JWT验证

于 2024-05-15 10:03:12 发布
阅读量468 收藏 10
点赞数 4
文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_56864310/article/details/138891929
版权

JWT 认证

JSON Web Token

介绍

json web token (jwt) 是一个开放标准(rfc 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON 对象安全地 传输信息。此信息可以验证和信任,因为他是数字签名的。jwt 可以使用秘钥(使用HMAC算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名

通俗解释

JWT 简称 JSON Web Token,也就是通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安全地将信息作为 JSON 对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。在这里插入图片描述

JWT 的结构是什么

# 1.令牌的组成
- 1.标头(Header)
- 2.有效载荷(Payload)
- 3.签名(Signatrue)
- 因此,JWT 通常如下所示:xxxxx.yyyyyy.zzzzzzz Header.Payload.Signatrue

- 例子:
Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

# 1.标头(Header)
- 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如 HMACSHA256(写为HS256) 或 RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。

- 注意:Base64 是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。

{
	"alg":"HS256",      默认推荐算法
	"typ":"JWT"
}

# 2.有效载荷(Payload)
- 令牌的第二部分是有效负载,其中包含声明。声明是有关实体 (通常是用户名) 和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分

# 2.签名(Signatrue)
- 前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及 我们提供的一个密钥(secret),然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过

- 如 HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

三部分的组成图示

在这里插入图片描述

最后通过 jwt 组合 token 成图示

在这里插入图片描述

使用JWT

依赖 JWT pom 文件

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.3.0</version>
</dependency>

生成 token

 Calendar instance = Calendar.getInstance(); //日历类
instance.add(Calendar.SECOND,120000);

//header 有默认的 可以不用设置
String token = JWT.create()
                .withClaim("userId", "21") //payload
                .withClaim("username", "小黑")
                .withExpiresAt(instance.getTime()) //指定令牌的 过期时间
                .sign(Algorithm.HMAC256("dbl"));//签名 括号中的秘钥可以随便写 切记不可泄露

System.out.println(token);

- 输出结果eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MDgzNTY3MjIsInVzZXJJZCI6IjIxIiwidXNlcm5hbWUiOiLlsI_pu5EifQ.ZSIzSbhYDd3unuXNTg9nrN57cbjA3iwYPi2o-Z7SZEM

根据 令牌 和 签名解析数据

//创建验证对象
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("dbl")).build();
DecodedJWT verify = jwtVerifier.verify(token); //解析token 并可以从当前类中获取存入数据

Claim userId = verify.getClaim("userId");  //获取存入的数据
Claim username = verify.getClaim("username");
System.out.println("过期时间"+verify.getExpiresAt());
System.out.println(userId); //输出
System.out.println(username);

封装工具类

package com.li.utils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Calendar;
import java.util.Map;
// 简单的封装
public class JWTUtils {

    private static final String TOKEN = "@BanLi";

    //生成 token 三部分
    public static String getToken(Map<String,String> map){
        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();
        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });

        Calendar instance = Calendar.getInstance(); //日历类
        instance.add(Calendar.HOUR,2); //有效期是 2个小时

        builder.withExpiresAt(instance.getTime()); //指定过期时间
        return builder.sign(Algorithm.HMAC256(TOKEN));
    }

    // 验证token 合法性 是否有异常    
    public static void verify(String token){
       JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
											//这两个方法 实际就是表达一个意思
    //获取 payload 自包含的数据
    public static DecodedJWT getTokenInfo(String token){
        return  JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
}

在这里插入图片描述

JWT 最好的方式 是作为拦截器

- 拦截器写法

package com.li.config;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.li.utils.JWTUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
@Slf4j
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1、从 请求头 中获取令牌
        String token = request.getHeader("token");

        //2、校验令牌
        try {
            DecodedJWT tokenInfo = JWTUtils.getTokenInfo(token); // 令牌校验成功
            log.info("令牌中包含的内容:{}",tokenInfo.getClaim("userId").asString());
            return true;
        } catch (Exception e) {
            response.setStatus(404);
            return false;
        }
    }
}

- 注册这个 拦截器 以供全局使用

package com.li.config;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
@Configuration
@Slf4j
public class WebMvcJwt extends WebMvcConfigurer{

    @Autowired
    private JWTInterceptor jwtInterceptor;

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开启了自定义拦截器");
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")  //拦截全部请求
                .excludePathPatterns("/login"); //放行登录
    }
}
.NET Core Web API项目配置JWT验证
roc_wei_chen的博客
07-20 1484
本文介绍.NET Core WebAPI如何搭建JWT授权验证
Jwt验证
yyyjuedinging的博客
07-10 2074
json web token 其实就是一个字符串 string令牌1、标头(Header)​ 令牌类型(即jwt) + 使用的签名算法 最后通过Base64编码加密组成字符串变成JWT的一部分。2、有效载荷(Payload)​ 令牌的第二部分,有效负载,包含有关实体和其他数据的声明,除敏感信息,同样使用Base64组码加密组成JWT第二部 分 3、签名(Signature)​ Signature需要使用编码后的header和payload以及我们提供的密钥,再使用header指定的算法(HS256)进行
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 866
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8743
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
Core5 WebApi JWT验证登录+注入依赖Demo
12-12
【标题】"Core5 WebApi JWT验证登录+注入依赖Demo" 涉及到的关键技术主要集中在.NET Core 5框架下的WebAPI开发、JSON Web Token(JWT验证以及依赖注入。这里将详细介绍这些核心概念。 1. **WebAPI**: WebAPI是...
JDK7通过java-jwt验证
最新发布
03-10
JDK7通过java-jwt验证是一个十分实用的技术实现方式,它允许开发者在维护旧系统的兼容性的同时,也能使用上现代安全机制。这种实践对于那些需要处理大量遗留代码库的开发团队尤其重要,它让开发者能够在不进行大规模...
Node.js Express框架 实现 jwt验证 登录路由 上传文件接口 连接数据库
06-06
接下来,JWT验证是确保用户身份安全的重要手段。JWT是一种轻量级的身份验证标准,可以在客户端和服务器之间安全地传输信息。要在Express中实现JWT,你需要`jsonwebtoken`库。使用`npm install jsonwebtoken`进行安装...
Jwt认证
在努力学习的路上
03-05 1141
jwt认证、拦截器、token过期时间
JWT校验
Monster
03-08 2233
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
shuux666的博客
03-12 3万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
JWT身份验证
m0_65300193的博客
01-13 2996
1.JWT: 概念:全称就是Json Web Token,通过数字签名,以Json对象作为载体,在不同的服务终端之间安全的传输信息 作用:授权登录,用户登录后,他后续进行的每个请求都是带着他自己的token的,系统处理每次请求时都会进行JWT验证,即验证该token,通过才处理请求; 组成:JWT有三个组成部分: Header(头部信息):一般有两部分组成---(1).token类型(2).算法,然后进行base64的加密; Paylode(载荷):一般储存一些有效数据,密码,登陆时间等,然后进行b
jwt实现登录验证
lyc000412的博客
03-12 2308
jwt实现登录验证
nodejs 实现 jwt验证
06-08
首先,需要安装jsonwebtoken这个包,可以使用npm进行安装: ``` npm install jsonwebtoken --save ``` 接下来,可以使用如下代码实现JWT验证: ```javascript const jwt = require('jsonwebtoken'); // 定义一个密钥,用于加密和解密JWT const secret = 'my_secret_key'; // 创建一个JWT const token = jwt.sign({ userId: '123456' }, secret, { expiresIn: '1h' }); // 解密JWT jwt.verify(token, secret, (err, decoded) => { if (err) { console.log('JWT验证失败'); } else { console.log(decoded); // { userId: '123456', iat: 1621110414, exp: 1621114014 } } }); ``` 在这个例子中,我们定义了一个密钥`secret`,然后使用`jwt.sign`方法创建了一个JWT,并设置了过期时间为1小时。接着,我们使用`jwt.verify`方法对JWT进行验证,如果验证成功,就可以获得JWT的解密信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大板栗~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值