IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> jwt (json web token) + springboot -> 正文阅读

[网络协议]jwt (json web token) + springboot

jwt官网 :https://jwt.io/

jwt 官网介绍

jwt就是一json串,且该串不需要服务器保存,一旦生成 不可撤销、不可删除,在到达设置的过期时间之前一直都有效。
在这里插入图片描述

jwt的作用

一言以蔽之:作为数据安全校验,且该条数据不是完全加密,而是采用的部分加密。
没有加密的部分是用来做传递信息的(如允许被外界识别的用户类型、用户名),加密的那部分才是用来做校验的。
可以把token放在请求头中或者cookie中。
在这里插入图片描述

认证流程

在这里插入图片描述

  1. 首先,前端通过Web表单将用户名和密码发送到后端的接口。这一过程一般是一个HTTPPOST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
  2. 后端核对用戶名和密码成功后,将用戶的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同xxx . zzz.xxx的字符串。tokenhead.payload.signature
  3. 后端将JWT字符串作为登录成功的返回结果返回给前端。 前端可以将返回的结果保存在 localStorage或sessionStorage上, 退出登录时前端删除保存的JWT即可。
  4. 前端在每次请求时将JWT放?HTTP Header中的Authorization位。 (解决XSS和XSRF问题)
  5. 后端检查是否存在,如存在验证JWT的有效性。
    检查签名是否正确;
    检查Token是否过期
    检查Token的接收方是否是自己(可选)
  6. .验证通过后后端使用JWT中包含的用戶信息进行其他逻辑操作,返回相应结果

优势

  1. 简洁(Compact):可以通过URL,POST参数或者在HTTPheader发送,数据量小,传输速度快
  2. .自包含(Self-contained):负载中包含了所有用戶所需要的信息,避免了多次查询数据库
  3. .因为Token是以JSON加密的形式保存在客戶端的,所以JWT是跨语言的,原则上任何web形式都支持。
  4. 不需要在服务端保存会话信息,特别适用于分布式微服务

jwt的数据结构

在这里插入图片描述

标题 : Header base64编码可以被外界解析出来
有效载荷:Payload  base64编码可以被外界解析出来
签名:Signature  签名算法加密,作为真伪的鉴别工具

token最终是形如 xxx.yyy.xxx 形式的。
所以 token=Header(base64编码).Payload(base64编码).Signature(签名算法加密)

Header 标题

在这里插入图片描述

{
  "alg": "HS256", :所使用的签名算法,例如HMAC、SHA256或RSA。
  "typ": "JWT" :类型 固定写法
}

Payload 有效负载

在这里插入图片描述
有效负载示例: 上面的信息都是可以向外界提供的(被解析),甚至实体类都可以写在这里。
它会使?Base64 编码组成JWT结构的第?部分


{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

signature 签名

在这里插入图片描述
header和payload都是结果Base64编码过的,中间用点.隔开,第三部分就是前两部分合起来做签 名,密钥绝对自己保管好,签名值同样做Base64编码拼接在JWT后面。(签名并编码)

生成的token

在这里插入图片描述
把token解析出来
在这里插入图片描述

生成token

package com.li;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;

@SpringBootTest
class StudyJwtApplicationTests {
    private final String SECRET="我是签名,实际开发时设置复杂点";
    @Test
    void contextLoads() {
    }

    @Test
    public void getToken(){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 30); //设置过期时间
//        System.out.println(instance.getTime().getTime());
//        System.out.println(new Date().getTime());
        HashMap<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        //header通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA等等。
        String token = JWT.create()
                .withHeader(map)//设置标题,如果为null,则会使用默认值
                .withClaim("username", "我自横刀向天笑")//有效负载 可设置多个
                .withClaim("usertype", "保洁员")
                .withExpiresAt(instance.getTime())//设置过期时间
                .sign(Algorithm.HMAC256(SECRET));//签名加密
        System.out.println(token);


    }
}

验证token

    @Test
    public void verifier(){
        //解密token成一个DecodedJWT对象  ,具体的信息可从该对象中继续获取
        String token ="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MzA3MjA3MzMsInVzZXJuYW1lIjoi5oiR6Ieq5qiq5YiA5ZCR5aSp56yRIn0.Ch33IR53bmGkaFUJN24oiRykp3xJva4oDwZcEuh1lCo";

        /**
         * 验证token  如果token过期或错误 都会抛出相应的异常,可通过捕获异常来设置返回信息
         */
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
        //继续获取信息 还有很多api
        System.out.println(verify.getClaim("username").asString());
        System.out.println(verify.getClaim("age").asInt());
        System.out.println();
    }

异常类型

 
 	异常处理方法/验证token方法{
        try {
            验证token的方法代码;
            return true;
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg", "签名不一致");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "令牌过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不匹配");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            map.put("msg", "失效的payload");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token无效");
        }

        map.put("status", false);

        //响应到前台: 将map转为json
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }

springboot + jwt

pom


        <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.1</version>
        </dependency>

获取token的登录接口并设置成cookie

package com.li.controller;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Calendar;
import java.util.HashMap;

/**
 * @author liql
 * @date 2021/9/4
 */
@Controller
public class TestController {
    private final String SECRET="我是签名";
    @GetMapping("/login")
    @ResponseBody
    public String getToken(String uername,String password,HttpServletResponse response){

        //参数校验 数据库校验用户名和密码 略

        //生成token
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 30); //默认3天过期
        HashMap<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        //header通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA等等。
        String token = JWT.create().withHeader(map)
                .withClaim("username", uername)
                .withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256(SECRET));

        //设置成cookie
        Cookie cookie = new Cookie("token",token);
        response.addCookie(cookie);

        return "登录成功";
    }
}

需要验证的业务型接口

为了不用每个接口都写验证的代码,所以采用拦截器的方式进行拦截

package com.li.interceptor;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

/**
 * @author liql
 * @date 2021/9/4
 */
public class JWTInterceptor implements HandlerInterceptor {
    private final String SECRET="我是签名";
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Cookie[] cookies = request.getCookies();
        String token=null;
        for (Cookie cookie : cookies) {
            if ("token".equals(cookie.getName())){
                token=cookie.getValue();
            }
        }

        Map<String, Object> map = new HashMap<>();
        try {
            JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
            return true;
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg", "签名不一致");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "令牌过期");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不匹配");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            map.put("msg", "失效的payload");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token无效");
        }

        map.put("status", false);

        //响应到前台: 将map转为json
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);

        return false;
    }
}

注册拦截器

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")//添加拦截地址 拦截所有
                .excludePathPatterns("/login");//排除掉登录接口
        
    }
}

业务接口

    @GetMapping("/service")
    @ResponseBody
    public String service(){
        return "处理业务成功";
    }
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-09-05 11:23:21  更:2021-09-05 11:25:53 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 10:23:33-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计