2. 程式人生 > 程式設計 >基於JWT(JSON Web Token)的token身份驗證

基於JWT(JSON Web Token)的token身份驗證

阿新 發佈:2020-06-24

相逢便是,路過點個^.^

原始碼:https://github.com/yulc-coding/java-note/tree/master/jwt

介紹

JWT是一種用於通訊雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範,經常用在跨域身份驗證。因為存在數字簽名,因此可以起到防串改的作用

傳統session模式

相對於傳統的session認證,通常將session儲存在服務端,需要伺服器去維護。並且在伺服器叢集或請求服務跨域的情況下,需要共享session,使每臺伺服器都能讀取session,比如將session持久化,增加了開銷。

jwt token模式

使用者登入後伺服器將相關資料生成一個token返回客戶端
客戶端每次發起請求帶上token
伺服器獲取token後校驗token驗證合法性

格式

  • Header 頭資訊
{
  "alg""Algorithm  加密方法:HS256",
  "cty""Content Type ",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"typ": "Type" ,45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"kid": "Key Id"
 }
複製程式碼
  • Payload 載體資訊:資料包放在這裡
"iss": "Issuer JWT的簽發者",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"aud": "Audience 接收JWT的一方",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"sub": "Subject JWT的主題",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">
 
"exp": "Expiration Time JWT的過期時間",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"nbf": "Not Before 在xxx之間,該JWT都是可用的",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"iat": "Issued At 該JWT簽發的時間",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"jti": "JWT ID JWT的唯一身份標識",45); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-attr">"xxx": "自定義屬性"
}
複製程式碼

  • Signature 簽名資訊 = 加密演演算法(header + "." + payload,金鑰)

  • TOKEN

base64(Header).base64(Payload).Signature
複製程式碼

程式碼

pom

    <!-- JWT 支援-->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.8.3</version>
    </dependency>

    <!-- 很好用的一個工具類包 這裡用來處理json和AES加密-->
    <groupId>cn.hutool</artifactId>hutool-all</version>5.0.3</dependency>
複製程式碼

建立token

可以傳入公有宣告的欄位,也可以傳入自定義的欄位

   /**
     * 建立token
     *
     * @param json 需要放入token的引數,多個引數可以封裝成json或者map
     * @return token
     */
    public static String createToken(JSONObject json) {
        try {
            // 加密方式
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            return JWT.create()
                    .withSubject(json.toString())
                    .withIssuer("ylc")
                    // 設定過期時間為1分鐘後
                    .withExpiresAt(DateUtil.offsetMinute(new Date(), 1))
                    .withClaim("customString""自定義引數")
                    .withArrayClaim("customArray"new Integer[]{1,250); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-number">2,250); word-wrap: inherit !important; word-break: inherit !important;" class="hljs-number">3})
                    .sign(algorithm);
        } catch (JWTCreationException exception) {
            //Invalid Signing configuration / Couldn't convert Claims.
            System.out.println(exception.getMessage());
            return null;
        }
    }
複製程式碼

token校驗

包含:
格式校驗:header.payload.signature
加密方式校驗: Header中的alg值
簽名資訊Signature校驗,防止資料被篡改
載體Payload 中公有宣告欄位校驗,如iss,jti,exp過期時間的校驗

    /**
     * 校驗token 合法性
     *
     * @param token to verify.
     */
    static boolean verifyToke(String token) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm)
                    // 驗證簽發人是否相同
                    .withIssuer("ylc")
                    .build();
            /*
             * 校驗:
             * 格式校驗:header.payload.signature
             * 加密方式校驗 Header中的alg
             * 簽名資訊校驗,防串改
             * 載體Payload 中公有宣告欄位校驗
             */
            verifier.verify(token);
            true;
        } catch (JWTVerificationException //Invalid signature/claims
            System.out.println(false;
        }
    }
複製程式碼

解析token

可以通過jwt.getClaims() 獲取所有宣告欄位
也可以通過 jwt.getClaim(name) 獲取指定名稱的宣告欄位

/**
 * 解析token
 *
 * @param token to decode.
 */
static void decodeToken(String token{
    try {
        DecodedJWT jwt = JWT.decode(token);
        Map<String, Claim> claims = jwt.getClaims();
        Claim customStringClaim = claims.get("customString");
        Claim customArrayClaim = claims."customArray");

        String issuer = jwt.getIssuer();
        String subject = jwt.getSubject();

        System.out.println(customStringClaim.asString());
        System.out.println(Arrays.toString(customArrayClaim.asArray(Integer.class)));
        System.out.println(issuer);
        System.out.println(JSONUtil.parseObj(subject));

    } catch (JWTDecodeException exception) {
        //Invalid token
        System.out.println(exception.getMessage());
    }
}
複製程式碼

缺點

  • 預設生成的token不加密,別人可以解析token獲取到其中的資料,如果要傳遞敏感資訊,可以先將資訊加密後再放入token,或者將生成的token進行加密
  • 每次延長token有效期,會從新生成一個token,需要前端替換原有的token
  • 由於伺服器不儲存 session狀態,因此無法在使用過程中廢止某個token,或者更改 token的許可權。也就是說,一旦JWT簽發了,在到期之前就會始終有效,需要在服務端設定相應的業務邏輯去處理。

相關推薦

基於JWTJSON Web Tokentoken身份驗證

相逢便是緣,路過點個贊 ^.^ 原始碼:https://github.com/yulc-coding/java-note/tree/master/jwt

java JWTjson web token三分鐘快速掌握

一:jwt 共有三部分: 令牌組成: 1.標頭header 2.有效載荷payload 3.簽名Signature

SpringCloud Alibaba(七) - JWTJSON Web Token

原文連結: JWT詳解:https://blog.csdn.net/weixin_45070175/article/details/118559272 1、什麼是JWT

Web端線上實時聊天,基於WebSocket前後端分離

這是一個簡易的Demo,已經實現了基礎的功能 之前一直想實現一個實時聊天的系統,一直沒有去實踐他。有一天吃飯的時候掃碼點菜,幾個人點菜能夠實時更新,當時就在想,這應該是同一種技術。

從零開始的SpringBoot專案 ( 七 ) 實現基於Token的使用者身份驗證

1.首先了解一下Token uid: 使用者唯一身份標識 time: 當前時間的時間戳 sign: 簽名, 使用 hash/encrypt 壓縮成定長的十六進位制字串,以防止第三方惡意拼接

部門結構樹優化json遞迴

實體類 public class SysDept { private static final long serialVersionUID = 1L; /** 部門ID */ private Long deptId;

TomcatJava Web伺服器

Tomcat 伺服器是一個免費的開放原始碼的Web 應用伺服器,屬於輕量級應用伺服器

雙目相機基於SGMsemi-global matching演算法獲取深度資訊

摘要: 最近在做雙目視差估計演算法,在OpenCV裡有一些演算法,其中半全域性塊匹配Semi-Global Block Matching,SGBM演算法具有視差效果好速度快的特點,因此常常被廣泛應用。本文主要討論的就是SGBM演算法。

Spring環境搭建---全註解不用web,xml

首先要建立Maven Web專案,不需要web.xml,如果有的話直接刪除。 特別注意:Spring在整合其他元件的時候,如果其他元件已引入了一些Spring的jar包如spring-data-mongodb,要注意與專案使用的主版本最後一致,不

.Net Core——SignalR實時web應用

https://www.cnblogs.com/muchengqingxin/p/13195229.html 何為實時 先從理論上解釋一下兩者的區別。

自適應網頁設計Responsive Web Design

自適應網頁設計Responsive Web Design 隨著3G的普及,越來越多的人使用手機上網。

pytorch二十一:交叉驗證

一、K折交叉驗證 將訓練集分成K份,一份做驗證集,其他做測試集。這K份都有機會做驗證

ES基礎四十八叢集身份認證與使用者鑑權

如何為叢集啟用X-Pack Security 如何為內建使用者設定密碼 設定 Kibana與ElasticSearch通訊鑑權

asp.net core 整合JWTtoken的強制失效,基於策略模式細化api許可權

【前言】   上一篇我們介紹了什麼是JWT,以及如何在asp.net core api專案中整合JWT許可權認證。傳送門:https://www.cnblogs.com/7tiny/p/11012035.html

JSON Web Token(JWT、JWS、JSE)

前言 基於session/cookie的web網站認證方式轉變為了基於OAuth2等開放授權協議的單點登入模式SSO,相應的基於伺服器session+瀏覽器cookie的Auth手段也發生了轉變,Json Web Token出現成為了當前的熱門的Token

python-JWT(Json Web Token)-pyjwt

JWT的引入 傳統登入認證流程: 1. 使用者第一次登入時, 生成一個token並返回給前臺, 同時將其與使用者主鍵一同存在後臺伺服器上(資料庫或快取中)2. 下一次訪問需要登入的頁面時, 將token一起傳入3. 後臺拿著token去資

JWT(json web token)--.JwtBearer IdentityServer4--客戶端憑證授權

新建ASP .NET Core Web Api ,名稱Linjie.JWT.IDS4 2、右鍵專案 NuGet程式包管理工具 新增IdentityServer4,注意版本 不要選4.x.x以上的,選擇4.x.x以下的,本文選擇的是3.1.3,原因是4.x.x版本相對3.x.x版本的改動比

JWT JSON Web Token 令牌 技術 在 微服務 中 鑑權功能的使用

JWT是一種規範,本身也是一個字串,作用就是加密,不便於理解, 程式可以解讀其資訊,往往作為令牌使用,;

JWT(JSON Web Token)認證小結

技術標籤:java後端# SpringBootjwtspring bootjava jwt(JSON Web Token) JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting i

json web token JWT實現TP5建立和驗證

composer 安裝JWT composer require lcobucci/jwt 3.3 在extend/tools/jwt建立Token.php 注意:如果沒有該目錄,則自行建立。