JWT概述

最新推荐文章于 2024-07-10 06:15:00 发布

原创

最新推荐文章于 2024-07-10 06:15:00 发布 · 657 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#java #spring boot #jwt

JWT（JSON Web Token）是一种安全的身份验证机制，用于在Web应用中安全传输信息。本文介绍了JWT的基本概念、认证流程，与传统Session认证的对比，以及JWT的结构。文章详细阐述了如何在SpringBoot中实现JWT，包括导入依赖、生成和验证令牌，工具类封装，以及将JWT封装成拦截器的实践步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言：
编程不良人——JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案!
https://www.bilibili.com/video/BV1i54y1m7cP?p=1
欢迎大家支持。
以下是个人学习笔记。

一、简介

1.1 含义

JWT简称JSON Web Token，也就是通过JSON形式作为Web应用中的令牌，用于各方之间安全地将信息作为JSON对象传输，在数据传输的过程中还可以完成数据加密、签名等相关处理。

1.2 认证流程

在这里插入图片描述
1.认证流程

首先，前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输（https协议），从而避免敏感信息被嗅探。
后端核对用户名和密码成功后，将用户的id等其他信息作为JWT Payload（负载），将其与头部分别进行Base64编码拼接后签名，形成一个JWT(Token)。形成的JWT就是一个形同xxx.yyy.zzz的字符串。 token head.payload.singurater
后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上，退出登录时前端删除保存的JWT即可。
前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题) HEADER
后端检查是否存在，如存在验证JWT的有效性。例如，检查签名是否正确；检查Token是否过期；检查Token的接收方是否是自己（可选）。
验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作，返回相应结果。

2.与传统的基于Session认证相比
由于HTTP是无状态链接，用户第一次请求时，服务器会将用户信息保存在Session里，并且返回SessionID给用户，保存在Cookied中；用户再次请求时，可以通过SessionID从服务器中取出响应的数据，不需要再次认证。
基于session认证暴力的问题：

每一个用户经过我们的应用认证之后，我们的应用都会在服务端做一次记录，一遍用户下次请求鉴别，通常而言session都是保存在在内存中，随着用户数的增加，服务器的开销会明显增大。
用户认证之后，服务器做认证，如果认证的记录保存在内存中，这意味下次认证必须还是这台服务器，在分布式系统中明显限制了负载均衡的能力。
Session是基于Cookie进行用户识别的，如果Cookie被获取容易造成信息安全问题，用户容易受到跨站请求伪造的攻击。

2.jwt优势

简洁(Compact): 可以通过URL，POST参数或者在HTTP header发送，因为数据量小，传输速度也很快
自包含(Self-contained)：负载中包含了所有用户所需要的信息，避免了多次查询数据库
因为Token是以JSON加密的形式保存在客户端的，所以JWT是跨语言的，原则上任何web形式都支持。
不需要在服务端保存会话信息，特别适用于分布式微服务。

1.3JWT结构

令牌形成

1.标头(Header)
2.有效载荷(Payload)
3.签名(Signature)

Header

标头通常由两部分组成：令牌的类型(即JWT)和所使用的签名算法，例如HMAC SHA256(默认)或RSA。它会使用Base64编码组成JWT结构的第一部分。

Payload

将能用到的用户信息放在 Payload中。官方建议不要放特别敏感的信息，例如密码。

签名

签名由三部分组成，header和payload分别经base64Url(一种在base64上做了一点改变的编码)编码后由’.’连接,服务器生成秘钥（secret），连接之后的字符串在经header中声明的加密方式和秘钥加密，再用’.'和加密前的字符串连接。服务器验证token时只会验证第三部分。

二、使用JWT

2.1 导入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

2.2 生成令牌

    @Test
    void contextLoads() {
   
   
        HashMap<String, Object> map = new HashMap<>();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,100);
        String token = JWT.create().withHeader(map)  //header
                .withClaim("userId",21) //playload
                .withClaim("username","xiaoming")
                .withExpiresAt(instance.getTime()) //指定令牌的过期时间
                .sign(Algorithm.HMAC256("!q@w#s$er")); //签名
        System.out.println(token);
    }

2.3 验证令牌

    @Test
    public void test(){
   
   
        //创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!q@w#s$er")).build();
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NDA0NTUwNTEsInVzZXJJZCI6MjEsInVzZXJuYW1lIjoieGlhb21pbmcifQ.gSzHO_u4-bzThmXaj28cFOq6IkSgFNbqbbJIrbT18bw");
        System.out.println(verify.getHeader()); //通过解码拿出playload信息
        System.out.println(verify.getClaim("userId").asInt());
        System.out.println(verify.getClaim("username").asString());
    }

三、JWT工具类封装

创建JWTUtils.java

public class JWTUtils {
   
   
    private static final String SING = "!q@w#s$er";
    /*
    * 生成token header.payload.sing
    * */
    public static String getToken(Map<String,String> map){
   
   
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
   
   
            builder.withClaim(k,v