JWT:从理论到实践

最新推荐文章于 2025-08-02 10:36:16 发布
最新推荐文章于 2025-08-02 10:36:16 发布
阅读量167 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 后端研发 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_36203404/article/details/116260761
本文详细介绍了JWT在网站授权认证中的应用,其结构包括Header、Payload和Signature,并通过示例展示了如何使用Java-JWT库创建和验证JWT。还涵盖了实践中的依赖添加和安全注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.JWT应用场景

JWT官网:点此进入
JWT一般用于网站的授权认证的过程
前端在每次请求时将JWT放在请求连接header中的Authorization位
后端会检查JWT的合法性

  • 签名是否正确
  • 检查token是否过期

2.JWT的结构

JWT通过三部分组成:

  • 1.header(标头) :token的类型(即JWT)所使用的的签名算法,如:HMAC, SHA256, RSA,然后使用Base64对标头进行编码形成JWT的第一部分。
  • 2.payload(有效负载):有效负载包含用户的数据声明,同样会使用Base64对该部分进行编码形成JWT第二部分。
  • 3.signature(签名):签名使用的是经过编码后的header和payload以及后端提供的一个秘钥,然后使用header中的签名算法进行签名。签名的目的是保证JWT没有被篡改。

eg: HMACSHA256(Base64UrlEncode(header) + “.” + Base64UrlEncode(payload), secret);

JWT最后由三者通过.号连接组成,其表示形式header.payload.signature
Note: Base64是一种编码,是可逆的; 解密不可逆
如果有人对头部或者有效负载部分的数据解码后进行修改,然后再对修改后的数据进行编码拼上之前的签名形成的一个新的JWT,此时服务器会对修改后的数据重新签名,形成新的签名和新的JWT所挂载的签名是不一致的;如果修改签名的话,同样行不通。

3.JWT的实践

3.1添加依赖

<dependency>
     <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
       <version>3.4.0</version>
</dependency>

3.2代码展示

public class TestJWT {
   public static final String salt = "www.baidu.com";
   public static void main(String[] args) {
       String token = createToken();
       DecodedJWT verify = createVerifierObject().verify(token);
       String userId =  verify.getClaim("userId").asString();
       String userName = verify.getClaim("userName").asString();
       String age = verify.getClaim("age").asString();
       /**
        *result:
        * userId:34343
        * userName:zhangsan
        * age:null
        */
       System.out.println("userId:" + userId);
       System.out.println("userName:" + userName);
       System.out.println("age:" + age);
       /**
        * age:33
        */
       int ages = verify.getClaim("age").asInt();
       System.out.println("age:" + ages);
   }
   public static String createToken() {

       Calendar calendar = Calendar.getInstance();
       calendar.add(Calendar.SECOND, 300);
       String token = JWT.create()
               .withClaim("userName", "zhangsan")
               .withClaim("userId", "34343")
               .withClaim("age", 33)
               .withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(salt));
       return token;
   }

   public static JWTVerifier createVerifierObject() {
       return JWT.require(Algorithm.HMAC256(salt)).build();
   }
}

3.2代码解释

代码中的salt一般是系统的配置中提供的,该字符串千万不要暴露出去,一旦暴露出去就会导致系统的不安全。
一般情况下接口均会做JWT的安全权限校验,因此可以在项目中使用拦截器的方式实现。如果是在分布式的项目中则得在网关中做处理。

Golang领域JWT:实现用户认证的新选择
Golang编程笔记的博客
05-13 1004
本文旨在为Golang开发者提供一套完整的JWT实现方案,覆盖从基础概念到高级应用的全方位内容。JWT的核心原理和结构Golang中JWT的生成和验证实现安全最佳实践和常见漏洞防范在微服务架构中的实际应用文章从基础概念开始,逐步深入到实现细节和应用场景。我们将先介绍JWT的基本原理,然后展示Golang中的具体实现,最后探讨高级主题和最佳实践: 一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象Token: 用于认证和授权的凭证Claim。
2、 构建安全的API:从理论实践
weixin_33816734的博客
06-03 52
本文深入探讨了API安全开发的基本原则及其具体应用,通过Natter示例应用程序展示了如何防范常见攻击、实现限流、进行认证与授权、记录审计日志以及使用加密技术等,帮助开发者构建更加安全可靠的API。
软件工程实务:从理论实践的全流程精解
caisang0110的博客
04-15 850
通过本课程,学习者可系统掌握软件工程全流程技能,并深刻理解“理论指导实践实践反哺理论”的闭环思维。建议结合开源项目(如GitHub)进行实战演练,持续关注行业动态(如软考认证体系),为职业发展奠定坚实基础。实战建议毕业设计选题:开发一个“在线考试系统”,要求:采用Spring Boot + Vue前后端分离架构实现试卷生成、在线监考(WebRTC)、自动批改功能编写《系统设计说明书》并录制部署演示视频社区贡献。
多因素认证系统:从理论实践的全方位安全防护
2301_80443839的博客
06-19 948
多因素认证系统的设计与实现,本质上是在安全性、便捷性、成本之间寻找最佳平衡点。单一技术无法解决所有安全问题,需要组合策略构建防护网络用户体验是安全方案落地的关键因素,无感认证将成为未来主流安全是持续演进的过程,需紧跟量子计算、AI 等技术发展调整策略随着物联网与 5G 技术的普及,多因素认证将从账户安全扩展到设备身份管理的全场景,成为数字世界的 "数字身份证" 基础设施。每一次认证技术的精进,都是在为网络安全大厦增添一块坚实的基石。
Session vs JWT:Web会话管理技术对比
我是Java程序员廖志伟,感谢朋友们的支持!不定期贡献一篇高品质、过万文字、图文并茂且附有视频解说、满载代码示例注释的良心之作,坚决杜绝粗制乱造。
08-02 852
📕我是廖志伟,一名Java开发工程师、《Java项目实战——深入理解大型互联网企业通用技术》、(架构篇)、作者、清华大学出版社签约作家、Java领域优质创作者、优快云博客专家、阿里云专家博主、51CTO专家博主、产品软文专业写手、技术文章评审老师、技术类问卷调查设计师、幕后大佬社区创始人、开源项目贡献者。
PHP Session与JWT:原理、应用与对比
AIHacksCash的博客
08-02 634
📕我是廖志伟,一名Java开发工程师、《Java项目实战——深入理解大型互联网企业通用技术》、(架构篇)、作者、清华大学出版社签约作家、Java领域优质创作者、优快云博客专家、阿里云专家博主、51CTO专家博主、产品软文专业写手、技术文章评审老师、技术类问卷调查设计师、幕后大佬社区创始人、开源项目贡献者。
PHP Session与JWT:身份验证与会的比较
JavaCodePro的博客
08-02 795
📕我是廖志伟,一名Java开发工程师、《Java项目实战——深入理解大型互联网企业通用技术》、(架构篇)、作者、清华大学出版社签约作家、Java领域优质创作者、优快云博客专家、阿里云专家博主、51CTO专家博主、产品软文专业写手、技术文章评审老师、技术类问卷调查设计师、幕后大佬社区创始人、开源项目贡献者。
微服务架构设计与实践:从理论到企业级落地
java_rutu的博客
08-01 777
随着企业业务的快速扩张,传统的单体架构逐渐暴露出扩展性差、维护成本高、部署效率低等问题。以某电商平台为例,其订单系统在高并发场景下频繁出现性能瓶颈,导致用户体验下降。如何通过微服务架构解决这些问题,成为技术团队的核心挑战。
Session vs JWT:Web应用认证技术对比
我是Java程序员廖志伟,感谢朋友们的支持!不定期贡献一篇高品质、过万文字、图文并茂且附有视频解说、满载代码示例注释的良心之作,坚决杜绝粗制乱造。
08-02 995
📕我是廖志伟,一名Java开发工程师、《Java项目实战——深入理解大型互联网企业通用技术》、(架构篇)、作者、清华大学出版社签约作家、Java领域优质创作者、优快云博客专家、阿里云专家博主、51CTO专家博主、产品软文专业写手、技术文章评审老师、技术类问卷调查设计师、幕后大佬社区创始人、开源项目贡献者。
PHP Session与JWT:身份验证与会议管理对比
我是Java程序员廖志伟,感谢朋友们的支持!不定期贡献一篇高品质、过万文字、图文并茂且附有视频解说、满载代码示例注释的良心之作,坚决杜绝粗制乱造。
08-02 910
📕我是廖志伟,一名Java开发工程师、《Java项目实战——深入理解大型互联网企业通用技术》、(架构篇)、作者、清华大学出版社签约作家、Java领域优质创作者、优快云博客专家、阿里云专家博主、51CTO专家博主、产品软文专业写手、技术文章评审老师、技术类问卷调查设计师、幕后大佬社区创始人、开源项目贡献者。
OAuth 2.0 实战指南:从理论实践
最新发布
08-12
全书分为四大部分,共16章,逐步引导读者从基础概念到实际应用,涵盖如何构建OAuth 2.0生态系统、常见安全漏洞及其防范措施,以及更广泛的OAuth 2.0相关标准和协议。书中不仅详细讲解了授权码授权类型等核心内容,还...
深入理解微服务:从理论实践
# 深入理解微服务:从理论实践 ## 1. 微服务概述 在当今的软件开发领域,我们始终致力于提升软件构建的方式。自穿孔卡片时代以来,软件构建方式已经有了显著的进步。近年来兴起的微服务趋势,就是这种进步的体现...
ITMS接口规范实战演进:从理论实践的必备技能
[ITMS接口规范实战演进:从理论实践的必备技能](https://www.itms-india.com/img/listing/career1.jpg) # 摘要 随着信息技术的快速发展,ITMS接口规范在系统集成和数据交互中扮演着核心角色。本文深入探讨了ITMS...
Could not resolve placeholder ' ' in value " "的异常解决办法
热门推荐
sinat_36203404的博客
08-20 2万+
我的是maven项目 先对项目进行clean操作 然后重新install操作 再启动就不会报错了。
Connections could not be acquired from the underlying database! Tomcat服务器启动速度异常
sinat_36203404的博客
10-23 1416
16:35:46,899 ERROR JDBCExceptionReporter:234 - Connections could not be acquired from the underlying database! 16:36:16,557 ERROR JDBCExceptionReporter:234 - Connections could not be acquired from th
invalid keyconditionexpression attribute name is a reserved keyword
sinat_36203404的博客
08-24 716
invalid keyconditionexpression attribute name is a reserved keyword DynamoDB中保留关键字 小编在使用DynamoDB查询一个带status的数据,该status字段在DynamoDB中是保留字段,类似Mysql中的关键字,此时查询语句就会报错了。 Java中解决该问题就是使用占位符的方式,在通过withExpressionAttributeValues对其进行关联。 解决方式如下: Map<String, AttributeV
一行代码帮你搞定全选的功能
sinat_36203404的博客
11-03 683
我们在使用java开发网站服务器时会经常遇到全选的功能 全选功能的代码:"$('[type = checkbox]').attr('checked',this.checked)" 实际案例操作:(直接上图)
关于SSH整合时所报的异常及解决方案
sinat_36203404的博客
07-24 611
Struts Problem Report Struts has detected an unhandled exception: Messages: com.sun.proxy.$Proxy11.login() File: java/lang/Class.java Line number: 1,786 Stacktra
实现选择功能的那些步骤
sinat_36203404的博客
11-06 384
完成一些项目的时候肯定需要用到一个功能:全选与全部选;子选父必选;父不选子不选。 当然
Fastify-jwt: 实现JWT认证的Fastify插件
资源摘要信息:"fastify-jwt:用于Fastify的JWT实用程序" 知识点概述: fastify-jwt 是一个专门为 Fastify 框架...以上知识点是关于 fastify-jwt 插件以及相关技术的详细解析,涵盖了安装、使用方法以及背后的理论知识。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值