JWT

最新推荐文章于 2025-02-24 17:09:33 发布
最新推荐文章于 2025-02-24 17:09:33 发布
阅读量566 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: SpringCloud - 教学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangningkid/article/details/99548202

一、JWT简介

a. JWT(JSON Web Token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
b. 相比于session,它无需保存在服务器,不占用服务器内存开销。
c. 无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。
d. 前后端分离,支持跨域访问。

二、JWT的组成

JWT是由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串。
就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT包含了三部分:
Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型)
Payload 负载 (类似于飞机上承载的物品, 这里指的就是数据本身)
Signature 签名/签证

Header - JWT的头部承载两部分信息:token类型和采用的加密算法。
{
“alg”: “HS256”,
“typ”: “JWT”
}
声明类型:这里是jwt
声明加密的算法:通常直接使用 HMAC SHA256
加密算法是单向函数散列算法,常见的有MD5、SHA、HAMC。
MD5(message-digest algorithm 5) (信息-摘要算法)缩写,广泛用于加密和解密技术,常用于文件校验。不管文件多大,经过MD5后都能生成唯一的MD5值
SHA (Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,安全性高于MD5
HMAC (Hash Message Authentication Code),散列消息鉴别码,基于密钥的Hash算法的认证协议。用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。常用于接口签名验证

Payload - 载荷就是存放有效信息的地方。
有效信息包含三个部分
1.标准中注册的声明
2.公共的声明
3.私有的声明
标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: 面向的用户(jwt所面向的用户)
aud: 接收jwt的一方
exp: 过期时间戳(jwt的过期时间,这个过期时间必须要大于签发时间)
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息

signature - jwt的第三部分是一个签证信息,这个签证信息由三部分组成
header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和进行验证,所以需要保护好。

三、SpringBoot整合JWT

  1. 添加maven依赖
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.8.2</version>
</dependency>
  1. 创建JWT工具类或Service类
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator.Builder;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.apache.commons.lang.time.DateUtils;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

public class JwtUtils {
    private static JWTVerifier verifier;
    private static final String SECRET = "A_string_of_arbitrary_length|Also_can_be_the_user's_password.";
    private static final String ISSUER = "PEGASUS";
    private static final String NAME = "JWT_ID";

    public static String createToken(String id) {
        Map<String, String> payload = new HashMap<>();
        payload.put(NAME, id);
        return create(payload);
    }

    public static String analyseToken(String token) {
        DecodedJWT decodedJWT = JwtUtils.verify(token);
        return decodedJWT.getClaim(NAME).asString();
    }

    public static String create(Map<String, String> payload) {
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        Map<String, Object> headers = new HashMap<String, Object>();
        headers.put("alg", "HS256");
        headers.put("typ", "JWT");
        Builder builder = JWT.create() // 创建JWT构建器
                .withJWTId(UUID.randomUUID().toString()) // 设置JWT的ID
                .withHeader(headers) // 设置头部信息
                .withIssuer(ISSUER) // 签名的生成者
                .withSubject("SUBJECT") // 签名主题
                .withNotBefore(new Date()) // 定义在什么时间之前,该JWT都是不可用的
                .withAudience("AUDIENCE") // 签名的接受者
                .withIssuedAt(new Date()) // 生成签名的时间
                .withExpiresAt(DateUtils.addMinutes(new Date(), 10)); // 签名过期时间
        payload.forEach((key, value) -> builder.withClaim(key, value));
        return builder.sign(algorithm);
    }

    public static DecodedJWT verify(String token) {
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        if (verifier == null) {
            verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
        }
        return verifier.verify(token);
    }
}
  1. 调用测试
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.HashMap;
import java.util.Map;

public class App {
    public static void main(String[] args) {
        Map<String, String> payload = new HashMap<>();
        payload.put("name", "张三");
        payload.put("age", "18");
        payload.put("sex", "男");
        String sign = JwtUtils.create(payload);
        System.out.println(sign);

        DecodedJWT verify = JwtUtils.verify(sign);
        System.out.println(verify.getClaim("name").asString());
        System.out.println(verify.getClaim("age").asString());
        System.out.println(verify.getClaim("sex").asString());

    }
}
JWT详解
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT初步了解
早上真起不来的博客
06-20 236
JWT 文章目录JWTJwt 底层组成部分:1、头部2、Payload 装载的数据3、验证签名JWT优缺点 1、Session 存放服务器端— Session ID 2、Token + Redis Session 缺点集群无法共享 — redis 中 Token 类似于 Session ID Token 依赖于 Redis 真实 token 存放 value 值 使用 Token 缺点:每次都需要根据 token查询真实的内容,对服务器端压力就非常大。 jwt 先学习 json、token (加密算法
springboot 配置 jjwt
fengxing_2的专栏
08-09 1832
JWT全名JSON WEB Token主要作用为用户身份验证, 广泛应用与前后端分离项目当中. JWT 的优缺点 :https://www.jianshu.com/p/af8360b83a9f 一、pom.xml 引入jar文件 <dependency> <groupId>io.jsonwebtoken&...
JWT解密用的的方法讲解Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
u010055960的博客
08-04 1821
将这些部分组合起来,整行代码的作用是:使用指定的密钥验证 JWT 的签名,去除 JWT 字符串的前缀(如果有),然后解析 JWT 并获取其负载部分,以便访问其中的声明。库中,这段代码用于解析并验证一个 JWT(JSON Web Token)。在这个示例中,我们首先定义了密钥和 JWT 字符串的前缀,然后使用。方法并传入去除了前缀的 JWT 字符串,最后通过调用。方法获取了 JWT 的负载部分,并从中访问了主题声明(对象,并设置了签名密钥。
Spring Boot整合JWT实现用户认证
z_ssyy的博客
12-06 749
JWT(Json Web Token),是一种工具,格式为的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录操作,通过JWT就可以实现这样一个用户认证的功能。当然使用Session可以实现这个功能,但是使用Session的同时也会增加服务器的存储压力,而JWT是将存储的压力分布到各个客户端机器上,从而减轻服务器的压力。JWT由3个子字符串组成,分别
使用JWT进行跨域身份验证
Java—wang的博客
07-30 242
<dependencies> <!-- JWT--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> </dependencies> import io.jsonwe...
JWT解密Token报错解决
李家小二
04-24 4014
JWT SignatureException
在 .NET 9.0 Web API 中实现 Scalar 接口文档及JWT集成
02-20
在.NET 9.0 Web API中集成Scalar接口文档和JWT是一项非常实用的技术实践,它允许开发者在构建Web API的同时,也能够提供一个详尽的接口文档,并且通过JWT(JSON Web Tokens)来实现安全的用户认证机制。随着Swagger...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
网络安全 - JWT 密钥爆破 - CrackingJWTKeys.py
09-29
JWT(JSON Web Token)是一种广泛用于身份验证和信息交换的开放标准。然而,JWT的安全性在很大程度上依赖于其签名的有效性,而签名的有效性又依赖于密钥的保密性。因此,保护JWT密钥不被破解至关重要。`...
Delphi JOSE and JWT Library
03-03
**Delphi JOSE and JWT Library 知识点详解** JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,广泛应用于分布式系统、API安全等领域。它通过将用户信息编码为一个安全的JSON对象,该对象可以被签名,也...
配置 Spring Security 和 JWT(四)
qiuweifan的博客
03-29 1645
userDetail和生成和验证JWT的实用程序类详解
JWT初学-生成与解密
qq_34819372的博客
10-31 3106
JWT初学-简单了解一下 demo代码git地址 jwt的maven依赖 &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;...
JWT使用
阿伟的博客
03-06 1056
JWT(JSON WEB TOKEN)使用
JWT使用教程
weixin_46456187的博客
02-24 1598
JWT是一种基于 Token 的认证授权机制. JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT最常见的场景就是授权认证,用户登录之后,后续的每个请求都将包含JWT, 系统在每次处理用户请求之前,都要先进行JWT的安全校验,通过校验之后才能进行接下来的操作。头部(Header) 进行BASE64编码https://base64.u
两种常规的登录方法(session+redis,jwt)
asrbily的博客
12-09 1344
最近做个小项目要实现登录后验证用户是否已经登录,如果是就运行该接口执行,否则不能操作 一,常规方法session加redis 客服端传入用户名和密码,如果用户名和密码都正确,就根据session的id在redis生成一个唯一的键,值就是该用户的信息 代码: @Autowired UserService userService; @Autowired RedisUtil redisUtil; @PostMapping("login") public Object login(@RequestBo
token系列2—解析(解码)及实际应用
yzw3270978316的博客
03-31 4139
Jwt系列2-解析及应用
JWT入门级,简单易用
书山有路勤为径,____________
05-10 551
作为一个新手,我认为第一步就是去看官方文档 jjwt 别管英语有多差,有道翻译或者网页翻译结果语义不尽相同,也要先看文档,尽管我也看不懂,但是能大概知道这是做什么的,拿来怎么使用,然后再根据博客和一些资料进行整理,我觉得这样能一个比较深刻的印象! 作用 官方文档上说,JWT(JSON Web Token) 是一种可以验证双方之间传递信息的手段,并且以JSON格式呈现,JWT是可签名的,变成JW...
jwt
最新发布
07-24
### JWT是什么? JWT(JSON Web Token)是一种紧凑且安全的表示方法,用于在不同实体之间传输声明(claims)。它是一种基于JSON的开放标准(RFC 7519),允许在客户端和服务器之间以安全的方式传递信息。JWT由三...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值