详解JWT token心得与使用实例


Posted in Javascript onAugust 02, 2019

本文你能学到什么?

token的组成
token串的生成流程。
token在客户端与服务器端的交互流程
Token的优点和思考
参考代码:核心代码使用参考,不是全部代码

JWT token的组成

头部(Header),格式如下:

{ 
“typ”: “JWT”, 
“alg”: “HS256” 
}

由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串:

eyJhbGciOiJIUzI1NiJ9

有效载荷(Playload):

{ 
“iss”: “Online JWT Builder”, 
“iat”: 1416797419, 
“exp”: 1448333419, 
……. 
“userid”:10001 
}

有效载荷中存放了token的签发者(iss)、签发时间(iat)、过期时间(exp)等以及一些我们需要写进token中的信息。有效载荷也使用Base64编码得到如下格式的字符串:

eyJ1c2VyaWQiOjB9

签名(Signature):

将Header和Playload拼接生成一个字符串str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9”,使用HS256算法和我们提供的密钥(secret,服务器自己提供的一个字符串)对str进行加密生成最终的JWT,即我们需要的令牌(token),形如:str.”签名字符串”。

token在服务与客户端的交互流程

1:客户端通过用户名和密码登录
2:服务器验证用户名和密码,若通过,生成token返回给客户端。
3:客户端收到token后以后每次请求的时候都带上这个token,相当于一个令牌,表示我有权限访问了
4:服务器接收(通常在拦截器中实现)到该token,然后验证该token的合法性(为什么能验证下面说)。若该token合法,则通过请求,若token不合法或者过期,返回请求失败。

关于Token的思考

服务如何判断这个token是否合法?

由上面token的生成可知,token中的签名是由Header和有效载荷通过Base64编码生成再通过加密算法HS256和密钥最终生成签名,这个签名位于JWT的尾部,在服务器端同样对返回过来的JWT的前部分再进行一次签名生成,然后比较这次生成的签名与请求的JWT中的签名是否一致,若一致说明token合法。由于生成签名的密钥是服务器才知道的,所以别人难以伪造。

token中能放敏感信息吗?
不能,因为有效载荷是经过Base64编码生成的,并不是加密。所以不能存放敏感信息。

Token的优点

(1)相比于session,它无需保存在服务器,不占用服务器内存开销。
(2)无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。
(3)由(2)知,这样做可就支持了跨域访问。

Java实例:JWT token使用

部分代码来自互联网,找不到原作者了。。

编写JWT(Java Web Token)操作类:JavaWebToken

public class JavaWebToken {

  private static Logger log = LoggerFactory.getLogger(JavaWebToken.class);

  //该方法使用HS256算法和Secret:bankgl生成signKey
  private static Key getKeyInstance() {
    //We will sign our JavaWebToken with our ApiKey secret
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl");
    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
    return signingKey;
  }

  //使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
  public static String createJavaWebToken(Map<String, Object> claims) {
    return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
  }

  //解析Token,同时也能验证Token,当验证失败返回null
  public static Map<String, Object> parserJavaWebToken(String jwt) {
    try {
      Map<String, Object> jwtClaims =
          Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
      return jwtClaims;
    } catch (Exception e) {
      log.error("json web token verify failed");
      return null;
    }
  }
}

编写登录Conreoller,在服务器端给客户返回token.

public LoginStatusMessage checkUserAndPassword(
  @RequestParam(value="username",required=true) String username,
  @RequestParam(value="password",required=true) String password,User user,HttpServletRequest request) throws Exception{
    User u = new User();
    //登录成功
    if((u = userService.checkUsernameAndPassword(user)) != null){
      Map<String,Object> m = new HashMap<String,Object>();
      m.put("userid", user.getUserid());
      String token = JavaWebToken.createJavaWebToken(m);
      System.out.println(token);
      LoginStatusMessage lsm = new LoginStatusMessage();
      lsm.setUser(u);
      lsm.setToken(token);
      return lsm;
    };
    //登录失败,返回Null
    return null;
  }

在拦截器中对请求中的Token验证(部分代码,表示下意思):

String token = request.getParameter("token");
      if(JavaWebToken.parserJavaWebToken(token) != null){
        //表示token合法
        return true;
      }else{
        //token不合法或者过期
        return false;
      }

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
Dom 学习总结以及实例的使用介绍
Apr 24 Javascript
input链接页面、打开新网页等等的具体实现
Dec 30 Javascript
js showModalDialog参数的使用详解
Jan 07 Javascript
JavaScript原型及原型链终极详解
Jan 04 Javascript
js仿百度切换皮肤功能(html+css)
Jul 10 Javascript
vue-loader教程介绍
Jun 14 Javascript
JavaScript实现简单评论功能
Aug 17 Javascript
在原生不支持的旧环境中添加兼容的Object.keys实现方法
Sep 11 Javascript
让你5分钟掌握9个JavaScript小技巧
Jun 09 Javascript
js作用域和作用域链及预解析
Apr 11 Javascript
利用 JavaScript 实现并发控制的示例代码
Dec 31 Javascript
Vue包大小优化的实现(从1.72M到94K)
Feb 18 Vue.js
详解使用JWT实现单点登录(完全跨域方案)
Aug 02 #Javascript
基于mpvue的简单弹窗组件mptoast使用详解
Aug 02 #Javascript
vue下使用nginx刷新页面404的问题解决
Aug 02 #Javascript
超轻量级的js时间库miment使用解析
Aug 02 #Javascript
操作按钮悬浮固定在微信小程序底部的实现代码
Aug 02 #Javascript
微信小程序中悬浮窗功能的实现代码
Aug 02 #Javascript
微信小程序的授权实现过程解析
Aug 02 #Javascript
You might like
PHP利用hash冲突漏洞进行DDoS攻击的方法分析
2015/03/26 PHP
YII视图整合kindeditor扩展的方法
2016/07/13 PHP
php正则表达式基本知识与应用详解【经典教程】
2017/04/17 PHP
PHP 布尔值的自增与自减的实现方法
2018/05/03 PHP
非常不错的功能强大代码简单的管理菜单美化版
2008/07/09 Javascript
获取网站跟路径的javascript代码(站点及虚拟目录)
2009/10/20 Javascript
JAVASCRIPT实现的WEB页面跳转以及页面间传值方法
2010/05/13 Javascript
js 创建快捷方式的代码(fso)
2010/11/19 Javascript
Javascript中匿名函数的多种调用方式总结
2013/12/06 Javascript
jquery实现select选中行、列合计示例
2014/04/25 Javascript
js正则表达式验证邮件地址
2015/11/12 Javascript
BootStrap实现带关闭按钮功能
2017/02/15 Javascript
vue.js中v-on:textInput无法执行事件问题的解决过程
2017/07/12 Javascript
基于substring()和substr()的使用以及区别(实例讲解)
2017/12/28 Javascript
layer弹出层父子页面事件相互调用方法
2018/08/17 Javascript
vue3 源码解读之 time slicing的使用方法
2019/10/31 Javascript
[04:03]DOTA2肉山黑名单梦之声 风暴之灵中文配音鉴赏
2013/07/03 DOTA
python批量导出导入MySQL用户的方法
2013/11/15 Python
Python中Class类用法实例分析
2015/11/12 Python
浅析Python基础-流程控制
2016/03/18 Python
Python制作词云的方法
2018/01/03 Python
python视频按帧截取图片工具
2019/07/23 Python
Python3使用xml.dom.minidom和xml.etree模块儿解析xml文件封装函数的方法
2019/09/23 Python
Python序列类型的打包和解包实例
2019/12/21 Python
Python编译成.so文件进行加密后调用的实现
2019/12/23 Python
Python range与enumerate函数区别解析
2020/02/28 Python
Python Numpy中数据的常用保存与读取方法
2020/04/01 Python
python和js交互调用的方法
2020/06/23 Python
美国最好的保健品打折网店:Swanson
2017/08/04 全球购物
英国羊皮鞋类领先品牌:Just Sheepskin
2019/12/12 全球购物
我们的节日清明节活动方案
2014/03/05 职场文书
中学教师师德师风演讲稿
2014/08/22 职场文书
原料仓管员岗位职责
2015/04/01 职场文书
2015年青年志愿者工作总结
2015/05/20 职场文书
2015入党自传格式范文
2015/06/26 职场文书
篮球赛闭幕式主持词
2015/07/03 职场文书