JWT校验

原创 已于 2023-03-15 20:50:07 修改 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #后端

于 2023-03-14 17:13:14 首次发布
JWT是一种用于身份验证的令牌标准,由头部、负载和签名三部分组成。它允许在分布式系统中安全地传输信息,无需通过服务器端的session存储。签名部分确保了令牌的完整性和防止篡改,通过HMAC算法和密钥进行验证。JWT常用于实现单点登录和权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT:JSON Web Token 的缩写

由三部分组成:Header(头部)、Payload(负载)、Signature(签名)。
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。

因此,JWT通常如下所示: xxxxx.yyyyy.zzzzz

JWTString=base64UrlEncode(Header).base64UrlEncode(Payload).HMACSHA256(base64UrlEncode(header)+“.”+base64UrlEncode(payload),secret)

header

JWT第一部分是header,header主要包含两个部分,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

JWT第二部分是payload,payload是token的详细内容,一般包括iss (发行者), exp (过期时间), sub(用户信息), aud (接收者),以及其他信息,详细介绍请参考官网,也可以包含自定义字段。

{
  "X-UserId": "001",
  "user_name": "user001",
  "scope": ["read", "write", "trust"],
  "exp": 1678817795,
  "jti": "fb118972-ea97-42b0-b16e-a68acf5f7ab9",
  "client_id": "xxx"
}

Signature

  1. 签名属于jwt的第三部分。主要是把头部的base64UrlEncode与负载的base64UrlEncode拼接起来,再进行HMACSHA256加密,加密结果再进行base64url加密,最终得到的结果作为签名部分

  2. 当接收方接收到一个JWT的时候,首先要对这个JWT的完整性进行验证,这个就是签名认证。它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,
    只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。接收方生成签名的时候必须使用跟JWT发送方相同的密钥,意味着要做好密钥的安全传递或共享

signature这部分的内容是这样计算得来的:

1、EncodeString = Base64(header).Base64(payload)
2、最终签名 = HS256(EncodeString,“秘钥”) --HMAC计算返回原始二进制数据后进行Base64编码

signature模型

base64url(//HMAC计算返回原始二进制数据后进行Base64编码
    HMACSHA256(
        base64UrlEncode(header) + "." + base64UrlEncode(payload),       
        your-256-bit-secret (秘钥加盐)     
    ) 
)

demo

authorization="Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJYLVVzZXJJZCI6IjExMDA0NSIsInVzZXJfbmFtZSI6Imxpamlhbmp1biIsInNjb3BlIjpbInJlYWQiLCJ3cml0ZSIsInRydXN0Il0sImV4cCI6MTY3NTAyMTQ5MywianRpIjoiZTRkMmNmNzAtNzhkNy00NGFiLWFiYTMtNDM2NjJkN2JiN2ViIiwiY2xpZW50X2lkIjoiamRfcWluZ3podSIsIlgtVXNlck9wZW5JZCI6bnVsbH0.IxdAhvMfwM74ENa8Ify1cu-5lBcd4GPip6Dy0gSePQw"
JWT_SECRET="4fd300e56f2d66910c140165a2f394d5"

HMAC在线验证:https://1024tools.com/hmac
jwt解码:https://tool.box3.cn/jwt.html

参考:使用JWT做用户登陆token校验

JWT登录校验
m0_58730471的博客
07-08 1188
jwt登录校验
JWT Token生成与验证的全面解析
最新发布
weixin_26854475的博客
06-24 906
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间以JSON对象的形式安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。虽然不能用来加密数据,但可以确保数据的完整性和可信性。JWT通常用于身份验证和信息交换,特别是在Web应用中。JWT中的标准字段有着特定的作用和含义,比如“exp”表示令牌的过期时间,它帮助服务器确定令牌是否仍然有效。自定义字段则可以用来携带应用程序特定的信息,如用户权限级别等。
全局过滤器实现Jwt校验
陆续将以前写过的技术博客统一搬运到csdn
03-21 508
但是问题是如果后台有3个机器 那么你用jwt不影响 因为第一台机器登录成功 给你token 你拿着token如果第二次访问 遇到其他机器还是可以通过。但是session就有问题了如果你第二次遇到其他机器 其他几次不认识这个session id 所以还需要其他的手段来补足 比如拷贝session。为什么要进化 因为在分布式微服务中 会有很多个系统和服务相互配合 我们一般会用一个独立的网关服务来控制所有的请求入口。(jwt是一段token 它是登录的时候根据用户id生成的 也就说id一样 token就一样)
Nginx系列-12 Nginx使用Lua脚本进行JWT校验
shengyu
07-28 1493
本文介绍Nginx中Lua模块使用方式,并结合案例进行介绍。案例介绍通过lua脚本提取HTTP请求头中的token字段,经过JWT校验并提取id和name信息,设置到http请求头中发向后段服务器。 默认情况下,Nginx自身不携带lua模块,即不支持通过lua脚本进行功能扩展。需要在编译Nginx时手动引入lua模块,或者直接使用openresty,本文结合后者进行介绍。
FastAPI实现JWT校验的完整指南
源滚滚编程
05-11 830
在现代Web开发中,构建安全的API接口是开发者必须面对的核心挑战之一。随着FastAPI框架的普及,其异步高性能特性与Python类型提示的结合,为开发者提供了构建高效服务的强大工具。本文将深入探讨如何基于FastAPI实现JWT(JSON Web Token)校验机制,从零构建完整的身份验证体系。
jwt(JSON Web Token)做登陆校验
m0_64224130的博客
09-22 701
1、客户端使用用户名和密码请求登录2、服务端收到请求,验证用户名和密码3、验证成功后,服务端会签发一个token,再把这个token返回给客户端4、客户端收到token后可以把它存储起来,比如放到cookie中5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带6、服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据。
使用JWT进行token校验
qq_73868041的博客
06-05 681
*** jwt令牌校验的拦截器*/@Component@Slf4j@Autowired/*** 校验jwt* @return*///判断当前拦截到的是Controller的方法还是其他资源if (!//当前拦截到的不是动态方法,直接放行//1、从请求头中获取令牌//2、校验令牌try {log.info("jwt校验:{}", token);//将当前登录用户id存入ThreadLocallog.info("当前员工id:", empId);
JWT令牌校验
m0_74140204的博客
03-19 310
JSON Web Token(JWT)是一种轻量级的。:通过签名(如 HMAC 或 RSA)保证数据完整性。:服务器无需存储会话信息,适合分布式系统。,用于在客户端和服务器之间安全传输信息。:令牌中直接包含用户身份和权限信息。
JWT验证
weixin_56864310的博客
05-15 491
springboot 集成 JWT 简单易懂 易上手
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 885
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
【亲测免费】 jsonwebtoken.github.io:在线JWT解析与验证工具
gitblog_00776的博客
03-26 549
jsonwebtoken.github.io:在线JWT解析与验证工具 项目介绍 jsonwebtoken.github.io 是一个在线的 JSON Web Token(JWT)解析和验证工具。该工具提供了一个简洁的界面,使用户能够方便地解码、验证和生成 JWTJWT 是一种常用于在网络应用之间安全地传输信息的简洁的、URL安全的表达方式,经常用于身份验证信息传输。 项目技术分析 该项目的核心...
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
shuux666的博客
03-12 3万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
使用JWT进行用户身份校验(基于token)
liao0801_123的博客
08-22 5937
jwt的其他资料: https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc https://www.jianshu.com/p/8f7009456abc cors解决跨域:https://blog.csdn.net/csdn265/article/details/80258928 无状态协...
JWT 认证校验 从理论到实战(登录校验
制定持续可量化的目标,不断坚持。
07-15 447
JWT 认证校验 从理论到实战
jwt校验token合法性
03-15
### 如何校验JWT Token的合法性 #### 1. 验证签名的有效性 JWT 的签名部分用于验证消息在传输过程中未被篡改。通过使用相同的算法和密钥重新计算签名并与接收到的签名进行比较,可以确认数据的一致性和完整性[^3]。 ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public class JwtValidator { public boolean validateSignature(String token, String secretKey) { try { Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 上述代码展示了如何利用 `io.jsonwebtoken` 库解析并验证 JWT 签名的过程。如果解析成功,则说明签名有效;否则表示签名已被破坏或不匹配[^2]。 --- #### 2. 检查声明字段的时间参数 JWT 中通常包含一些时间相关的声明字段(如 `iat`, `exp`, `nbf`),这些字段定义了令牌的有效时间段。需要确保当前时间落在允许范围内: - **`iat`**: 表示该令牌何时创建。 - **`exp`**: 定义了令牌到期时间,超过此时间则视为无效。 - **`nbf`**: Not Before 时间戳,在指定之前不应接受处理该令牌。 以下是 Java 实现中的一个例子,展示如何读取并验证这些时间属性: ```java import java.util.Date; public class TimeClaimChecker { public boolean checkTimeClaims(String token, String secretKey) throws Exception { var claims = Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(token) .getBody(); Date now = new Date(); // Check expiration time if (claims.getExpiration() != null && !now.before(claims.getExpiration())) { throw new IllegalArgumentException("Token has expired"); } // Optional: Check 'not before' if (claims.getNotBefore() != null && now.before(claims.getNotBefore())) { throw new IllegalArgumentException("Token is not yet valid"); } return true; } } ``` 这段逻辑会抛出异常当发现任何违反时间约束的情况时[^5]。 --- #### 3. 校验发行者和其他自定义字段 除了标准的时间字段外,还可以进一步检查其他特定于业务需求的信息,比如发行人 (`iss`) 或受众群体 (`aud`) 是否符合预期值。这一步骤有助于防止未经授权的应用程序冒充合法实体发出请求。 例如: ```java if (!"expectedIssuer".equals(claims.getIssuer())) { throw new SecurityException("Invalid issuer"); } ``` 以上片段演示了一个简单的字符串对比操作来判断 Issuer 是否正确[^4]。 --- #### 总结流程 综上所述,完整的 JWT 校验过程应包括但不限于以下几个方面: 1. 使用预设的秘密密钥验证其数字签名; 2. 对比当前时刻与嵌入式的有效期标记(`exp`,`nbf`); 3. (可选)依据实际应用场景审核额外的身份标识符或者权限范围等内容。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值