JWT使用详解

于 2025-04-13 07:00:00 发布
阅读量1.4k 收藏 20
点赞数 29
CC 4.0 BY-SA版权
分类专栏: Java 架构设计 文章标签: 数据库 JWT 服务鉴权 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangzehai2234/article/details/147169311

JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在网络应用之间安全地传输信息。JWT 以 JSON 对象的形式封装数据,并通过数字签名保证数据的完整性和不可篡改性。它广泛应用于身份验证、信息交换和单点登录(SSO)等场景。

一、JWT 核心原理

  1. 基本结构
    JWT(JSON Web Token)由三部分组成,以 . 分隔:

    • Header(头部):声明加密算法(如 HS256、RS256)和令牌类型(typ: JWT),经 Base64Url 编码。
      {"alg": "HS256", "typ": "JWT"}
    • Payload(负载):存储用户身份信息和声明(如 subexpiat),支持自定义字段,需注意敏感数据加密。
      {"sub": "123", "name": "Alice", "exp": 1735689600}
      • 注册声明(Registered Claims):如 iss(签发者)、exp(过期时间)、sub(主题)等。
      • 公共声明(Public Claims):自定义字段,需避免冲突。
      • 私有声明(Private Claims):自定义字段,供双方约定使用。
    • Signature(签名):对编码后的 Header 和 Payload 通过密钥和算法生成哈希值,确保数据完整性。 签名算法由 Header 中的 alg 指定,如 HS256(HMAC-SHA256)。
      示例(HS256 算法):
      signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret_key)

  2. 工作流程

    • 生成:用户登录成功后,服务器使用密钥和算法生成包含用户信息的 JWT,返回给客户端。
    • 传输:客户端存储 JWT(如 LocalStorage 或 Cookie),后续请求通过 Authorization: Bearer <token> 携带。
    • 验证:服务端解析并验证签名、有效期及数据完整性,通过后授权访问资源。
二、JWT 核心优势
  1. 无状态性:服务端无需存储会话信息,适合微服务架构和水平扩展。
  2. 跨域支持:可在不同域之间传递,支持单点登录(SSO)场景。
  3. 自包含性:所有认证信息包含在 Token 中,减少数据库查询。
  4. 安全性:通过签名防篡改,结合 HTTPS 可防止中间人攻击。
三、JWT 使用实践

  1. 生成 Token(以 Java 为例)

    // 引入依赖:com.auth0/java-jwt
String token = JWT.create()
    .withClaim("userId", 123)
    .withClaim("role", "admin")
    .withExpiresAt(new Date(System.currentTimeMillis() + 3600 * 1000)) // 1小时过期
    .sign(Algorithm.HMAC256("your_secret_key")); // 使用 HMAC-SHA256 签名。

  2. 验证 Token

    JWTVerifier verifier = JWT.require(Algorithm.HMAC256("your_secret_key")).build();
DecodedJWT decodedJWT = verifier.verify(token);
String userId = decodedJWT.getClaim("userId").asString(); // 解析用户信息。

  3. 集成框架(如 Spring Security)

    • 配置过滤器拦截请求并验证 JWT。
    • 自定义权限注解(如 @PreAuthorize("hasRole('admin')"))实现细粒度控制。
四、安全注意事项

  1. 敏感信息泄露

    • 风险:Payload 仅 Base64 编码,未加密,明文存储敏感数据(如手机号)易被解码。
    • 防御:最小化 Payload 内容,对必要字段额外加密(如 AES)。

  2. 签名绕过攻击

    • 风险:攻击者篡改 alg: none 或弱算法(如 HS256 密钥过短)可伪造 Token。
    • 防御:强制校验算法类型,使用强密钥(如 RSA 非对称加密)。

  3. 续期与吊销

    • 短期有效期:设置合理过期时间(如 1 小时),结合 Refresh Token 实现无感续期。
    • 黑名单机制:通过 Redis 记录已注销的 Token,拦截非法请求。
五、最佳实践总结

  1. 设计规范
    • 仅存储必要字段(如 userIdrole),避免冗余数据。
    • 使用 HTTPS 传输,防止 Token 被截获。

  2. 性能优化
    • 减少 Token 体积(如缩写字段名),避免请求头过大。
    • 分布式场景下统一密钥管理,避免验签失败。

  3. 工具选择
    • 使用成熟库(如 java-jwtjsonwebtoken),避免自行实现加密逻辑。

六、JWT整合springboot案例

以下是基于多个实践案例总结的整合方案,涵盖基础实现优化和扩展场景,关键代码示例结合了多个最佳实践。

1、基础整合实现

  1. 添加依赖(Maven)

    <dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.0.0</version> <!-- 或使用3.4.0稳定版 -->
</dependency>

  2. JWT工具类(核心生成/验证)

    public class JwtUtils {
    private static final String SECRET = "your_secret_key";
    private static final long EXPIRATION = 7200 * 1000; // 2小时

    // 生成Token
    public static String generateToken(Map<String, String> claims) {
        return JWT.create()
            .withPayload(claims)
            .withExpiresAt(new Date(System.currentTimeMillis() + EXPIRATION))
            .sign(Algorithm.HMAC256(SECRET));
    }

    // 验证Token
    public static DecodedJWT verifyToken(String token) {
        return JWT.require(Algorithm.HMAC256(SECRET))
            .build()
            .verify(token);
    }
}

    说明claims可存储用户ID、角色等非敏感数据,避免暴露密码等隐私信息。

  3. 登录接口实现

    @RestController
public class AuthController {
    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody User user) {
        // 1. 验证用户名密码(需数据库查询)
        User dbUser = userService.findByUsername(user.getUsername());
        if (dbUser == null || !passwordEncoder.matches(user.getPassword(), dbUser.getPassword())) {
            return ResponseEntity.status(401).body("认证失败");
        }

        // 2. 生成Token
        Map<String, String> claims = new HashMap<>();
        claims.put("userId", dbUser.getId());
        claims.put("role", dbUser.getRole());
        String token = JwtUtils.generateToken(claims);
        
        return ResponseEntity.ok().header("Authorization", token).build();
    }
}
2、拦截器配置(请求鉴权)

  1. Token拦截器

    @Component
public class JwtInterceptor extends HandlerInterceptorAdapter {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String token = request.getHeader("Authorization");
        if (token == null) {
            throw new RuntimeException("未携带Token");
        }

        try {
            DecodedJWT decodedJWT = JwtUtils.verifyToken(token);
            // 将用户信息存入请求上下文(如SecurityContextHolder)
            request.setAttribute("userId", decodedJWT.getClaim("userId").asString());
            return true;
        } catch (TokenExpiredException e) {
            throw new RuntimeException("Token已过期");
        } catch (SignatureVerificationException e) {
            throw new RuntimeException("签名验证失败");
        }
    }
}

  2. 注册拦截器

    @Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private JwtInterceptor jwtInterceptor @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
            .addPathPatterns("/api/**") // 拦截API路径
            .excludePathPatterns("/login", "/register"); // 放行登录注册
    }
}
3、高级优化方案

  1. 结合Spring Security(推荐)

    • 配置类:继承WebSecurityConfigurerAdapter,设置白名单和JWT过滤器:
      @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationFilter jwtFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
    }
}
    • 自定义过滤器:解析Token并设置Authentication对象到上下文。

  2. Token续期与吊销(Redis集成)

    • 续期机制:在拦截器中判断Token剩余有效期小于阈值时生成新Token。
    • 吊销方案:将失效的Token存入Redis黑名单,拦截时校验是否已注销:
      // 示例:登出接口
@PostMapping("/logout")
public void logout(@RequestHeader String token) {
    long expireTime = JwtUtils.getExpireTime(token); // 解析剩余时间
    redisTemplate.opsForValue().set(token, "invalid", expireTime, TimeUnit.MILLISECONDS);
}
4、最佳实践总结

  1. 安全性增强

    • 使用HTTPS传输Token防止中间人攻击。
    • 避免在Payload中存储敏感数据(如密码、手机号)。
    • 密钥长度建议至少32位,使用非对称加密(RSA)更安全。

  2. 性能优化

    • Token体积控制:缩短字段名(如uid代替userId)。
    • 分布式场景使用统一密钥管理(如配置中心)。

  3. 监控与调试

    • 集成Swagger UI可视化测试接口。
    • 日志记录Token验证失败原因(如过期、篡改)。

参考实现源码

拓展

netty框架关键组成部分

RAG系统介绍

在这里插入图片描述

JWT详解
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JSON Web Token (JWT) 详解:由来、原理与应用实践
最新发布
m0_66884848的博客
06-05 994
JWT是一种基于JSON的安全令牌标准,解决了传统Session认证的扩展性问题。它由Header、Payload和Signature三部分组成,采用自包含方式存储用户信息,无需服务器保存状态。JWT适用于身份认证、单点登录和RESTful API等场景,具有跨域支持、移动端友好等优势。但存在无法主动失效、Token泄露等安全风险,需配合HTTPS、有效期设置等措施。相比Session,JWT更适合分布式系统,但在失效控制方面较弱,可采用黑名单、双Token机制等解决方案。
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销。 2:jwt构成简单,占用很少的字节,便于传输。 3:json格式通用,不同语言之间都可以使用。 三:JWT组成 1:jwt由三部分组成:      头部(header)      载荷(payload) 包含一
jwt 原理
weixin_48334703的博客
10-05 2029
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务
JWT
weixin_43654482的博客
10-11 342
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "...
JWT使用
kelly95的博客
06-22 236
jwt使用
Django Rest Framework JWT 使用详解原理剖析
"本文主要讲解了Django Rest Framework中JWT(JSON Web Token)的使用方法,包括JWT的基本概念、组成部分以及在Django REST框架下的实际应用。" 在Django Rest Framework中,JWT常用于实现安全的身份验证和授,...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
JWT的基本使用
weixin_45081813的博客
03-04 1万+
什么是JWT
COOKIE使用以及sessions使用和优缺点
weixin_51118163的博客
10-05 399
COOKIE使用以及sessions使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信
JWT使用
m0_48114733的博客
07-28 778
JSON Web Token简称JWT,用于对应用程序上用户进行身份验证的标记。使用 JWTS 之后不需要保存用户的 cookie 或其他session数据,同时可保证应用程序的安全。JWT是经过加密处理与校验处理的字符串,形式为:A.B.C–A由JWT头部信息header加密得到–B由JWT用到的身份验证信息JSON数据加密得到–C由A和B加密得到,是校验部分–官方测试网站://生成token //1、准备数据 Map map = new HashMap();
Python项目-Day26-数据加密-hash加盐加密-token-jwt
qq_37892223的博客
08-15 1269
Python项目-Day26-数据加密-hash加盐加密-token-jwt 数据加密 import hashlib pwd='a123456' #sha1的参数必须是二进制 temp=hashlib.sha1(pwd.encode()) print(temp.hexdigest()) hash加盐加密 导入加密函数 from werkzeug.security import ge...
JWT原理详解
前端那些事@时光
09-27 3451
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授的功能,例如登录:各种设备发
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
m0_62201229的博客
11-26 3867
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
JWT的理解与使用
plfcccc的博客
08-12 2392
可以看出来,这种方式对服务端的内存消耗几乎可以忽略不记,只需要在配置文件中配置好相对应的密钥并且不泄漏出去外界是无法获得密钥信息,且对分布式服务比较友好不需要在特定服务器获取数据.
JWT使用教程
m0_50202747的博客
08-28 1765
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
JWT--使用/教程/实例
IT利刃出鞘的博客
10-17 3259
原文网址: 简介 说明 JWT是常用的TOKEN工具,本文介绍JWT知识。包括:什么是JWTJWT的消息组成、JWT实战。 官网 官网:JSON Web Tokens - jwt.io (可生成/解析 Token) 简介 JWT简介 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。JWT将用户信息加密到token里,服务器不保存任何用户信息。服务器通...
JWT 详解
热门推荐
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有梦想的攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值