2. 程式人生 > 其它 >JWT(JSON Web Token)認證小結

JWT(JSON Web Token)認證小結

阿新 發佈:2021-01-16

技術標籤:java後端# SpringBootjwtspring bootjava

jwt(JSON Web Token)

在這裡插入圖片描述

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC

algorithm) or a public/private key pair using RSA or ECDSA.

Jwt簡介

  • 傳統認證通過session,但是前後端分離和分散式專案無法使用,

  • jwt向認證成功的使用者返回一個token,以後使用者每次請求都攜帶該token來實現認證

  • 請求認證的token存放在客戶端localStorage中,請求時資料攜帶在header中,退出登入在loacalStorage中刪除該token即可

JWT結構

組成

jwt令牌由三部分組成

  1. 頭部(Header)
  2. 有效荷載(payload)
  3. 簽名(signature)

因此,JWT通常是xxxx.yyy.zzz

的形式

頭部(Header)

明文示例

{
    "alg":"HS256",
    "typ":"JWT"
}

alg:加密演算法

typ :型別

header部分會使用base64編碼,注意,base64並不是加密的過程,可以解碼

Payload

{
    "sub":"123465",
    "name":"zhansan",
    "admin":true
}

資料負載部分也會使用base64進行編碼,payLoad不要存放使用者敏感資訊

簽名(signature)

簽名使用編碼後的header和payload,以及一個金鑰,然後使用header中指定的簽名演算法進行簽名,簽名的作用是保證JWT沒有被篡改過

使用

pom依賴

 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.4.0</version>
</dependency>

生成token

//加密口令
String SECRET = "!Q$#&^&SCMd12";
Algorithm algorithm =  Algorithm.HMAC256(SECRET);

//設施過期時間為10min
Calendar expireTime =Calendar.getInstance();
expireTime.add(Calendar.MINUTE,10);
Map<String,Object> map = new HashMap<>();
map.put("alg","HS256");
map.put("typ","JWT");

String tokenStr = JWT.create()
    //header可以不用設定,一般用預設的就行
    .withHeader(map)
    .withClaim("uid", UUID.randomUUID().toString())
    .withClaim("name", "console")
    .withExpiresAt(expireTime.getTime())
    .sign(algorithm);
}

解析token

//加密口令
String SECRET = "!Q$#&^&SCMd12";
Algorithm algorithm =  Algorithm.HMAC256(SECRET);

JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT verify = verifier.verify(token);

System.out.println(verify.getHeader());
System.out.println(verify.getPayload());
System.out.println(verify.getSignature());

System.out.println(verify.getClaim("uid").asString());

一個示例util類

public class JwtUtil {
    private final static String  secretKey = "[email protected]#*&^&%^&BHv*h)dk782GYh";
    /**
     * 加密演算法
     */
    private static Algorithm algorithm =  Algorithm.HMAC256(secretKey);

    /**
     * 過期時間單位
     */
    private static int expiresUnit = Calendar.DAY_OF_YEAR;
    /**
     * 過期時間值
     */
    private static int expireAmount = 7;


    /**
     * 生成token
     * @param param payload中攜帶的資料對
     * @return
     */
    public static String generateToken(Map<String,String> param){
        JWTCreator.Builder builder = JWT.create();
        param.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(expiresUnit,expireAmount);
        builder.withExpiresAt(instance.getTime());
        String token = builder.sign(algorithm);
        return token;
    }

    /**
     * 生成token,payload中只有一組資訊
     * @param key 攜帶資料的key
     * @param value 攜帶資料的值
     * @return
     */
    public static String generateToken(String key, String value){
        JWTCreator.Builder builder = JWT.create();

        Calendar instance = Calendar.getInstance();
        instance.add(expiresUnit,expireAmount);
        builder.withClaim(key,value);
        builder.withExpiresAt(instance.getTime());
        String token = builder.sign(algorithm);
        return token;
    }


    /**
     * 驗證token,驗證失敗會丟擲異常
     * @param token 需要驗證的token
     * @return 解碼後的token,可以獲取寫入的值
     */
    public static DecodedJWT verifyToken(String token){
        DecodedJWT decodedJWT = JWT.require(algorithm).build().verify(token);
        return  decodedJWT;
    }
}

攔截器

配置了jwt後,使用攔截器對使用者的token進行驗證

public class JwtInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<String,Object> map = new HashMap<>();
        String token = request.getHeader("token");
        try{
            DecodedJWT decodedJWT = JwtUtil.verifyToken(token);
            //放行
            return true;
        }catch (SignatureVerificationException e){
            map.put("msg","無效簽名");
        }catch (TokenExpiredException e){
            map.put("msg","token過期");
        }catch (AlgorithmMismatchException e){
            map.put("msg","token演算法不一致");
        }catch (Exception e){
            map.put("msg","無效token");
        }

        map.put("status",false);

        //返回json資料
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(json);
        return false;
    }
}

攔截配置

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtInterceptor()).addPathPatterns("/**").excludePathPatterns("/login","/");
    }
}

相關推薦

JWT(JSON Web Token)認證小結

技術標籤:java後端# SpringBootjwtspring bootjava jwt(JSON Web Token) JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting i

python-JWT(Json Web Token)-pyjwt

JWT的引入 傳統登入認證流程: 1. 使用者第一次登入時, 生成一個token並返回給前臺, 同時將其與使用者主鍵一同存在後臺伺服器上(資料庫或快取中)2. 下一次訪問需要登入的頁面時, 將token一起傳入3. 後臺拿著token去資

JWT(json web token)--.JwtBearer IdentityServer4--客戶端憑證授權

新建ASP .NET Core Web Api ,名稱Linjie.JWT.IDS4 2、右鍵專案 NuGet程式包管理工具 新增IdentityServer4,注意版本 不要選4.x.x以上的,選擇4.x.x以下的,本文選擇的是3.1.3,原因是4.x.x版本相對3.x.x版本的改動比

JWT JSON Web Token 令牌 技術 在 微服務 中 鑑權功能的使用

JWT是一種規範,本身也是一個字串,作用就是加密,不便於理解, 程式可以解讀其資訊,往往作為令牌使用,;

JWT(JSON Web Token)簡介、原理與用法

本文系轉載,點選檢視原文。 JSON Web Token(縮寫 JWT)是目前最流行的跨域認證解決方案,本文介紹它的原理和用法。

什麼是 JWT -- JSON WEB TOKEN

什麼是JWT Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分散式站點的單點登入(SSO)場景。JWT的宣告一般被用來在身

基於JWTJSON Web Token)的token身份驗證

相逢便是緣,路過點個贊 ^.^ 原始碼:https://github.com/yulc-coding/java-note/tree/master/jwt

JSON Web Token(JWT、JWS、JSE)

前言 基於session/cookie的web網站認證方式轉變為了基於OAuth2等開放授權協議的單點登入模式(SSO),相應的基於伺服器session+瀏覽器cookie的Auth手段也發生了轉變,Json Web Token出現成為了當前的熱門的Token

json web token JWT實現TP5建立和驗證

composer 安裝JWT composer require lcobucci/jwt 3.3 在extend/tools/jwt建立Token.php 注意:如果沒有該目錄,則自行建立。

java JWTjson web token)三分鐘快速掌握

一:jwt 共有三部分: 令牌組成: 1.標頭(header) 2.有效載荷(payload) 3.簽名(Signature)

SpringCloud Alibaba(七) - JWTJSON Web Token

原文連結: JWT詳解:https://blog.csdn.net/weixin_45070175/article/details/118559272 1、什麼是JWT

yb課堂之登陸校驗Json Web Token實戰之封裝通用方法 《九》

引入相關依賴並開發JWT工具類,開發生產token和校驗token的方法 加入相關依賴 <dependency>

yb課堂之實戰登陸模組開發整合Json Web Token《十》

開發登陸模組功能,並整合Json Web Token 開發登陸功能 LoginRequest.java UserMapper.xml UserMapper.java

CTFHub題解-技能樹-Web進階-JSON Web Token 【敏感資訊洩露、無簽名】

CTFHub題解-技能樹-Web進階-JSON Web Token(敏感資訊洩露、無簽名、弱金鑰) 題外話:emmmm,停更了辣麼久......我又厚臉皮回來更新了,哈哈哈哈哈~(。・∀・)ノ゙

JSON Web Token 入門教程

JSON Web Token(縮寫 JWT)是目前最流行的跨域認證解決方案,本文介紹它的原理和用法。

JTW(Json Web Token)

跨地域認證問題(轉載) 任何服務都離不開伺服器認證的問題,一般的伺服器認證流程如下:

SpringCloud中JWT元件實現token認證

技術標籤:工具類 上上週六抽了個空去海康面試了一把,跟人經理聊了近一個小時,聊的過程是很美好的,但還是沒有通過,可能是因為我是一個並不怎麼好看的妹子吧?

Json Web Token

什麼是JSON Web Token JSON Web Token(JWT) 是一個開源標準,體積小且自包含的並且可以在兩者間進行安全傳輸JSON物件。這些資訊都是經過加密和簽名。(常用一些演算法HMAC和RSA 或者ECDSA)

Json Web Token 校驗通用方法

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>

JSON Web Token - 在Web應用間安全地傳遞資訊

JSON Web TokenJWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。