基於SpringBoot的 JSON Web Token(JWT)Token認證機制實現

原創 灬奔跑的蜗牛灬 2020-03-07 21:51

Token Auth的優點

  1. JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。
  2. 支持跨域訪問: Cookie是不允許垮域訪問的,這一點對Token機制是不存在的,前提是傳輸的用戶認證信息通過HTTP頭傳輸.
  3. 無狀態(也稱:服務端可擴展行):Token機制在服務端不需要存儲session信息,因爲Token 自身包含了所有登錄用戶的信息,只需要在客戶端的cookie或本地介質存儲狀態信息.
  4. 去耦: 不需要綁定到一個特定的身份驗證方案。Token可以在任何地方生成,只要在你的API被調用的時候,你可以進行Token生成調用即可.
  5. CSRF:因爲不再依賴於Cookie,所以你就不需要考慮對CSRF(跨站請求僞造)的防範。
  6. 不需要爲登錄頁面做特殊處理: 如果你使用Protractor 做功能測試的時候,不再需要爲登錄頁面做特殊處理.
  7. 基於標準化:你的API可以採用標準化的 JSON Web Token (JWT). 這個標準已經存在多個後端庫(.NET, Ruby, Java,Python, PHP)
    更適用CDN: 可以通過內容分發網絡請求你服務端的所有資料(如:javascript,HTML,圖片等),而你的服務端只要提供API即可.
  8. 移動應用: 當你的客戶端是一個原生平臺(iOS, Android,Windows 8等)時,Cookie是不被支持的(你需要通過Cookie容器進行處理),這時採用Token認證機制更合適。

JWT 基本規格。

JWT實際上就是一個字符串,它由三部分組成,頭部、載荷與簽名組成。
其實際的載荷(載荷(Payload))

jwt格式:jwtHeader.jwtPayLoad.Signature
頭部(header). 載荷(payload). 簽證(signature)

將對象編碼得到:Header 頭信息

	# 頭裏面放加密算法 及簽名信息
	{
    "type": "JWT",
    "alg": "BASE64"
	}

編碼字符串:
eyJ0eXBlIjoiSldUIiwiYWxnIjoiQkFTRTY0In0=


Map<String,String> header = new HashMap<String, String>();
        header.put("type","JWT");
        header.put("alg","BASE64");
        String jsonString = JSON.toJSONString(header);
        System.out.println(jsonString);

        BASE64Encoder base64Encoder = new BASE64Encoder();
        String encode = base64Encoder.encode(jsonString.getBytes("UTF-8"));
        System.out.println(encode);

        BASE64Decoder base64Decoder =  new BASE64Decoder();
        byte[] bytes = base64Decoder.decodeBuffer(encode);
        System.out.println(new String(bytes,"UTF-8" ));

在這裏插入圖片描述

jwtPayLoad:

{ 
  "iss": "springboot", #該JWT 的簽發者,可填/不填
  "iat": d, # 簽發時間 可填/不填
  "exp": 5s, # token 過期時間。uninx 時間戳 可填/不填
  "aud": "www.baidu.com", # 接受 jwt方 可填/不填
  "sub": "www.baidu.com" # 面向的用戶 可填/不填
}

加密解密:

Map<String,String> payLoadMap =  new HashMap<>();
        payLoadMap.put("iss","springboot");
        payLoadMap.put("iat","1234567");
        payLoadMap.put("exp","100s");
        payLoadMap.put("aud","ww.baidu.com");
        payLoadMap.put("sub","ww.baidu.com");
        String toString = JSON.toJSONString(payLoadMap);
        System.out.println(toString);
        HmacCore.HmacSHA256 hmacSHA256 = new HmacCore.HmacSHA256();

        String encode1 = base64Encoder.encode(toString.getBytes("UTF-8"));
        System.out.println(encode1);

        System.out.println(new String(base64Decoder.decodeBuffer(encode1),"UTF-8"));

利用JDK 自帶的BASE64Encoder 和 BASE64Decoder,方便的完成基於 BASE64 的編碼和解碼

eyJhdWQiOiJ3dy5iYWlkdS5jb20iLCJzdWIiOiJ3dy5iYWlkdS5jb20iLCJpc3MiOiJzcHJpbmdi
b290IiwiZXhwIjoiMTAwcyIsImlhdCI6IjEyMzQ1NjcifQ==

這個是payLoad的部分內容, jwt格式:jwtHeader.jwtPayLoad.Signature

對獲取的頭信息用(.)拼接,再用HS256 加密

eyJ0eXBlIjoiSldUIiwiYWxnIjoiQkFTRTY0In0=.eyJhdWQiOiJ3dy5iYWlkdS5jb20iLCJzdWIiOiJ3dy5iYWlkdS5jb20iLCJpc3MiOiJzcHJpbmdib290IiwiZXhwIjoiMTAwcyIsImlhdCI6IjEyMzQ1NjcifQ==

加密:

在這裏插入代碼片
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring boot 多數據源配置(Mybatics+JPA)

Spring boot 配置數據源 spring: mvc: favicon: enabled: false datasource: primary: username: root

路漫漫走 2020-07-08 11:46:00

文件上傳格式,後臺接收處理

前端上傳文件 1. file格式 創建formData來完成file上傳 <input type="file" id="imgfile" name="pic" multiple> <script> $("#imgfile

换个新手机 2020-07-08 12:43:13

[SpringBoot]圖解SpringBoot啓動流程+獲取配置流程

一、springboot運行流程 1、springboot獲取配置的流程 上圖是對springboot獲取配置流程的簡單總結。 運行主程序時,調用了@SpringBootApplication註解,這個註解又包含一個@Impo

童话ing 2020-07-08 12:13:46

正則表達式獲取Maven依賴中的groupId

用於打包時剔除第三方jar包 mvn dependency:tree | grep '[\W\w]*:[a-zA-Z0-9_\.-]*:[a-zA-Z0-9]*:[a-zA-Z0-9\.-]*:[a-zA-Z0-9]*' |

路漫漫走 2020-07-08 11:45:59

pom文件中 dependencyManagement 和dependency區別

Maven 使用dependencyManagement元素來提供了一種管理依賴版本號的方式 通常會在一個組織或者項目的最頂層的父pom中看到dependencyManagement元素。 使用pom.xml中的dependencyMan

时光有伱记忆成花 2020-07-08 10:06:42

springboot獲取applicationcontext

題記:         使用springboot之前,我們通過ClassPathXmlApplicationContext加載spring xml配置文件來獲取applicationcontext,使用springboot後,由於不存在x

w893932747 2020-07-08 08:34:12

Java日誌系統:log4j/logback/log4j2/slf4j統一日誌標準

日誌的實現各自有各自的不同,如果一個項目中引入了很多依賴,每個依賴又用了不同的日誌實現,配置日誌的時候就會非常麻煩,所以有了上面的門面接口。其中用的最多的是slf4j slf4j 案例: log4j: 1. 添加依賴: <depend

搁浅... 2020-07-08 08:19:00

H2數據庫入門,看這篇就對了

H2數據庫是一個開源的關係型數據庫。 H2是一個採用java語言編寫的嵌入式數據庫引擎,只是一個類庫(即只有一個 jar 文件),可以直接嵌入到應用項目中,不受平臺的限制 應用場景: 可以同應用程序打包在一起發佈,可以非常方便地

不敲代码的攻城狮 2020-07-08 07:39:40

如何SpringBoot項目部署到Centos虛擬機中

將SpringBoot項目部署到Centos虛擬機中 一、在IDEA中將項目打成Jar包 二、利用遠程連接工具(Xshell,Xftp…)連接到Centos 可以看到項目已經啓動成功… 三、在外部瀏覽器上測試部署是否成功

RelyC 2020-07-08 06:30:04

SpringBoot之自定義Starter

Springboot之自定義Starter 一、簡介 Springboot中包含很多starter(啓動器),來對應不同的使用場景,大大簡化了我們日常使用的技術整合難度,只需要簡單的配置就可以使用各種場景。但是Springboot

易水墨龙吟 2020-07-08 06:13:25

Spring boot中集成Spring Security後CSS靜態資源攔截問題

問題描述 在使用Spring boot + Spring Security整合的時候,Spring Security對登陸進行了響應的處理操作,但是在進入登陸頁的時候,出現頁面報錯,頁面佈局全部錯亂的問題,查看原因發現是CSS與JS等靜態

彧卿丶 2020-07-08 01:45:52

Camunda工作流引擎 I

實習工作中需要用到工作流引擎,去實現業務審批流的功能模塊,由於 Flowable 不支持 MariaDB (重要原因之一),所以項目中選擇了 Camunda 工作流引擎。 由於沒有接觸過工作流引擎,所以打算藉此機會詳細記錄一下這個

相信天道酬勤的M1ng 2020-07-08 00:53:38

解決SpringBoot+Mybatis項目中使用達夢數據庫,但達夢數據庫驅動包從maven下載不在來的問題!

首先這是一個大坑!!!從maven是無法下載達夢數據的驅動包的!這個和網絡無關,找了好久都說是網絡問題,刪掉本地倉庫,再下載一次就好了.....[害人不淺] 我遇到的問題是在pom文件中的dependenc裏面是不報錯的,但是在maven

码农峰酱 2020-07-08 00:12:42

SpringBoot 跨域配置類

跨域配置類 import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.ann

Future_LL 2020-07-07 21:46:19

SpringBoot——Web開發四(配置嵌入式Servlet容器)

1.背景 SpringBoot默認使用Tomcat作爲嵌入式的Servlet容器。 2.如何定製和修改Servlet容器的相關配置 1.修改與server相關的配置 server.port=8081 server.context-pa

WYFVV 2020-07-07 18:17:46