IT忍者神龜之JWT生成Token做登錄校驗講解

原創 IT忍者神龟 2020-06-23 20:42

JWT簡介

JWT(json web token)是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準。

JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息,以便於從資源服務器獲取資源。比如用在用戶登錄上。

基於session的登錄認證

在傳統的用戶登錄認證中,因爲http是無狀態的,所以都是採用session方式。用戶登錄成功,服務端會保證一個session,當然會給客戶端一個sessionId,客戶端會把sessionId保存在cookie中,每次請求都會攜帶這個sessionId。


cookie+session這種模式通常是保存在內存中,而且服務從單服務到多服務會面臨的session共享問題,隨着用戶量的增多,開銷就會越大。而JWT不是這樣的,只需要服務端生成token,客戶端保存這個token,每次請求攜帶這個token,服務端認證解析就可。



JWT生成Token後的樣子

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9.49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

JWT的構成

第一部分我們稱它爲頭部(header),第二部分我們稱其爲載荷(payload),第三部分是簽證(signature)。

header

jwt的頭部承載兩部分信息:

  • 聲明類型,這裏是jwt

  • 聲明加密的算法 通常直接使用 HMAC SHA256

完整的頭部就像下面這樣的JSON:

{

"typ": "JWT",

"alg": "HS256"

}

然後將頭部進行base64加密(該加密是可以對稱解密的),構成了第一部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

playload

載荷就是存放有效信息的地方。這個名字像是特指飛機上承載的貨品,這些有效信息包含三個部分

  • 標準中註冊的聲明

  • 公共的聲明

  • 私有的聲明

標準中註冊的聲明 (建議但不強制使用) :

  • iss: jwt簽發者

  • sub: jwt所面向的用戶

  • aud: 接收jwt的一方

  • exp: jwt的過期時間,這個過期時間必須要大於簽發時間

  • nbf: 定義在什麼時間之前,該jwt都是不可用的.

  • iat: jwt的簽發時間

  • jti: jwt的唯一身份標識,主要用來作爲一次性token,從而回避重放攻擊。

定義一個payload:

{

"name":"Free碼農",

"age":"28",

"org":"今日頭條"

}

然後將其進行base64加密,得到Jwt的第二部分:

eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9

signature

HMACSHA256(Base64(Header) + "." + Base64(Payload),  secret)

jwt的第三部分是一個簽證信息,這個簽證信息由三部分組成:

  • header (base64後的)

  • payload (base64後的)

  • secret

這個部分需要base64加密後的header和base64加密後的payload使用.連接組成的字符串,然後通過header中聲明的加密方式進行加鹽secret組合加密,然後就構成了jwt的第三部分:

49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

密鑰secret是保存在服務端的,服務端會根據這個密鑰進行生成token和驗證,所以需要保護好。

java方式實現

Maven

<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.1.0</version></dep

加密與校驗代碼:


加密方法與校驗方法

測試代碼:

測試方法

代碼輸出結果:

代碼輸出結果

可以很清楚的看到,第一次用生成的Token去校驗,校驗通過,並且輸出了Token中包涵的信息。第二次用過期的Token調用校驗方法,直接拋出異常,提示Token信息過期。

JWT總結

1、因爲json的通用性,所以JWT是可以進行跨語言支持的,像JAVA,JavaScript,NodeJS,PHP等很多語言都可以使用。

2、payload部分,JWT可以在自身存儲一些其他業務邏輯所必要的非敏感信息。

3、便於傳輸,jwt的構成非常簡單,字節佔用很小,所以它是非常便於傳輸的。它不需要在服務端保存會話信息, 所以它易於應用的擴展


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

單點登錄認證系統 MaxKey v 2.0.0RC1

MaxKey介紹 MaxKey(馬克思的鑰匙),寓意是最大鑰匙, 是用戶單點登錄認證系統(Sigle Sign On System),支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等標準化的開放協議

shimingxy 2020-07-07 12:49:15

SpringBoot集成Security、Oauth2、JWT,實現授權(代碼完整可用附數據庫文件和測試文件)

目錄結構: pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmln

小石潭记丶 2020-07-06 15:17:48

[JWT]Auth0的JWT時間序列化問題

在SpringBoot項目上構建JWT訪問token和刷新token時,遇到一個Date類型的問題,由於序列化JWT token時只支持秒,將毫秒級自然丟棄。 <dependency> <groupId>com.auth0</g

古辛 2020-07-04 11:08:11

lumen7+jwt相對正確的使用方式

前言 當前官方Lumen最新版本:7.1.3 項目根目錄:/home/wwwroot/blog 項目域名:api.kimphp.com 安裝JWT composer require tymon/jwt-auth 修改app.ph

U.R.M.L 2020-07-01 03:49:08

SpringCloud+Spring Security OAuth2 實現微服務統一認證授權

目前正在做了一個基於Spring Cloud的微服務項目,現在的好多項目都是基於APP移動端以及前後端分離的項目,之前基於Session的前後端放到一起的項目已經慢慢失寵並淡出我們視線,尤其是當基於SpringCloud的微服務

一个BUG搞一天。 2020-06-30 17:34:33

【JWT】JSON Web Token

        JWT(Json Web Token)是一個開放的標準(RFC 7519),它定義了一個緊湊且自包含的方式,用於在各方之間以JSON對

郑晓东-Dongle 2020-06-30 03:14:31

Deno JWT token 應用

視頻演示: https://www.bilibili.com/video/BV1BT4y1E7Nh/?p=12 一起來完成以下步驟: 引用之前的工程代碼 創建員工信息interface和員工數組array 生成token 校

wenhaipan 2020-06-29 22:52:09

Cookie 跨域解決方案(頂級域名和子級域名之間的Cookie共享、修改、刪除)

最近項目中剛好涉及到了主域名和子域名之間的共享和相互修改、刪除,也就藉此機會總結一下常用的幾個場景,域名的話就拿頂級域名和二級域名爲例,其他的場景都是類似。 一、設置COOKIE 1、頂級域名 頂級域名只能設置domain爲頂級域名,不能

张志翔 2020-06-29 12:59:35

Nginx 跨域解決方案(CORS跨域配置、端口轉發)

最近在項目中遇到了跨域相關的問題,比較了幾種跨域解決方案,決定採取Nginx的方式來解決。 下面發一段我實際項目中的配置供參考,其中192.168.3.230爲Nginx所在機器的IP地址,80端口是Nginx監聽端口(可以同時監聽多個端

张志翔 2020-06-29 12:59:35

Cookie 跨域解決方案(IFrame跨域)

IFrame跨域思路:假設有a.haorooms.com/text.html和b.haorooms.com/text.html兩個頁面,通過a.haorooms.com/text.html頁面去修改b.haorooms.com/text.

张志翔 2020-06-29 12:59:34

JWT 單點登錄(項目實現)

如果還不知道什麼是JWT的同學,可以參考以下文章,傳送門如下: JWT 單點登錄(簡介) 下面以實際項目中的應用分析,首先看一下大致的數據流圖: 一、實現思路 1、項目一開始我先封裝了一個JWTHelper工具包,主要提供了生成JWT、

张志翔 2020-06-29 12:59:34

Bearer Token 一種安全的接口認證方式

因爲HTTP協議是開放的,可以任人調用。所以,如果接口不希望被隨意調用,就需要做訪問權限的控制,認證是好的用戶,才允許調用API。 目前主流的訪問權限控制/認證模式有以下幾種: 1、Bearer Token(Token 令牌) 定義:爲了

张志翔 2020-06-29 12:59:34

JWT 單點登錄(簡介)

首先介紹下JWT,可參考官網https://jwt.io/introduction/ 一、什麼是JSON Web Token(JWT)? JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方

张志翔 2020-06-29 12:59:34

JWT+SpringSecurity實現基於Token的單點登錄(二):認證和授權

前言 本章是基於上一章“JWT+SpringSecurity實現基於Token的單點登錄(一):前期準備”的基礎上進行開發的,如果前期準備還沒有做好的,可點擊鏈接至上一章。 代碼地址:gitee 一、JWT工具類 這裏我們使用jjwt

Gent_倪 2020-06-24 18:50:48

IT忍者神龜之使用jwt技術實現系統間的單點登錄

單點登錄(single sign on),簡稱sso。它的定義是多個應用系統間,只需要登錄一次就可以訪問所有相互信任的應用系統。下面介紹用jwt技術如何來實現單點登錄。一、JWT定義及其組成JWT(JSON WEB TOKEN)是一個非常

IT忍者神龟 2020-06-23 20:41:54