自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

JWT教你如何證明你是我的人!

作者:指北君
開(kāi)發(fā) 前端
JWT 的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息,以便于從資源服務(wù)器獲取資源。

哈嘍,大家好,我是指北君。是的,我知道你們都是我的人。

 今天帶大家來(lái)認(rèn)識(shí)一下JWT。

JWT簡(jiǎn)介

JWT(Json Web Token)是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于 Json 的開(kāi)放標(biāo)準(zhǔn)。JWT 的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息,以便于從資源服務(wù)器獲取資源。

基于token的鑒權(quán)機(jī)制

基于token的鑒權(quán)機(jī)制類(lèi)似于http協(xié)議也是無(wú)狀態(tài)的,它不需要在服務(wù)端去保留用戶的認(rèn)證信息或者會(huì)話信息。這就意味著基于token認(rèn)證機(jī)制的應(yīng)用不需要去考慮用戶在哪一臺(tái)服務(wù)器登錄了,由服務(wù)器通過(guò)秘鑰(serectkey)然后把用戶id以及其他信息包裝進(jìn)行一系列的加密算法生成,用戶登錄的成功,順帶把這個(gè)token返回到客戶端,用戶以后拿著token來(lái)訪問(wèn)相關(guān)資源,服務(wù)器接收到token,通過(guò)serectkey然后通過(guò)特定算法,解析出這個(gè)token中的用戶id,解析成功!那么這個(gè)人就是該用戶,然后通過(guò)解析出的id進(jìn)行該用戶的相關(guān)操作。這就為應(yīng)用的擴(kuò)展提供了便利。

JWT的認(rèn)證流程如下:

  • 首先,前端通過(guò)Web表單將自己的用戶名和密碼發(fā)送到后端的接口,這個(gè)過(guò)程一般是一個(gè)POST請(qǐng)求
  • 后端核對(duì)用戶名和密碼成功后,將包含用戶信息的數(shù)據(jù)作為JWT的Payload,將其與JWT Header分別進(jìn)行Base64編碼拼接后簽名,形成一個(gè)JWT Token,形成的JWT Token就是一個(gè)如同{header}.{payload}.{signature}的字符串后端將JWT Token字符串作為登錄成功的結(jié)果返回給前端。前端可以將返回的結(jié)果保存在瀏覽器中,退出登錄時(shí)刪除保存的JWT Token即可.
  • 前端在每次請(qǐng)求時(shí)將JWT Token放入HTTP請(qǐng)求頭中,后端檢查前端傳過(guò)來(lái)的JWT Token,驗(yàn)證其有效性,比如檢查簽名是否正確、是否過(guò)期、token的接收方是否是自己等等
  • 驗(yàn)證通過(guò)后,后端解析出JWT Token中包含的用戶信息,進(jìn)行其他邏輯操作(一般是根據(jù)用戶信息得到權(quán)限等),返回結(jié)果

注:這個(gè)token必須要在每次請(qǐng)求時(shí)傳遞給服務(wù)端,它應(yīng)該保存在請(qǐng)求頭里, 另外,服務(wù)端要支持CORS(跨來(lái)源資源共享)策略,一般我們?cè)诜?wù)端這么做

就可以了Access-Control-Allow-Origin:

JWT的構(gòu)成

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJ0ZXN0OTUyNyIsImlhdCI6MTY1NjU1OTY2OCwic3ViIjoie1widXNlcklkXCI6XCI5NTI3XCIsXCJ1c2VyTmFtZVwiOlwidGVzdDk1MjdcIn0iLCJleHAiOjE2NTY1NjE0Njh9.7oot0glDxaL-g7pOJ2mZld2VLRhpo0h5y_BbVI4ZolA

第一部分我們稱(chēng)它為頭部(header),第二部分我們稱(chēng)其為載荷(payload,類(lèi)似于飛機(jī)上承載的物品),第三部分是簽證(signature)。

頭部(header)

jwt的頭部承載兩部分信息:

  • 聲明類(lèi)型,這里是jwt
  • 聲明加密的算法,通常直接使用 HMAC SHA256。這的加密算法也就是簽名算法。

{ "alg":"HS256" } 經(jīng)過(guò)Base64編碼之后 ewogICAgImFsZyI6IkhTMjU2Igp9

載荷(payload)

載荷就是存放有效信息的地方。這些有效信息包含三個(gè)部分

  • 標(biāo)準(zhǔn)中注冊(cè)的聲明
  • 公共的聲明
  • 私有的聲明
{
    "sub":{"userId":"9527","userName":"test9527"},
    "exp":1656561468,
    "iat":1656559668,
    "jti":"test9527"
}
  • sub: 主體,一般是用戶信息,最好不要放入敏感信息
  • exp: jwt的過(guò)期時(shí)間,這個(gè)過(guò)期時(shí)間必須要大于簽發(fā)時(shí)間
  • iat: jwt的簽發(fā)時(shí)間
  • jti: jwt的唯一身份標(biāo)識(shí)

簽證(signature)

這個(gè)部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串,然后通過(guò)header中聲明的加密方式進(jìn)行加鹽secret組合加密,然后就構(gòu)成了jwt的第三部分。signature顧名思義就是簽名,簽名一般就是用一些算法生成一個(gè)能夠認(rèn)證身份的字符串,secret配置在服務(wù)器端,不能泄露出去,就可以自己給自己簽發(fā)token了。

JWT的使用(JAVA)

創(chuàng)建一個(gè)新項(xiàng)目,引入jwt包;

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

JWT工具類(lèi):

public class JwtUtil {
    //加密 解密時(shí)的密鑰 用來(lái)生成key
    public static final String JWT_KEY = "secret";
     // 過(guò)期時(shí)間30分鐘
    private static final long EXPIRE_TIME = 30 * 60 * 1000;
      //生成加密后的秘鑰 secretKey
      
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
    public static String createJWT(String id, String subject){
   
           //指定簽名的時(shí)候使用的簽名算法,也就是header那部分,jjwt已經(jīng)將這部分內(nèi)容封裝好了。
           SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
           //生成JWT的時(shí)間
           long nowMillis = System.currentTimeMillis();
           Date now = new Date(nowMillis);
           //生成簽名的時(shí)候使用的秘鑰secret,這個(gè)方法本地封裝了的,一般可以從本地配置文件中讀取,切記這個(gè)秘鑰不能外露哦。它就是你服務(wù)端的私鑰,在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。
           SecretKey key = generalKey();
           //這里其實(shí)就是new一個(gè)JwtBuilder,設(shè)置jwt的body
           JwtBuilder builder = Jwts.builder()
           //如果有私有聲明,一定要先設(shè)置這個(gè)自己創(chuàng)建的私有的聲明,這個(gè)是給builder的claim賦值,一旦寫(xiě)在標(biāo)準(zhǔn)的聲明賦值之后,就是覆蓋了那些標(biāo)準(zhǔn)的聲明的
                   .setClaims(claims)
           //設(shè)置jti(JWT ID):是JWT的唯一標(biāo)識(shí),根據(jù)業(yè)務(wù)需要,這個(gè)可以設(shè)置為一個(gè)不重復(fù)的值,主要用來(lái)作為一次性token,從而回避重放攻擊。
                   .setId(id)
           //iat: jwt的簽發(fā)時(shí)間
                   .setIssuedAt(now)
           //sub(Subject):代表這個(gè)JWT的主體,即它的所有人,這個(gè)是一個(gè)json格式的字符串,可以存放什么userid,roldid之類(lèi)的,作為什么用戶的唯一標(biāo)志。
                   .setSubject(subject)
           //設(shè)置簽名使用的簽名算法和簽名使用的秘鑰
                   .signWith(signatureAlgorithm, key);
   
               long expMillis = nowMillis + EXPIRE_TIME;
               Date exp = new Date(expMillis);
               //設(shè)置過(guò)期時(shí)間
               builder.setExpiration(exp);
           //就開(kāi)始?jí)嚎s為xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx這樣的jwt
           return builder.compact();
       }
    /**
     * 獲得token中的信息無(wú)需secret解密也能獲得
     * token中包含的用戶名
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT._decode_(token);
            return jwt.getClaim("userName").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}
  • 創(chuàng)建controller類(lèi);

圖片

訪問(wèn)測(cè)試;

圖片

拿到的token可以使用Base64解碼,可以看到,能看到用戶信息,所以,token中不要帶有敏感信息,防止泄露。

圖片

使用該token調(diào)用getUser接口,可以正確解析;

圖片

下面我們不使用getToken獲取token,而是偽造一個(gè)token;

{
    "sub":{
        "userId":"001",
        "userName":"test001"
    },
    "exp":1656561468,
    "iat":1656559668,
    "jti":"test001"
}

圖片

再組合header,payload和signature,得到新的token訪問(wèn)getUser;

eyJhbGciOiJIUzI1NiJ9.ewogICAgInN1YiI6ewogICAgICAgICJ1c2VySWQiOiIwMDEiLAogICAgICAgICJ1c2VyTmFtZSI6InRlc3QwMDEiCiAgICB9LAogICAgImV4cCI6MTY1NjU2MTQ2OCwKICAgICJpYXQiOjE2NTY1NTk2NjgsCiAgICAianRpIjoidGVzdDAwMSIKfQ==.7oot0glDxaL-g7pOJ2mZld2VLRhpo0h5y_BbVI4ZolA

得到結(jié)果如下:無(wú)法正確解析token,說(shuō)明此token無(wú)效最后, JWT過(guò)期時(shí)間要設(shè)置適宜 ,過(guò)長(zhǎng),可能會(huì)被截取到,造成用戶信息泄露安全等問(wèn)題;過(guò)短用戶體驗(yàn)不佳。

圖片

圖片

責(zé)任編輯:武曉燕 來(lái)源: Java技術(shù)指北
JWT服務(wù)器身份信息
相關(guān)推薦

2022-08-08 20:33:12

VolatileJVM

2019-06-20 15:43:22

手機(jī)行為生物識(shí)別UnifyID

2014-03-20 10:00:21

硅谷面試

2017-08-10 08:38:31

互聯(lián)網(wǎng)+政務(wù)刷臉

2013-12-13 09:41:18

周鴻祎360

2013-10-08 11:19:34

2022-09-05 08:01:20

JWTWeb安全

2023-10-28 09:13:32

系統(tǒng)面試官架構(gòu)

2019-08-02 17:48:16

戴爾

2025-04-01 08:50:48

2015-08-07 16:59:16

程序員習(xí)慣

2015-07-15 13:18:27

附近的人開(kāi)發(fā)

2024-05-16 10:59:16

Vue項(xiàng)目前端

2011-02-21 17:32:37

Vsftpd

2022-08-26 01:46:33

注冊(cè)中心NacosDNS

2019-11-11 08:45:52

HTTPTCP數(shù)據(jù)

2009-05-25 14:50:12

主考官面試招聘

2018-08-20 16:50:13

區(qū)塊鏈數(shù)據(jù)庫(kù)技術(shù)

2011-03-04 12:18:24

FileZilla

2023-12-06 09:10:28

JWT微服務(wù)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)