFC 7519),定义了一种紧凑且自包含的方式用于在网络应用环境间安全地传输信息。这些信息经过数字签名(使用 HMAC 算法或 RSA 公私钥对)以确保其完整性和不可篡改性。TokenJWT 是紧密相连却又各自独立的概念。理解这两者之间的区别有助于选择最适合项目需求的身份验证方案。JWT 作为一种轻量级、安全且易于使用的 Token 实现方式,在当今的 Web 开发中得到了广泛应用。
jwttoken解码_手把手教你实现JWT Token
weixin_29123281的博客
12-24 2664
1. 前言Json Web Token(JWT) 近几年是前后端分离常用的Token技术,是目前最流行的跨域身份验证解决方案。你可以通过文章JWT。今天我们来手写一个通用的JWT服务。DEMO获取方式在文末,实现在jwt相关包下2. spring-security-jwtspring-security-jwt是Spring Security Crypto提供的JWT工具...
JWT的使用流程
weixin_33875564的博客
08-20 473
JWT的实现原理 一篇文章告诉你JWT的实现原理 发布于 3 个月前 作者 axetroy 3097 次浏览 来自 分享 在使用 JWT 的时候,有没有想过,为什么我们需要 JWT?以及它的工作原理是什么? 我们就来对比,传统的 session 和 JWT 的区别 我们以一个用户,获取用户资料的例子 传统的 session 流程 浏览器发起请求登陆 服务端验证身份...
使用JWT进行token校验
最新发布
qq_73868041的博客
06-05 619
*** jwt令牌校验的拦截器*/@Component@Slf4j@Autowired/*** 校验jwt* @return*///判断当前拦截到的是Controller的方法还是其他资源if (!//当前拦截到的不是动态方法,直接放行//1、从请求头中获取令牌//2、校验令牌try {log.info("jwt校验:{}", token);//将当前登录用户id存入ThreadLocallog.info("当前员工id:", empId);
JWTtoken认证流程
天道酬勤
03-20 631
B/S架构会话是浏览器端和服务器端之间交互的唯一凭证,如何保证会话的安全性 如cookie 、seesion token
jwt流程
zjcyixi的博客
05-06 1036
jwt json web token,接口安全验证 session cookie 客户端向服务端发起请求-》服务端生成jsessionid,同时生成一个session文件放到服务器-》jsessionid返回客户端-》客户端存在cookie中-》下次请求的时候携带jsessionid-》服务端通过jsessionid查询文件-》能找到成功-》找不到失败 用户量非常大的时候一台服务器不能满足,负载均衡。 客户端存储,自认证,节约服务器资源,适合做单点登录 jwt三部分构成的:头部,载和,签证 生成:..
JWT流程
mywaya2333的博客
02-24 427
在Spring Security的配置中,你需要添加一个JWT过滤器来验证请求中的JWT,并根据其中的信息进行用户认证和授权。:客户端在每次请求时需要将JWT放在请求的Header中发送给服务器,服务器会验证JWT的签名和有效性,并根据其中的信息进行用户认证和授权。是一个JWT过滤器,用于在Spring Security过滤器链中验证请求中的JWT。:后端需要编写处理登录请求的控制器方法,验证用户的身份信息,并生成JWT返回给客户端。,用于在Spring Security过滤器链中验证请求中的JWT
Java实现JWTToken认证机制
m0_75011249的博客
05-03 1213
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims//为了方便测试,我们将过期时间设置为1分钟//当前时间//过期时间为1分钟.setSubject(“小白”)System.out.println(“签发时间:”+sdf.format(claims.getIssuedAt()));System.out.println(“过期时间:”+sdf.format(claims.getExpiration()));
JWT之自定义注解完成Token验证
koala0018的博客
04-14 992
保姆级教程,利用自定义注解,完成token令牌验证,介绍Jwt结构
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
JWT以及Token 项目的流程 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 访问login接口,并将code给后台 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header 有则自动执行...
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用Gin框架集成JWT,源码、详解、面试问题
乐观的阿锡的博客
08-23 1956
使用Gin框架集成JWT,源码、详解、面试问题 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、JWT的组成 1、JWT
基于jwttoken验证、原理及流程
程序员闪充宝
09-18 4113
来源:www.cnblogs.com/better-farther-world2099一、什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...
jwt工作流程
qq_46497604的博客
03-21 394
登录的时候向服务器发送用户密码,服务器验证通过后返回给一个token也就是所谓的令牌,然后用户在做每一个请求操作时都会带上这个令牌发给服务器,服务器一看令牌就返回数据了
【转载】JWT Token的基本使用和基本流程
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
03-16 509
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个ses
JWT认证流程
飞火龙在天的博客
05-27 3494
jwt实现token登录验证doc
03-13
<think>好的,用户需要关于JWT实现Token登录验证的文档、教程或示例。首先,我需要整理已有的引用内容,看看哪些可以直接用到。引用1提到node-jsonwebtoken库用于Koa服务的token验证,引用3和4讨论了JWT在微服务中的应用场景和安全策略,引用5提到服务器解析JWT令牌获取用户信息。用户的问题集中在登录验证的实现步骤和示例上。 接下来,我应该分步骤讲解JWT的实现流程。第一步是生成Token,需要引入库,设置密钥和过期时间,然后在登录成功后签发Token。这里可以给出代码示例,比如使用jsonwebtoken.sign方法。第二步是客户端存储Token,通常放在Authorization头里,用Bearer模式。第三步是服务器验证,中间件如何截取并验证Token,处理无效或过期的情况,比如使用jsonwebtoken.verify。 然后,需要补充安全性注意事项,比如HTTPS、密钥保护、刷新机制,引用3提到的双Token策略可以在这里提及。最后给出完整示例,整合登录接口和中间件,展示整个流程。相关的问题部分可以引导用户了解更多优化方法和安全策略,引用中的内容可以作为扩展阅读推荐。 需要确保所有代码示例正确,并符合用户的技术栈,比如Koa和node-jsonwebtoken。同时,要检查引用是否正确对应,例如双Token策略来自引用3,存储方式参考引用4和5。可能用户需要具体的实现细节,所以步骤要清晰,代码要有注释,避免术语过多,保持易懂。最后提醒用户注意密钥管理和刷新机制,确保他们了解安全最佳实践。</think>### JWT实现Token登录验证的完整流程 ### 一、核心实现步骤 1. **生成Token** ```javascript const jwt = require('jsonwebtoken'); const SECRET_KEY = 'your-256-bit-secret'; // 推荐使用环境变量存储 const EXPIRES_IN = '1h'; // 有效期设置 // 登录成功后生成Token function generateToken(user) { return jwt.sign( { userId: user.id, role: user.role }, // payload SECRET_KEY, { expiresIn: EXPIRES_IN } ); } ``` 通过`jsonwebtoken.sign`方法生成包含用户信息的加密令牌[^1] 2. **客户端存储** ```http Authorization: Bearer <token> // 推荐在请求头中携带[^4] ``` 前端应在登录成功后存储到`localStorage`或`cookie`,注意设置`httpOnly`和`secure`标志[^5] 3. **服务器验证** ```javascript // Koa中间件示例 async function jwtMiddleware(ctx, next) { const token = ctx.headers.authorization?.split(' ')[1]; if (!token) { ctx.throw(401, 'No token provided'); } try { ctx.state.user = jwt.verify(token, SECRET_KEY); await next(); } catch (err) { ctx.throw(401, 'Invalid token'); } } ``` 使用`jwt.verify`解析并验证令牌有效性[^2] ### 二、安全性增强措施 1. **HTTPS强制使用** 2. **密钥轮换机制**(推荐HS256→RS256非对称加密) 3. **黑名单管理**(针对提前失效的Token) 4. **双Token策略**(Access Token + Refresh Token)[^3] ```javascript // 生成双Token const accessToken = jwt.sign(payload, SECRET, { expiresIn: '15m' }); const refreshToken = jwt.sign({ userId: payload.userId }, REFRESH_SECRET, { expiresIn: '7d' }); ``` ### 三、完整示例(Koa) ```javascript // app.js const Koa = require('koa'); const jwt = require('jsonwebtoken'); const router = require('koa-router')(); const SECRET = 'your-secret-key'; router.post('/login', async (ctx) => { // 1. 验证用户凭证 const user = await validateUser(ctx.request.body); // 2. 生成Token const token = jwt.sign( { userId: user.id, username: user.name }, SECRET, { expiresIn: '1h' } ); ctx.body = { token }; }); router.get('/protected', jwtMiddleware, async (ctx) => { ctx.body = { message: `欢迎 ${ctx.state.user.username}`, userData: ctx.state.user }; }); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值