JWT介绍及入门

已于 2024-07-24 10:27:36 修改
阅读量848 收藏 8
点赞数 6
分类专栏: # SpringSecurity 文章标签: spring springsecurity JWT
于 2024-07-24 10:18:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aliyunyyds/article/details/140655662
版权

文章目录



在这里插入图片描述


1.介绍

JSON Web Token(JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

2.Jwt组成

在这里插入图片描述

头部(Header)(非敏感)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。
{"typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码https://www.qqxiuzi.cn/bianma/base64.htm,编码后的字符串如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

在这里插入图片描述

载荷(playload)(非敏感数据)

载荷就是存放有效信息的地方。该部分的信息是可以自定义的

定义一个payload:
{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64编码,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG7CoERvZSIsImFkbWluIjp0cnVlfQ==

签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
签名算法( header (base64后的).payload (base64后的) . secret )

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret秘钥组合加密,然后就构成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG7CoERvZSIsImFkbWluIjp0cnVlfQ==.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

3.入门

<dependencies>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>

    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
        <scope>test</scope>
    </dependency>
</dependencies>

3.1 生成令牌

@Test
public void testGenerate(){
    String compact = Jwts.builder()
                .setId(UUID.randomUUID().toString())//设置唯一标识
                .setSubject("TEST") //  设置主题
                .claim("name", "赵金麦") //自定义信息
                .claim("age", 26) //自定义信息
                //.setExpiration(new Date()) //设置过期时间
                .setIssuedAt(new Date()) //令牌签发时间
                .signWith(SignatureAlgorithm.HS256, "HELLOWORLD")
                .compact();//签名算法, 秘钥

        System.out.println(compact);
}

打印消息如下:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2ZjNkOGQxMi1lMTUzLTQ5MzctYTRmMi0wNjY0ZTE0ZDBjYWUiLCJzdWIiOiJURVNUIiwibmFtZSI6Iui1temHkem6piIsImFnZSI6MjYsImlhdCI6MTY4NDAzMzA2NH0.DDYMtiVZBnicaZqbnwl-MvfZK5xhGu6hkJKGgKqc2Ik

注意

//如果 SignatureAlgorithm.HS256 报红。
//请检查下 SignatureAlgorithm 导包是否正确:
import io.jsonwebtoken.SignatureAlgorithm;

3.2 校验令牌

@Test
public void testVerify(){
    String jwt = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2ZjNkOGQxMi1lMTUzLTQ5MzctYTRmMi0wNjY0ZTE0ZDBjYWUiLCJzdWIiOiJURVNUIiwibmFtZSI6Iui1temHkem6piIsImFnZSI6MjYsImlhdCI6MTY4NDAzMzA2NH0.DDYMtiVZBnicaZqbnwl-MvfZK5xhGu6hkJKGgKqc2Ik
";
    Claims claims = Jwts.parser().setSigningKey("HELLOWORLD").parseClaimsJws(jwt).getBody();
    System.out.println(claims);
}

解析结果如下:
解析


当我们对令牌进行任何部分(header , payload , signature)任何部分进行篡改, 都会造成令牌解析失败 ;

LocalStorage :

<script>
    localStorage.setItem("name", "li");

    alert(localStorage.getItem("name"))

    localStorage.removeItem("name");
</script>

4 JWT 原理

  • 在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下:{“UserName”: “Chongchong”,“Role”:
  • “Admin”,“Expire”: “2018-08-08 20:15:56”} 之后,当用户与服务器通信时,客户在请求中发回JSON对象
  • 为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证

5 JWT的验证过程

它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。接收方生成签名的时候必须使用跟JWT发送方相同的密钥。

  注1:在验证一个JWT的时候,签名认证是每个实现库都会自动做的,但是payload的认证是由使用者来决定的。因为JWT里面可能会包含一个自定义claim,所以它不会自动去验证这些claim,以jjwt-0.7.0.jar为例:

    A 如果签名认证失败会抛出如下的异常:

      io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.

即签名错误,JWT的签名与本地计算机的签名不匹配

   B JWT过期异常

      io.jsonwebtoken.ExpiredJwtException: JWT expired at 2017-06-13T11:55:56Z. Current time: 2017-06-13T11:55:57Z, a difference of 1608 milliseconds.  Allowed



在这里插入图片描述



JWT入门到精通
weixin_46228563的博客
06-09 941
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
JWT入门
weixin_64987028的博客
05-19 1525
一、JWT简介 1.什么是JWTJWT(JSON WEBTOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么要使用JWT? ...
JWT token信息保存
weixin_30393907的博客
09-29 2369
1、先来讲述一下token保存在浏览器端的几种不同的方式 (1)可以选择在cookie中进行保存,在服务端的代码为 String token = Jwt.createToken(payload); Cookie cookie = new Cookie("token", token); cookie.setMa...
JWT 到底是个什么串,里面包含了什么信息
cpxsxn的博客
03-02 2382
在开始之前先对 JWT 做个简单介绍:from: https://www.jianshu.com/p/164c3ff9033f JWT生成的Token是一个用两个点(.)分割的长字符串; 分割成的三部分分别是Header头部,Payload负载,Signature签名 即 Header.Payload.Signature JWT是不加密的,任何人都可以读的到其中的信息,其中第一部分 Header ...
jwt介绍
weixin_48917433的博客
09-13 568
jwt介绍
JWT具体包含信息
Leon_Jinhai_Sun的博客
01-02 1004
header 标头通常由两部分组成:令牌的类型(即JWT) 和所使用的签名算法,例如HMAC SHA256或RSA。 它会使用Base64 编码组成JWT 结构的第一部分。 注意:Base64是一 种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 { "alg" : "HS256" "typ" : "JWT" } Payload 令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用Base64 编码组成JWT结构的第二
实现登录逻辑的实现,基于jjwt生成token值存储信息
weixin_43288858的博客
08-26 1066
密码加解密,并比对 <!--Spring Seucrity 加密模块--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> </dependency> 因为父工程引入了上面这
SpringBoot集成JWT快速入门Demo
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
前后端接口安全技术JWT极速入门教程.pdf
11-20
下面将详细介绍 JWT 的主要概念和组成部分。 1. **JWT 介绍** JWT 是一种轻量级的身份验证标准,它允许在客户端和服务器之间传递认证和授权信息,而无需在服务器端存储会话状态。JWT 本身包含了所有必要的认证信息...
JWT快速入门
09-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
关于JWT
lxk116688的博客
05-09 883
本文借鉴JWT详解 什么是JWT? 在介绍JWT之前,我们先来回顾一下token进行用户验证单的流程: 1.客户端使用用户名和密码请求登录 2.服务端收到请求,验证用户名和密码 3.验证成功后,服务端会签发一个token,在把这个token返回给客户端 4.客户端收到token后可以把他存储起来,比如放到cookie中 5.客户端每次向服务器请求资源时,需要携带服务端签发的token,可以在cookie或者header中携带 6.服务端收到请求之后,去验证客户端请求里面带着的token,如果验证成功,就向
Jwt简介
春花秋月冬雪风,留得残荷听雨声。
01-07 1517
Jwt(Java Web token) 一、 传统的token 1.Session 存放服务器端—Session ID Session示意图 2.Token+Redis token示意图 Session缺点集群无法共享—redis 中 Token类似于Session lD Token依赖于Redis真实token存放value值 使用Token缺点:每次都需要根据token查询真实内容,对服务器端压力就非常大。| Jwt先学习json、token(加密算法对称非对称加密算法) 二、jwt(JSON WE
jwt中的token里面包含哪些内容?
qq_42449963的博客
04-08 8606
目录1、定义2、作用3、结构3.1、Header3.2、Payload3.3、Signature4、生成token的代码 1、定义 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2、作用 1、Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是
认识JWT
weixin_34244102的博客
07-07 596
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorization (...
JWT基础介绍
Alan0517
03-13 2682
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
JWT介绍与使用
Luoqian00的博客
06-09 211
常见的声明有:iss(签发者)、sub(主题)、aud(受众)、exp(过期时间)、nbf(生效时间)等。服务器接收到JWT后,可以使用相同的密钥和签名算法来验证签名的有效性。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部(Header): 头部通常由两部分组成:令牌的类型(即"JWT")和所使用的签名算法(如HMAC、RSA等)。总结:JWT是一种用于身份验证和授权的开放标准,通过使用头部、载荷和签名,实现了简单、安全和可扩展的身份验证机制。
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 4800
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT详解
xiao_xiao_w的博客
05-26 908
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递生命而执行的一种基于JSON的开放标准。JWT本身没有定义任何技术实现,它只是定义了一种基于token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别使用与分布式站点的单点登录场景一个JWT Token格式它有 . 分割成但部分组成,头部负载签名头部和负载以JSON形式存在,这就是JWT中的JSON,三部分的内容都分别单独经过了 Base64编码,以 . 拼接成一个JWT Token。
JWT用于长时间保存用户认证信息
m0_75015716的博客
11-09 1620
JWT用于长时间保存用户认证的信息
jwt入门
最新发布
03-19
### JSON Web Token (JWT) 的基本概念和用法 #### 1. JWT 的定义 JSON Web Token(简称 JWT)是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。它是一个紧凑、URL 安全的字符串,能够被任何人读取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值