[JavaWeb]——JWT令牌技术,如何从获取JWT令牌

简介: [JavaWeb]——JWT令牌技术,如何从获取JWT令牌

🌈键盘敲烂,年薪30万🌈



 

一、前言:

  • 问题抛出❓

许多网页都会设置登录界面,我们点击登录会发生什么逻辑?

假如我登录成功之后直接复制URL地址再次访问是再次登录还是直接访问到页面?

  • 先略知一二👀

我们登录网页之后,每次点击网页的功能就向服务端发送一次请求,服务端接收请求会校验该请求,如果用户存在,响应请求。

  • 那是如何校验的呢❓

用户初次登录服务器,服务器回响一个信息,这个信息就是用来标识用户的,可以是cookie、session,可以是JWT令牌。

用户再次发送请求,请求头中就会携带标识用户信息,服务器识别该信息,判断是否应该响应此请求。而这个判断的过程有个专业术语叫会话跟踪技术

📕会话:

  • 用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。

📕会话跟踪:

  • 一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
  • 共享数据:是指不用再次执行登录操作就可以访问数据。

📕会话跟踪方案:

  • 客户端会话跟踪技术:Cookie
  • 服务端会话跟踪技术:Session
  • 令牌技术:JWT

📕会话跟踪方案对比

二、JWT令牌技术

2.1 概念介绍
  • JWT(JSON  Web  Token),用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。其实就是通过加密得来的一串字符串。

2.2 组成介绍

这就是经过编码加密得到的一个JWT令牌,就是一串字符串


2.3 JWT对象介绍
  • 头部(Header):1.记录令牌的类型 2.加密算法(例如HMAC、RSA等)。
  • 负载(Payload):携带自定义信息、默认信息,例如{"id", 1, "username", "name"}
  • 签名(Signature):通过加密算法将Header Payload 密钥 加密,防止JWT被篡改

2.4 JWT生成
  • pom.xml引入jjwt依赖
  • 生成JWT


2.5 JWT校验

注意:

  • JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的。
  • 如果JWT令牌解析校验时报错,则说明 JWT令牌被篡改 或 失效了,令牌非法。


三、获取JWT令牌

JWT令牌在请求头中携带,名为token。

①获取请求对象

②获取请求头中的token

③解析map集合,获取数据

    @Autowired //直接注入一个请求对象
    HttpServletRequest httpServletRequest;
 
    //例如获取 操作人ID
    String jwt = httpServletRequest.getHeader("token");
    Claims claims = JwtUtils.parseJWT(jwt);
    //解析map结合
    Integer id = (Integer) claims.get("id");

四、总结

服务器是如何实现数据共享的?

客户端第一次发送请求,服务端会下发JWT令牌,当客户端再次发送请求时,服务器会校验JWT令牌,响应请求,从而不用二次登录,实现数据共享。

JWT技术优缺点?

优点:

简单轻量:使用JSON格式进行传输,易于实现和使用,高安全性:加密算法防止篡改令牌,Base64编码保护个人信息安全,跨平台支持:JWT令牌可以在Web、移动端和服务端使用。

缺点:

如何生成令牌、如何校验都需要程序员手动实现。

相关文章
|
3天前
|
存储 JSON 算法
SpringBoot之JWT令牌校验
SpringBoot之JWT令牌校验
23 2
|
3天前
|
JSON 前端开发 Java
JWT解密:探秘令牌魔法与Java的完美交互
JWT解密:探秘令牌魔法与Java的完美交互
27 0
JWT解密:探秘令牌魔法与Java的完美交互
|
3天前
|
前端开发 数据安全/隐私保护
JWT令牌
JWT令牌
16 0
|
3天前
|
JSON 前端开发 Java
|
3天前
|
JSON 安全 Java
JWT令牌技术
JSON Web Token (JWT) 是一种安全的、自包含的信息传输格式,常用于身份验证和信息交换。它由Header、Payload和Signature三部分组成,其中Signature用于验证消息完整性和发送者身份。JWT包含用户信息,服务器登录后发送给客户端,客户端使用JWT证明身份访问受保护资源。在Java项目中,可以使用`java-jwt`库进行JWT的生成和解析。要开始使用JWT,需在Maven或Gradle中添加相关依赖,并实现生成和解析JWT的方法。此外,文中还提供了一个简单的Java Web应用示例,展示如何在用户登录和访问受保护资源时使用JWT。
46 0
|
3天前
|
前端开发 Java Spring
SpringBoot通过拦截器和JWT令牌实现登录验证
该文介绍了JWT工具类、匿名访问注解、JWT验证拦截器的实现以及拦截器注册。使用`java-jwt`库生成和验证JWT,JwtUtil类包含generateToken和verifyToken方法。自定义注解`@AllowAnon`允许接口匿名访问。JwtInterceptor在Spring MVC中拦截请求,检查JWT令牌有效性。InterceptorConfig配置拦截器,注册并设定拦截与排除规则。UserController示例展示了注册、登录(允许匿名)和需要验证的用户详情接口。
245 1
|
3天前
|
JSON 前端开发 算法
掌握JWT:解密身份验证和授权的关键技术
掌握JWT:解密身份验证和授权的关键技术
|
3天前
JWT令牌的使用
JWT令牌的使用
56 0
|
3天前
|
安全 数据安全/隐私保护
Springboot+Spring security +jwt认证+动态授权
Springboot+Spring security +jwt认证+动态授权
|
3天前
|
SQL 安全 Java
微服务之Springboot整合Oauth2.0 + JWT
微服务之Springboot整合Oauth2.0 + JWT
16 1