JSON Web Token (JWT): 理解与应用

news2024/12/26 11:36:49

JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。JWT通常用于身份验证和授权目的,因为它可以使用JSON对象在各方之间安全地传输信息

官网地址:https://jwt.io/

0.介绍

通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。

0.1.JWT的应用场景

身份验证 : 当用户成功登录时,服务器会生成一个JWT并将其发送给客户端。客户端在后续请求中将JWT附加到HTTP请求头中,以此来证明用户的身份。

授权 : JWT中可以包含用户的权限信息,这样服务器可以根据这些信息决定用户是否被允许访问某些资源。

信息传递 : 除了用户的身份和权限外,JWT还可以用来携带其他有用的信息,如用户的偏好设置等。

在 java 中 常与 Spring Security 框架配合使用

JWT的认证流程如下:

  1. 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探
  2. 后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串
  3. 后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可
  4. 前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)
  5. 后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等
  6. 验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果

在这里插入图片描述

0.2.优点

这种基于token的认证方式相比传统的session认证方式更节约服务器资源,并且对移动端和分布式更加友好。其优点如下:

  • 支持跨域访问:cookie是无法跨域的,而token由于没有用到cookie(前提是将token放到请求头中),所以跨域后不会存在信息丢失问题

  • 无状态:token机制在服务端不需要存储session信息,因为token自身包含了所有登录用户的信息,所以可以减轻服务端压力

  • 更适用CDN:可以通过内容分发网络请求服务端的所有资料

  • 更适用于移动端:当客户端是非浏览器平台时,cookie是不被支持的,此时采用token认证方式会简单很多

  • 无需考虑CSRF:由于不再依赖cookie,所以采用token认证方式不会发生CSRF,所以也就无需考虑CSRF的防御

1.JWT的结构

JWT是一种自包含的令牌格式。JWT由三个部分组成:头部、载荷和签名。

在这里插入图片描述

1.1.头部 (Header)

头部通常包含两个部分:

  • typ: 表示该令牌的类型,通常是“JWT”。
  • alg: 指定签名算法,例如 HMAC SHA-256 或 RSA。

头部通常以JSON格式书写,并经过Base64Url编码。

1.2.载荷 (Payload)

载荷包含了需要作为声明传输的信息。这些声明可以分为三类:

  • 标准声明:由JWT规范定义的声明。
    • iss (issuer): 发行者。
    • sub (subject): 主题,通常是指用户ID。
    • aud (audience): 接收者,即令牌的预期受众。
    • exp (expiration time): 过期时间。
    • nbf (not before): 该时间之前不可使用。
    • iat (issued at): 发行时间。
    • jti (JWT ID): 一个唯一的标识符,用于防止重放攻击。
  • 私有声明:由发行者和接收者约定的声明,例如用户的角色或权限等。
  • 公共声明:虽然不是JWT规范的一部分,但可以在任何JWT中使用。

载荷也是经过Base64Url编码的。

1.3.签名 (Signature)

签名部分保证了JWT的完整性和安全性。签名通过将头部和载荷进行编码并使用指定的算法(如HMAC SHA-256 RSA或ECDSA)进行计算得到。签名确保了:

  • 令牌没有被篡改。
  • 令牌是由可信的一方发行的。

签名部分同样经过Base64Url编码。

1.4.JWS, JWK

JWS ,也就是JWT Signature,其结构就是在之前nonsecure JWT的基础上,在头部声明签名算法,并在最后添加上签名。创建签名,是保证jwt不能被他人随意篡改。我们通常使用的JWT一般都是JWS

为了完成签名,除了用到header信息和payload信息外,还需要算法的密钥,也就是secretKey。

加密的算法一般有2类:

  • 对称加密:secretKey指加密密钥,可以生成签名与验签
  • 非对称加密:secretKey指私钥,只用来生成签名,不能用来验签(验签用的是公钥)

JWT的密钥或者密钥对,一般统一称为JSON Web Key,也就是JWK

到目前为止,jwt的签名算法有三种:

  • HMAC【哈希消息验证码(对称)】:HS256/HS384/HS512
  • RSASSA【RSA签名算法(非对称)】 :(RS256/RS384/RS512)
  • ECDSA【椭圆曲线数据签名算法(非对称)】 :(ES256/ES384/ES512)

2.实现与工具

2.1.jjwt (Java JWT)

GitHub 仓库地址:https://github.com/jwtk/jjwt

这是一个基于Java的库,用于在JVM和Android平台上创建和验证JSON Web Tokens (JWTs)和JSON Web Keys (JWKs)。

它支持多种JOSE工作组的RFC规范:

  • RFC 7519: JSON Web Token (JWT)
  • RFC 7515: JSON Web Signature (JWS)
  • RFC 7516: JSON Web Encryption (JWE)
  • 等等
2.1.1.导入Maven依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
</dependency>
2.1.2.测试代码
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.security.Key;
import java.util.Date;
import java.util.UUID;

@RestController
public class JwtController {

    // 密钥 : 实际开发时 应该从 配置文件 / 持久化存储中 获取
    private String secret;

    // token时效:24小时
    public static final long EXPIRE = 1000 * 60 * 60 * 24;


    @RequestMapping("/create")
    public String createToken(){

        // 生成一个随机的密钥 ID
        String keyId = UUID.randomUUID().toString();

        // 密钥
        secret = keyId;



        // 创建一个 JWT 令牌
        String jwt = Jwts.builder()

                // 设置JWT头部参数,指定令牌类型为JWT
                .setHeaderParam("typ", "JWT")
                // 设置JWT头部参数,指定签名算法为HS256
                .setHeaderParam("alg", "HS256")
                // 设置JWT过期时间,当前时间戳加上设定的过期时长
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                // 设置主题,通常是用户身份标识
                .setSubject("admin")
            
                // 添加角色声明
                .claim("role", "admin")
                // 设置用户ID为1
                .claim("id", 1)
                // 设置用户昵称为"王小二"
                .claim("nickname", "王小二")
            
                // 设置令牌签发时间
                .setIssuedAt(new Date())
                // 设置唯一标识符
                .setId( keyId )

                // 使用HS256算法和密钥签名
                .signWith(SignatureAlgorithm.HS256, secret.getBytes())


                // 将令牌压缩为紧凑形式的字符串
                .compact();

        return jwt;
    }


    @RequestMapping("/check")
    public  void checkToken(String jwt) {
        System.out.println("jwt = " + jwt);

        // 创建一个安全的密钥
        Key secureKey = Keys.hmacShaKeyFor(secret.getBytes());

        try {
            // 使用Jwts.parserBuilder()方法构建一个解析器,该解析器使用secureKey作为签名密钥
            // 然后使用这个解析器解析jwt字符串,获取到Claims对象,即JWT的主体部分
            Claims claims = Jwts.parserBuilder()
                    .setSigningKey(secureKey)
                    .build()
                    .parseClaimsJws(jwt)
                    .getBody();


            // 打印解析后的 JWT 信息
            System.out.println("Subject: " + claims.getSubject());
            System.out.println("Role: " + claims.get("role", String.class));
            System.out.println("Issue Time: " + claims.getIssuedAt());
            System.out.println("JWT ID: " + claims.getId());
            System.out.println("user nickname: " + claims.get("nickname"));

            // 可以在这里添加更多逻辑来验证 JWT 的有效性,例如检查过期时间等
            if(claims.getExpiration()==null){
                System.out.println("过期时间不能为空 Expiration time cannot be null");
            }

        } catch (Exception e) {
            // 如果 JWT 无法验证,这里会捕获异常
            System.err.println("Invalid JWT: " + e.getMessage());
        }
    }
}

2.2.Nimbus

Nimbus JOSE + JWT 是一个非常强大的 Java 库,用于处理 JSON Web Signature (JWS), JSON Web Encryption (JWE), JSON Web Key (JWK), JSON Web Token (JWT) 和 OAuth 2.0 授权服务器。这个库是由 NimbusDS 开发的,并且广泛应用于身份验证和授权系统中。

2.2.1.导入依赖

首先,您需要在 Maven 项目中添加 json-jwt 的依赖:

        <dependency>
            <groupId>com.nimbusds</groupId>
            <artifactId>nimbus-jose-jwt</artifactId>
            <version>9.40</version>
        </dependency>
2.2.2.测试代码

import com.nimbusds.jose.JOSEException;
import com.nimbusds.jose.JWSAlgorithm;
import com.nimbusds.jose.JWSHeader;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;
import com.nimbusds.jwt.JWTClaimsSet;
import com.nimbusds.jwt.SignedJWT;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.text.ParseException;
import java.util.Date;
import java.util.UUID;

@RestController
public class JwtController {

    // 密钥 : 实际开发时 应该从 配置文件 / 持久化存储中 获取
    private String secret;

    @RequestMapping("/create")
    public String createToken() {
        try {
            // 生成一个随机的密钥 ID
            String keyId = UUID.randomUUID().toString();

            // 密钥
            secret = keyId;

            // 创建一个 HMAC 签名器
            MACSigner signer = new MACSigner(secret.getBytes());


            // 设置 JWT 的声明
            JWTClaimsSet.Builder builder = new JWTClaimsSet.Builder();
            builder.subject("admin");
            builder.claim("role", "admin");
            builder.issueTime(new Date());
            builder.jwtID(keyId);
            // 构建 JWT Claims Set
            JWTClaimsSet claimsSet = builder.build();
            // 创建一个空的 SignedJWT 对象
            SignedJWT signedJWT = new SignedJWT(
                    new JWSHeader(JWSAlgorithm.HS256),
                    claimsSet);
            // 签名 JWT
            signedJWT.sign(signer);
            // 将 JWT 转换为紧凑形式
            String jwt = signedJWT.serialize();

            return jwt;
        } catch (JOSEException e) {
            e.printStackTrace();
        }
        return null;
    }


    @RequestMapping("/check")
    public void checkToken(String jwt) {
        try {
            System.out.println("jwt = " + jwt);
            // 解析 JWT
            SignedJWT signedJWT = SignedJWT.parse(jwt);
            // 验证 JWT
            MACVerifier verifier = new MACVerifier( secret.getBytes() );
            boolean isValid = signedJWT.verify(verifier);
            if (!isValid) {
                System.out.println("无效的 JWT 签名 Invalid JWT signature.");
                return;
            }
            // 获取 JWT Claims
            JWTClaimsSet claimsSet = signedJWT.getJWTClaimsSet();
            System.out.println("Subject: " + claimsSet.getSubject());
            System.out.println("Role: " + claimsSet.getStringClaim("role"));
            System.out.println("Issue Time: " + claimsSet.getIssueTime());
            System.out.println("JWT ID: " + claimsSet.getJWTID());

        } catch (JOSEException | ParseException e) {
            e.printStackTrace();
        }
    }
    
    /**
    * token 通过 header传递
    * 再通过 request 取出
    */
    @RequestMapping("/checkHeader")
    public void checkHeaderToken(HttpServletRequest request) {
        try {
            String jwt = request.getHeader("Authorization");

            System.out.println("jwt header=> " + jwt);
            // 解析 JWT
            SignedJWT signedJWT = SignedJWT.parse(jwt);
            // 验证 JWT
            MACVerifier verifier = new MACVerifier( secret.getBytes() );
            boolean isValid = signedJWT.verify(verifier);
            if (!isValid) {
                System.out.println("无效的 JWT 签名 Invalid JWT signature.");
                return;
            }
            // 获取 JWT Claims
            JWTClaimsSet claimsSet = signedJWT.getJWTClaimsSet();
            System.out.println("Subject: " + claimsSet.getSubject());
            System.out.println("Role: " + claimsSet.getStringClaim("role"));
            System.out.println("Issue Time: " + claimsSet.getIssueTime());
            System.out.println("JWT ID: " + claimsSet.getJWTID());

        } catch (JOSEException | ParseException e) {
            e.printStackTrace();
        }
    }
}

2.2.3.请求测试
###
GET http://localhost:8080/create

生成token : eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcyMzQ1MDgyOCwiaWF0IjoxNzIzMzY0NDI4LCJqdGkiOiI5Yzc3N2YwZC03NDU5LTQ3MTUtYmVkNy1mNWViYzJiNmMwOTgifQ.Y_P7L4gehl0kJwxTnwUxX8Yy502qrCHQ0hkxod58ly8

###
GET http://localhost:8080/check?jwt=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcyMzQ1MDgyOCwiaWF0IjoxNzIzMzY0NDI4LCJqdGkiOiI5Yzc3N2YwZC03NDU5LTQ3MTUtYmVkNy1mNWViYzJiNmMwOTgifQ.Y_P7L4gehl0kJwxTnwUxX8Yy502qrCHQ0hkxod58ly8

idea 控制台:
Subject: admin
Role: admin
Issue Time: Sun Aug 11 16:20:28 CST 2024
JWT ID: 9c777f0d-7459-4715-bed7-f5ebc2b6c098

###
GET http://localhost:8080/checkHeader
Content-Type: application/json
Authorization: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcyMzQ1MDgyOCwiaWF0IjoxNzIzMzY0NDI4LCJqdGkiOiI5Yzc3N2YwZC03NDU5LTQ3MTUtYmVkNy1mNWViYzJiNmMwOTgifQ.Y_P7L4gehl0kJwxTnwUxX8Yy502qrCHQ0hkxod58ly8

idea 控制台:
Subject: admin
Role: admin
Issue Time: Sun Aug 11 16:20:28 CST 2024
JWT ID: 9c777f0d-7459-4715-bed7-f5ebc2b6c098

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2052215.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

4.5、配置vtp域

一、了解vtp域 VTP&#xff08;VLAN Trunking Protocol&#xff09;域是一个在网络中用于管理和同步VLAN配置信息的概念。它使得多个交换机可以在同一VTP域中共享VLAN信息&#xff0c;从而简化了VLAN的配置和管理。 三种主要模式 Server模式&#xff1a; 交换机可以创建、修…

Nginx的进程模型:Master-Worker架构解析

Nginx的进程模型&#xff1a;Master-Worker架构解析 一、Master-Worker架构概述二、Master进程的职责三、Worker进程的特点四、与Apache进程模型的对比 &#x1f496;The Begin&#x1f496;点点关注&#xff0c;收藏不迷路&#x1f496; Nginx作为高性能Web服务器&#xff0c…

代码随想录算法训练营day45:动态规划part12:115.不同的子序列;583. 两个字符串的删除操作;72. 编辑距离

目录 115.不同的子序列 分析&#xff1a; 583. 两个字符串的删除操作 72. 编辑距离 115.不同的子序列 力扣题目链接(opens new window) 给定一个字符串 s 和一个字符串 t &#xff0c;计算在 s 的子序列中 t 出现的个数。 字符串的一个 子序列 是指&#xff0c;通过删除…

初识Linux · 基本指令(1)

目录 前言&#xff1a; 基本指令 1.1 pwd 1.2 ls 1.3 mkdir cd clear 1.4 touch 1.5 ls部分补充 1.6 whoami 1.7 有关目录以及路径 前言&#xff1a; 今天是Linux系列的第一章节&#xff0c;对于Linux的主线学习大概会更新两个半月左右&#xff0c;中间穿插着算法…

vue中 在scoped下通过@import引入scss的作用域?

<style lang"scss" src"./index.scss" scoped></style>人工智能学习网站 https://chat.xutongbao.top

nbcio-boot基于flowable6.7.2的流程模型版本管理-前端与界面

更多技术支持与服务请加入我的知识星球。 这部分主要讲前端与功能界面方面 1、首先增加发布列表与修改状态api接口 // 查询流程发布列表 export function listPublish(query) {return request({url: /flowable/definition/publishList,method: get,params: query})}// 激活/挂…

pytorch之nn.Module使用介绍

在 PyTorch 中&#xff0c;nn.Module 是所有神经网络模型的基类&#xff0c;提供了许多重要的成员函数。以下是一些常用的成员函数及其功能&#xff1a; 1. __init__(self) 描述&#xff1a;初始化模块。在用户定义的模型中&#xff0c;通常用来定义层和其他模块。 示例&…

【hot100篇-python刷题记录】【最大子数组和】

R5-普通数组 印象题&#xff0c;讲思路&#xff1a; 1.0个元素&#xff0c;返回0 2.将从left到right的计算简化为为left-mid&#xff0c;mid1-right 以及left-mid-right 3者的最大值&#xff08;因为有负数&#xff09; 3.上面左右两边的计算可以递归调用本身函数&#xff0…

第二十二节、创建人物状态栏

一、可视化插件 在层级面板名字加上对应的图标&#xff0c;会显示颜色&#xff0c;需要运行一下 二、UI 1、创建一个画布 由于使用新的新输入系统&#xff0c;需要替换一下 2、设置锚点 作用是&#xff1a;当屏幕分辨率更改后&#xff0c;ui图标不会位移 3、设置填充 4、制…

tomcat 运行javaweb项 提示无法将资源添加到Web应用程序缓存解决方法

javaweb项目tomcat启动提示web资源缓存不足&#xff0c;具体如下&#xff0c;不影响项目运行 15-Aug-2024 13:35:20.200 警告 [localhost-startStop-1] org.apache.catalina.webresources.Cache.getResource 无法将位于[/WEB-INF/classes/web-vue2/ssdev/ux/login/style/font/f…

2000-2022年 上市公司代理成本(原始数据、上市公司代理成本的最终结果、do文件,参考文献等等)

上市公司代理成本&#xff08;2000-2022年&#xff09; 上市公司的代理成本是公司治理中一个重要的概念&#xff0c;它涉及到公司内部不同利益相关者之间的利益冲突和协调问题。主要包含以下几个方面&#xff1a; 监督成本&#xff1a;股东为了确保经理人的行为符合公司和股东的…

VR游戏移植到Apple Vision Pro的技术挑战与解决方案

核心观点: 30Hz手部追踪在90Hz游戏中的适配 是最大挑战,需要创新性解决方案。Vision Pro的独特架构 要求重新思考着色器编译和缓存策略。全沉浸模式下的空间音频实现 需要自定义解决方案。早期适配 可能面临技术限制,但也带来市场先机。学习指南: 深入研究Vision Pro的手部…

分代回收机制

分代回收机制 JVM分代回收策略 JVM分代回收策略就是Java 虚拟机根据对象存活的周期不同&#xff0c;把堆内存划分为几块&#xff0c;一般分为新生代、老年代&#xff0c;永久代&#xff0c;不过永久代在JDK1.8永久移除了&#xff0c;被元空间取代了 新生代 新生代主要是用来…

【docker】docker compose进阶

docker compose docker compose简介docker compose yaml格式1、docker-compose部署tomcat2、docker-compose部署mysql3、docekr-compose部署lnmp项目需求准备依赖文件、配置nginx配置mysql配置php编写docker-compose.yml配置mysql 4、容器部署registry&#xff0c;进行容器上传…

Springboot+公寓信息服务小程序—计算机毕业设计源码无偿分享需要私信20481

摘要 本论文主要论述了如何使用springboot开发一个公寓信息服务小程序&#xff0c;本系统将严格按照软件开发流程进行各个阶段的工作&#xff0c;面向对象编程思想进行项目开发。在引言中&#xff0c;作者将论述公寓信息服务小程序的当前背景以及系统开发的目的&#xff0c;后续…

STL介绍以及string类

什么是STL 是C标准库的重要组成部分&#xff0c;不仅是一个可复用的组件库&#xff0c;而且是一个包罗数据结构与算法的软件框架。 STL的六大组件 为什么要学习string类 C语言中的字符串 C语言中&#xff0c;字符串是以\0结尾的一些字符的集合&#xff0c;为了操作方便&am…

3-4 RGB LED(智能应用篇)

3-4 RGB LED&#xff08;智能应用篇&#xff09; 3-4 RGB LEDRGB-LED及电路示例程序效果演示 3-4 RGB LED Led的灯珠和灯带&#xff0c;相当于点和线&#xff08;可以画出丰富否画面&#xff09; 主要介绍led灯珠 RGB-LED及电路 RGB-LED可以发出红、绿、蓝色的光芒&#xff0…

Flutter 09 Future 和 Stream

一、Future 和 Stream 是处理异步操作的两个重要概念&#xff1a; Future&#xff1a; Future 用于表示一个延迟操作的值或错误&#xff0c;即异步操作的结果。通过 Future&#xff0c;可以在异步操作完成后获取其结果。可以使用 async 和 await 关键字来处理 Future&#xf…

Cisco Catalyst 8000v Edge Software, IOS XE Release IOSXE-17.14.01a ED

Cisco Catalyst 8000v Edge Software, IOS XE Release IOSXE-17.14.01a ED Cisco Catalyst 8000V 边缘软件 - 虚拟路由器 请访问原文链接&#xff1a;https://sysin.org/blog/cisco-catalyst-8000v/&#xff0c;查看最新版。原创作品&#xff0c;转载请保留出处。 作者主页&…

Redis笔记-分布式存储方案中哨兵模式配置

以前在系统分析师中学习到了Redis哨兵模式&#xff0c;只知道其中基本概念&#xff0c;但不知道怎么去配这个&#xff0c;今天看到某项目&#xff0c;特意记录下其配置过程。哨兵模式比主从模式&#xff0c;更具有容错性。 Redis分布式存储方案 分布式存储方案 核心特点 主从…