JWT 从入门到精通

最新推荐文章于 2025-01-05 13:11:06 发布
转载 最新推荐文章于 2025-01-05 13:11:06 发布 · 139 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/5-28/p/11239131.html
文章标签:

#json #java #php

JWT 从入门到精通

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

简单来说就是 JWT(Json Web Token)是实现token技术的一种解决方案

为什么使用JWT

token验证和session认证的区别

传统的session认证

http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

session缺点

基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户

Session方式存储用户id的最大弊病在于要占用大量服务器内存,对于较大型应用而言可能还要保存许多的状态。

基于session认证暴露的问题

  • Session需要在服务器保存,暂用资源
  • 扩展性 session认证保存在内存中 ,无法扩展到其他机器中
  • CSRF 基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。除了用户id之外,还可以存储其他的和用户相关的信息,例如用户角色,用户性别等。

请求流程

  1. 用户使用用户名密码来请求服务器
  2. 服务器进行验证用户的信息
  3. 服务器通过验证发送给用户一个token
  4. 客户端存储token,并在每次请求时附送上这个token值
  5. 服务端验证token值,并返回数据

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持 CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了 Access-Control-Allow-Origin: *

JWT的结构

一个JWT是下面的结构

加密后jwt信息如下所示,是由.分割的三部分组成,分别为Header、Payload、Signature

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT 的组成

  • Head -主要包含两个部分,alg指加密类型,可选值为HS256RSA等等,typ=JWT为固定值,表示token的类型

    Header:
{
 "alg": "HS256",
 "typ": "JWT" }

  • Payload - Payload又被称为Claims包含您想要签署的任何信息

    Claims:
{
 "sub": "1234567890",
 "name": "John Doe", "admin": true }

    JWT Payload的组成

    Payload通常由三个部分组成,分别是 Registered Claims ; Public Claims ; Private Claims ;每个声明,都有各自的字段。

    Registered Claims

    iss 【issuer】发布者的url地址

    sub 【subject】该JWT所面向的用户,用于处理特定应用,不是常用的字段

    aud 【audience】接受者的url地址

    exp 【expiration】 该jwt销毁的时间;unix时间戳

    nbf 【not before】 该jwt的使用时间不能早于该时间;unix时间戳

    iat 【issued at】 该jwt的发布时间;unix 时间戳

    jti 【JWT ID】 该jwt的唯一ID编号

  • Signature 对 则为对Header、Payload的签名

    Signature:
base64UrlEncode(Header) + "." + base64UrlEncode(Claims)

头部、声明、签名用 . 号连在一起就得到了我们要的JWT 也就是夏明这种类型的字符串

eyJhbGciOiJIUzI1NiJ9.

eyJleHAiOjE1MTUyOTgxNDEsImtleSI6InZhdWxlIn0.

orewTmil7YmIXKILHwFnw3Bq1Ox4maXEzp0NC5LRaFQ

其实这些事一行的,我只是让看的更直白点将其割开了。

JAVA 实现

JAVA中使用JWT

使用Maven引入和Gradle引入

Maven

 <dependency>     
 <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency>

Gradle

 dependencies { compile 'io.jsonwebtoken:jjwt:0.9.0' }

JWT依赖于Jackson,需要在程序中加入Jackson的jar包且版本大于2.x

签发JWT

public static String createJWT() { SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; SecretKey secretKey = generalKey(); JwtBuilder builder = Jwts.builder() .setId(id) // JWT_ID .setAudience("") // 接受者 .setClaims(null) // 自定义属性 .setSubject("") // 主题 .setIssuer("") // 签发者 .setIssuedAt(new Date()) // 签发时间 .setNotBefore(new Date()) // 失效时间 .setExpiration(long) // 过期时间 .signWith(signatureAlgorithm, secretKey); // 签名算法以及密匙 return builder.compact(); }

验证JWT

public static Claims parseJWT(String jwt) throws Exception { SecretKey secretKey = generalKey(); return Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(jwt) .getBody(); }

完整示例

package com.tingfeng.demo;

import com.google.gson.Gson;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.apache.tomcat.util.codec.binary.Base64; import javax.crypto.SecretKey; import javax.crypto.spec.SecretKeySpec; import java.util.Date; import java.util.HashMap; import java.util.Map; public class JwtUtil { /** * 由字符串生成加密key * * @return */ public SecretKey generalKey() { String stringKey = Constant.JWT_SECRET; // 本地的密码解码 byte[] encodedKey = Base64.decodeBase64(stringKey); // 根据给定的字节数组使用AES加密算法构造一个密钥 SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES"); return key; } /** * 创建jwt * @param id * @param issuer * @param subject * @param ttlMillis * @return * @throws Exception */ public String createJWT(String id, String issuer, String subject, long ttlMillis) throws Exception { // 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。 SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; // 生成JWT的时间 long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); // 创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的) Map<String, Object> claims = new HashMap<>(); claims.put("uid", "123456"); claims.put("user_name", "admin"); claims.put("nick_name", "X-rapido"); // 生成签名的时候使用的秘钥secret,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。 // 一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。 SecretKey key = generalKey(); // 下面就是在为payload添加各种标准声明和私有声明了 JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body .setClaims(claims) // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的 .setId(id) // 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。 .setIssuedAt(now) // iat: jwt的签发时间 .setIssuer(issuer) // issuer:jwt签发人 .setSubject(subject) // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。 .signWith(signatureAlgorithm, key); // 设置签名使用的签名算法和签名使用的秘钥 // 设置过期时间 if (ttlMillis >= 0) { long expMillis = nowMillis + ttlMillis; Date exp = new Date(expMillis); builder.setExpiration(exp); } return builder.compact(); } /** * 解密jwt * * @param jwt * @return * @throws Exception */ public Claims parseJWT(String jwt) throws Exception { SecretKey key = generalKey(); //签名秘钥,和生成的签名的秘钥一模一样 Claims claims = Jwts.parser() //得到DefaultJwtParser .setSigningKey(key) //设置签名的秘钥 .parseClaimsJws(jwt).getBody(); //设置需要解析的jwt return claims; } public static void main(String[] args) { User user = new User("tingfeng", "bulingbuling", "1056856191"); String subject = new Gson().toJson(user); try { JwtUtil util = new JwtUtil(); String jwt = util.createJWT(Constant.JWT_ID, "Anson", subject, Constant.JWT_TTL); System.out.println("JWT:" + jwt); System.out.println("\n解密\n"); Claims c = util.parseJWT(jwt); System.out.println(c.getId()); System.out.println(c.getIssuedAt()); System.out.println(c.getSubject()); System.out.println(c.getIssuer()); System.out.println(c.get("uid", String.class)); } catch (Exception e) { e.printStackTrace(); } } }

Constant.java

package com.tingfeng.demo;

import java.util.UUID;

public class Constant { public static final String JWT_ID = UUID.randomUUID().toString(); /** * 加密密文 */ public static final String JWT_SECRET = "woyebuzhidaoxiediansha"; public static final int JWT_TTL = 60*60*1000; //millisecond }

输出示例

JWT:eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiIxMjM0NTYiLCJzdWIiOiJ7XCJuaWNrbmFtZVwiOlwidGluZ2ZlbmdcIixcIndlY2hhdFwiOlwiYnVsaW5nYnVsaW5nXCIsXCJxcVwiOlwiMTA1Njg1NjE5MVwifSIsInVzZXJfbmFtZSI6ImFkbWluIiwibmlja19uYW1lIjoiWC1yYXBpZG8iLCJpc3MiOiJBbnNvbiIsImV4cCI6MTUyMjMxNDEyNCwiaWF0IjoxNTIyMzEwNTI0LCJqdGkiOiJhNGQ5MjA0Zi1kYjM3LTRhZGYtODE0NS1iZGNmMDAzMzFmZjYifQ.B5wdY3_W4MZLj9uBHSYalG6vmYwdpdTXg0otdwTmU4U

解密

a4d9204f-db37-4adf-8145-bdcf00331ff6
Thu Mar 29 16:02:04 CST 2018 {"nickname":"tingfeng","wechat":"bulingbuling","qq":"1056856191"} Anson 123456

总结

优点

  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
  • 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展

安全相关

  • 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  • 保护好secret私钥,该私钥非常重要。
  • 如果可以,请使用https协议

参考文章

http://www.ibloger.net/article/3075.html

jjwt-gitHub:https://github.com/jwtk/jjwt

https://blog.youkuaiyun.com/u012240455/article/details/79019825

https://blog.youkuaiyun.com/u012017645/article/details/53585872

http://itindex.net/detail/58305-jwt-json-web

http://itindex.net/detail/58305-jwt-json-web

http://itindex.net/detail/58629-json-web-token

https://www.jianshu.com/p/d215e70dc1f9

转载于:https://www.cnblogs.com/5-28/p/11239131.html

JWT令牌从入门精通:SpringBoot整合实战+原理深度剖析(附完整代码)
2402_83235349的博客
06-08 428
"JWTJSON Web Token)是现代Web开发中身份验证的主流方案。本文从原理到实践详细讲解JWT的组成结构、Java代码实现、登录流程整合以及安全最佳实践,包含完整工具类和SpringBoot整合示例。点赞收藏,关注不迷路!"
基于javaweb+SSM的网上图书商城网上书店(java+SSM+Jsp+MySQL+Redis+JWT+Shiro+RabbitMQ+EasyUI)
m0_71049690的博客
05-17 234
这个项目涉及到Shiro整合JWT、秒杀功能所具备的基本要求(限流、乐观锁、接口隐藏、JMeter高并发测试等等)、消息中间件RabbitMQ的异步邮件通知和死信队列、沙箱支付宝模拟支付等等技术亮点。 项目功能:该项目分为买家、卖家、管理员三个角色。买家角色的功能:登录、注册、浏览图书、管理购物车、结算订单、支付订单、查看订单、修改个人信息等等功能。 卖家角色的功能:登录、注册、浏览商品、管理自己发布的图书、管理收到的订单、查看自己的收益详情等等。管理员角色的功能:登录、管理所有用户信息、管理权限信息、管理
JWT HandBook —— 官方使用手册下载链接
简简单单记录
09-02 827
官网地址:https://jwt.io/introduction/ 版本:JWT v0_14_1 网盘链接:https://pan.baidu.com/s/1m3HaQvp6bMiAYdRUhH7i3Q 提取码:a2xm
JWT
michaelforgood的博客
02-26 397
https://www.jianshu.com/p/576dbf44b2ae
JWT工具类
qq_59066017的博客
10-27 1729
log.debug("Token过期时间:" + new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(expDate));//获取签名秘钥,并采用HS256的加密算法进行提签名。//根据name和type取中相应的value。//解析token中的数据载体部分。秘钥用于signature(签名)部分的加密和解密。//当前时间 + ttl = 过期时间。* ttl token的过期时间。//创建jwt字符串并返回。根据用户传入的ttl计算出过期时间。
jwt实现
m0_72729869的博客
07-29 4567
JSONWebtoken简称JWT,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWTS的应用程序不再需要保存有关其用户的cookie或其他session数据。此特性便于可伸缩性,同时保证应用程序的安全。...
Node.js从入门精通
11-08
Node.js从入门精通的知识点涵盖了Node.js的基础到高级应用,包括包管理、后端服务器搭建、事件模型、文件系统操作、路径处理、HTTP压缩、模板引擎、数据库集成、用户认证等多个方面。 1. **包管理器**:Node.js有...
JWT令牌从入门精通
最新发布
07-23
集成到 Web 框架中 在 Flask 或 Django 等 Web 框架中,JWT 可用于实现无状态的身份验证机制。例如,在 Flask 中使用 `Flask-JWT` 或 `Flask-JWT-Extended` 插件简化 JWT 的处理流程。 --- ###
springboot从入门精通
08-08
本资源包"springboot从入门精通"旨在帮助初学者和进阶者全面掌握SpringBoot的核心概念和技术。 一、SpringBoot基础 SpringBoot的基础部分涵盖了如何创建第一个SpringBoot项目,通过起步依赖(Starters)简化Maven...
Spring Security JWT学习 (七)
给自己一个smile
03-30 1077
目录 一、JWT简介 1. 什么是JWT 2. JWT组成 二、JJWT简介 1. 什么是JJWT 2. 快速入门 Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解 (二) 3. Spring Security 接口详解 (三) 4. Spring Security 工作原理 (四) 5. Spring Security 查询数据库(五) 5. Spring Security
JWT小工具
wjs_1997的博客
09-23 441
/** * The most handsome man. * User: jason.Wang * Date: 2020/9/23 * Time: 22:19 * Description: */ /** * JWT工具类 */ public class JwtUtil { //有效期为 public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000 一个小时 //设置秘钥明文 public st.
JWT使用
ming_xiang的博客
01-05 1308
JWTJSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。
Java基础之《JWT使用》
csj50的专栏
11-07 4040
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token。
JWT令牌创建和解析讲解
Leon_Jinhai_Sun的博客
05-09 3349
JJWT的介绍和使用 JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。 官方文档: https://github.com/jwtk/jjwt 创建TOKEN (1)依赖引入 在parent项目中的pom.xml中添加依赖: <!--鉴权--> <dependency> <groupId>io.j
JavaWeb阶段学习知识点(二)
weixin_68658847的博客
06-21 1247
JavaWeb阶段学习知识点(二)
JWT技术简介和使用
han1725692339的博客
07-27 2822
jsonwebtoken通过数字签名的方法,以json对象为载体,在不同的服务器之间安全的传输信息.
JWT快速入门及理论知识
孤星的博客
04-14 1853
什么是JWT规范? JWT规范将一个token分为3部分,分别是标头(header)、载荷(payload)、签名(verify signature)三部分并以.进行分割,也就是说一个符合JWT规范所生成的token格式应当如下: xxxxx.yyyyy.zzzzz tip:JWT官网:https://jwt.io/ 标头(header) 标头首先是一个JSON,通常包含两部分。分别是代表令牌类型和所使用的签名的加密算法的typ和alg, 例: { "alg": "HS256", "typ": "J
设计模式.构建器模式(Jwt.builder().build())
记录 分享 成就
04-22 3978
Jwts.builder() //写入账号状态 .claim(STATUS, jwtSetting.getStatus()) // 写入认证对象的权限集 .claim(PLATFORM, jwtSetting.getPlatform()) // 写入认证账号显示名称 .claim(SHOWNAME, jwtSetting.getShowName()) // 写入认证账户名 .setSubject(jwtSetting.getLoginName()) // 写入认证对象具体信息 .claim(ACCOUNT.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值