详解JWT token心得与使用实例


Posted in Javascript onAugust 02, 2019

本文你能学到什么?

token的组成
token串的生成流程。
token在客户端与服务器端的交互流程
Token的优点和思考
参考代码:核心代码使用参考,不是全部代码

JWT token的组成

头部(Header),格式如下:

{ 
“typ”: “JWT”, 
“alg”: “HS256” 
}

由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串:

eyJhbGciOiJIUzI1NiJ9

有效载荷(Playload):

{ 
“iss”: “Online JWT Builder”, 
“iat”: 1416797419, 
“exp”: 1448333419, 
……. 
“userid”:10001 
}

有效载荷中存放了token的签发者(iss)、签发时间(iat)、过期时间(exp)等以及一些我们需要写进token中的信息。有效载荷也使用Base64编码得到如下格式的字符串:

eyJ1c2VyaWQiOjB9

签名(Signature):

将Header和Playload拼接生成一个字符串str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9”,使用HS256算法和我们提供的密钥(secret,服务器自己提供的一个字符串)对str进行加密生成最终的JWT,即我们需要的令牌(token),形如:str.”签名字符串”。

token在服务与客户端的交互流程

1:客户端通过用户名和密码登录
2:服务器验证用户名和密码,若通过,生成token返回给客户端。
3:客户端收到token后以后每次请求的时候都带上这个token,相当于一个令牌,表示我有权限访问了
4:服务器接收(通常在拦截器中实现)到该token,然后验证该token的合法性(为什么能验证下面说)。若该token合法,则通过请求,若token不合法或者过期,返回请求失败。

关于Token的思考

服务如何判断这个token是否合法?

由上面token的生成可知,token中的签名是由Header和有效载荷通过Base64编码生成再通过加密算法HS256和密钥最终生成签名,这个签名位于JWT的尾部,在服务器端同样对返回过来的JWT的前部分再进行一次签名生成,然后比较这次生成的签名与请求的JWT中的签名是否一致,若一致说明token合法。由于生成签名的密钥是服务器才知道的,所以别人难以伪造。

token中能放敏感信息吗?
不能,因为有效载荷是经过Base64编码生成的,并不是加密。所以不能存放敏感信息。

Token的优点

(1)相比于session,它无需保存在服务器,不占用服务器内存开销。
(2)无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。
(3)由(2)知,这样做可就支持了跨域访问。

Java实例:JWT token使用

部分代码来自互联网,找不到原作者了。。

编写JWT(Java Web Token)操作类:JavaWebToken

public class JavaWebToken {

  private static Logger log = LoggerFactory.getLogger(JavaWebToken.class);

  //该方法使用HS256算法和Secret:bankgl生成signKey
  private static Key getKeyInstance() {
    //We will sign our JavaWebToken with our ApiKey secret
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl");
    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
    return signingKey;
  }

  //使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
  public static String createJavaWebToken(Map<String, Object> claims) {
    return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
  }

  //解析Token,同时也能验证Token,当验证失败返回null
  public static Map<String, Object> parserJavaWebToken(String jwt) {
    try {
      Map<String, Object> jwtClaims =
          Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
      return jwtClaims;
    } catch (Exception e) {
      log.error("json web token verify failed");
      return null;
    }
  }
}

编写登录Conreoller,在服务器端给客户返回token.

public LoginStatusMessage checkUserAndPassword(
  @RequestParam(value="username",required=true) String username,
  @RequestParam(value="password",required=true) String password,User user,HttpServletRequest request) throws Exception{
    User u = new User();
    //登录成功
    if((u = userService.checkUsernameAndPassword(user)) != null){
      Map<String,Object> m = new HashMap<String,Object>();
      m.put("userid", user.getUserid());
      String token = JavaWebToken.createJavaWebToken(m);
      System.out.println(token);
      LoginStatusMessage lsm = new LoginStatusMessage();
      lsm.setUser(u);
      lsm.setToken(token);
      return lsm;
    };
    //登录失败,返回Null
    return null;
  }

在拦截器中对请求中的Token验证(部分代码,表示下意思):

String token = request.getParameter("token");
      if(JavaWebToken.parserJavaWebToken(token) != null){
        //表示token合法
        return true;
      }else{
        //token不合法或者过期
        return false;
      }

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
JS类中定义原型方法的两种实现的区别
Mar 08 Javascript
javascript中的缓动效果实现程序
Dec 29 Javascript
jquery中get,post和ajax方法的使用小结
Feb 04 Javascript
js实现每日自动换一张图片的方法
May 04 Javascript
javascript实现自动填写表单实例简析
Dec 02 Javascript
用jmSlip编写移动端顶部日历选择控件
Oct 24 Javascript
ajax请求data遇到的问题分析
Jan 18 Javascript
关于vue面试题汇总
Mar 20 Javascript
JS实现遍历不规则多维数组的方法
Mar 21 Javascript
VUE简单的定时器实时刷新的实现方法
Jan 20 Javascript
jsonp格式前端发送和后台接受写法的代码详解
Nov 07 Javascript
微信小程序登陆注册功能的实现代码
Dec 10 Javascript
详解使用JWT实现单点登录(完全跨域方案)
Aug 02 #Javascript
基于mpvue的简单弹窗组件mptoast使用详解
Aug 02 #Javascript
vue下使用nginx刷新页面404的问题解决
Aug 02 #Javascript
超轻量级的js时间库miment使用解析
Aug 02 #Javascript
操作按钮悬浮固定在微信小程序底部的实现代码
Aug 02 #Javascript
微信小程序中悬浮窗功能的实现代码
Aug 02 #Javascript
微信小程序的授权实现过程解析
Aug 02 #Javascript
You might like
用在PHP里的JS打印函数
2006/10/09 PHP
PHP使用xmllint命令处理xml与html的方法
2014/12/15 PHP
php将access数据库转换到mysql数据库的方法
2014/12/24 PHP
php连接oracle数据库及查询数据的方法
2014/12/29 PHP
php实现的单一入口应用程序实例分析
2015/09/23 PHP
[原创]用javascript实现检测指定目录是否存在的方法
2008/01/12 Javascript
javascript中万恶的function实例分析
2011/05/25 Javascript
详解强大的jQuery选择器之基本选择器、层次选择器
2012/02/07 Javascript
offsetHeight在OnLoad中获取为0的现象
2013/07/22 Javascript
JS调用页面表格导出excel示例代码
2014/03/18 Javascript
项目中常用的JS方法整理
2015/01/30 Javascript
js中获取键盘事件的简单实现方法
2016/10/10 Javascript
详解JS中遍历语法的比较
2017/04/07 Javascript
详解angularjs popup-table 弹出框表格指令
2017/09/20 Javascript
js断点调试经验分享
2017/12/08 Javascript
Vue中实现回车键切换焦点的方法
2020/02/19 Javascript
如何通过Proxy实现JSBridge模块化封装
2020/10/22 Javascript
[01:22:29]真视界:2019年国际邀请赛总决赛
2020/01/29 DOTA
Python实现检测服务器是否可以ping通的2种方法
2015/01/01 Python
python使用htmllib分析网页内容的方法
2015/05/08 Python
Windows下anaconda安装第三方包的方法小结(tensorflow、gensim为例)
2018/04/05 Python
pygame游戏之旅 添加游戏介绍
2018/11/20 Python
Python 函数返回值的示例代码
2019/03/11 Python
Python的pygame安装教程详解
2020/02/10 Python
opencv-python的RGB与BGR互转方式
2020/06/02 Python
加拿大建筑和装修专家:Reno-Depot
2017/12/21 全球购物
Needle & Thread官网:英国仙女品牌
2018/01/13 全球购物
《问银河》教学反思
2014/02/19 职场文书
党员个人剖析材料2014
2014/10/08 职场文书
2015学生会文艺部工作总结
2015/04/03 职场文书
2015年外贸业务员工作总结范文
2015/05/23 职场文书
工程进度款催款函
2015/06/24 职场文书
初中班主任心得体会
2016/01/07 职场文书
高一作文之暖冬
2019/11/09 职场文书
PyQt5 显示超清高分辨率图片的方法
2021/04/11 Python
微信小程序基础教程之echart的使用
2021/06/01 Javascript