成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

崩了啊,一個JWT把我干懵了

作者:磊哥
開發 前端
JWT 相比與傳統的 Session 會話機制,具備無狀態性(無需服務器端存儲會話信息),并且它更加靈活、更適合微服務環境下的登錄和授權判斷。JWT 是由三部分組成的:Header(頭部)、Payload(數據載荷)和 Signature(簽名)。

目前權限系統開發中,使用 JWT 技術的項目還是挺多的,因此在面試中被問到的頻率也比較高,所以今天我們就來看一下:什么是 JWT?為什么要用 JWT?

什么是 JWT?

JWT(JSON Web Token)是一種開放標準(RFC 7519),用于在網絡上安全傳輸信息的簡潔、自包含的方式。它通常被用于身份驗證和授權機制。JWT 由三部分組成:頭部(Header)、載荷(Payload)和簽名(Signature)。

  1. 頭部(Header):包含了關于生成該 JWT 的信息以及所使用的算法類型。
  2. 載荷(Payload):包含了要傳遞的數據,例如身份信息和其他附屬數據。JWT 官方規定了 7 個字段,可供使用:
  • iss (Issuer):簽發者。
  • sub (Subject):主題。
  • aud (Audience):接收者。
  • exp (Expiration time):過期時間。
  • nbf (Not Before):生效時間。
  • iat (Issued At):簽發時間。
  • jti (JWT ID):編號。
  1. 簽名(Signature):使用密鑰對頭部和載荷進行簽名,以驗證其完整性。

JWT 官網:https://jwt.io/

為什么要用 JWT?

JWT 相較于傳統的基于會話(Session)的認證機制,具有以下優勢:

  1. 無需服務器存儲狀態:傳統的基于會話的認證機制需要服務器在會話中存儲用戶的狀態信息,包括用戶的登錄狀態、權限等。而使用 JWT,服務器無需存儲任何會話狀態信息,所有的認證和授權信息都包含在 JWT 中,使得系統可以更容易地進行水平擴展。
  2. 跨域支持:由于 JWT 包含了完整的認證和授權信息,因此可以輕松地在多個域之間進行傳遞和使用,實現跨域授權。
  3. 適應微服務架構:在微服務架構中,很多服務是獨立部署并且可以橫向擴展的,這就需要保證認證和授權的無狀態性。使用 JWT 可以滿足這種需求,每次請求攜帶 JWT 即可實現認證和授權。
  4. 自包含:JWT 包含了認證和授權信息,以及其他自定義的聲明,這些信息都被編碼在 JWT 中,在服務端解碼后使用。JWT 的自包含性減少了對服務端資源的依賴,并提供了統一的安全機制。
  5. 擴展性:JWT 可以被擴展和定制,可以按照需求添加自定義的聲明和數據,靈活性更高。

總結來說,使用 JWT 相較于傳統的基于會話的認證機制,可以減少服務器存儲開銷和管理復雜性,實現跨域支持和水平擴展,并且更適應無狀態和微服務架構。

JWT 基本使用

在 Java 開發中,可以借助 JWT 工具類來方便的操作 JWT,例如 HuTool 框架中的 JWTUtil。

HuTool 介紹:https://doc.hutool.cn/pages/JWTUtil/

使用 HuTool 操作 JWT 的步驟如下:

  1. 添加 HuTool 框架依賴
  2. 生成 Token
  3. 驗證和解析 Token

添加 HuTool 框架依賴

在 pom.xml 中添加以下信息:

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.16</version>
</dependency>

生成 Token

Map<String, Object> map = new HashMap<String, Object>() {
private static final long serialVersionUID = 1L;
{
    put("uid", Integer.parseInt("123")); // 用戶ID
    put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 過期時間15天
}
};
JWTUtil.createToken(map, "服務器端秘鑰".getBytes());

驗證和解析 Token

驗證 Token 的示例代碼如下:

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew";
JWTUtil.verify(token, "123456".getBytes());

解析 Token 的示例代碼如下:

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA";
final JWT jwt = JWTUtil.parseToken(rightToken);
jwt.getHeader(JWTHeader.TYPE);
jwt.getPayload("sub");

代碼實戰

在登錄成功之后,生成 Token 的示例代碼如下:

// 登錄成功,使用 JWT 生成 Token
Map<String, Object> payload = new HashMap<String, Object>() {
    private static final long serialVersionUID = 1L;
    {
        put("uid", userinfo.getUid());
        put("manager", userinfo.getManager());
        // JWT 過期時間為 15 天
        put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);
    }
};
String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());

例如在 Spring Cloud Gateway 網關中驗證 Token 的實現代碼如下:

import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import com.example.common.AppVariable;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;

/**
 * 登錄過濾器(登錄判斷)
 */
@Component
public class AuthFilter implements GlobalFilter, Ordered {
    // 排除登錄驗證的 URL 地址
    private String[] skipAuthUrls = {"/user/add", "/user/login"};

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 當前請求的 URL
        String url = exchange.getRequest().getURI().getPath();
        for (String item : skipAuthUrls) {
            if (item.equals(url)) {
                // 繼續往下走
                return chain.filter(exchange);
            }
        }
        ServerHttpResponse response = exchange.getResponse();
        // 登錄判斷
        List<String> tokens =
                exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY);
        if (tokens == null || tokens.size() == 0) {
            // 當前未登錄
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        // token 有值
        String token = tokens.get(0);
        // JWT 效驗 token 是否有效
        boolean result = false;
        try {
            result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());
        } catch (Exception e) {
            result = false;
        }
        if (!result) {
            // 無效 token
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        } else { // 判斷 token 是否過期
            final JWT jwt = JWTUtil.parseToken(token);
            // 得到過期時間
            Object expObj = jwt.getPayload("exp");
            if (expObj == null) {
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }
            long exp = Long.parseLong(expObj.toString());
            if (System.currentTimeMillis() > exp) {
                // token 過期
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        // 值越小越早執行
        return 1;
    }
}

實現原理分析

JWT 本質是將秘鑰存放在服務器端,并通過某種加密手段進行加密和驗證的機制。加密簽名=某加密算法(header+payload+服務器端私鑰),因為服務端私鑰別人不能獲取,所以 JWT 能保證自身其安全性。

小結

JWT 相比與傳統的 Session 會話機制,具備無狀態性(無需服務器端存儲會話信息),并且它更加靈活、更適合微服務環境下的登錄和授權判斷。JWT 是由三部分組成的:Header(頭部)、Payload(數據載荷)和 Signature(簽名)。

責任編輯:姜華 來源: 磊哥和Java
JWTSession微服務
相關推薦

2021-07-14 15:06:50

SDK版本 jar

2022-05-31 08:35:05

RocketMQACK客戶端

2023-05-11 08:08:18

MySQL主從復制

2019-09-27 09:13:55

Redis內存機制

2025-06-11 01:10:00

2023-01-26 11:43:03

線程池CPUJava

2021-12-09 11:31:16

跨域后端開發

2024-11-08 15:09:59

2019-06-17 08:21:06

RPC框架服務

2025-03-24 08:00:00

數據庫開發代碼

2020-11-04 07:56:19

工具Linux 翻譯

2017-07-10 16:19:36

IT發財離婚

2024-02-05 22:48:32

系統代碼

2022-05-16 08:42:26

Pandasbug

2021-09-13 08:41:52

職場互聯網自閉

2020-09-27 14:13:50

Spring BootJava框架

2023-10-30 08:10:26

Map存儲信息

2021-04-21 08:54:49

Go語言程序

2020-03-29 08:56:07

文件系統磁盤Java

2022-12-12 17:11:32

P6SpySQL
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 色婷婷一区二区三区四区 | 男人的天堂在线视频 | 天天久久 | 亚洲成人精品视频 | 国产一区二区三区视频 | 亚洲天堂影院 | 欧美激情在线一区二区三区 | 亚洲欧美bt | 亚洲成人第一页 | 免费观看一级特黄欧美大片 | 亚洲精品视频三区 | 天天看片天天干 | 成人免费视频一区二区 | 欧美一区二区三区精品免费 | 日日骚网 | 成人av播放 | 99热成人在线 | 在线观看中文字幕dvd播放 | 国产精品免费一区二区 | 国产高清在线视频 | 91伊人网 | 在线观看中文字幕一区二区 | 日韩欧美一区二区三区免费观看 | 国产成人99久久亚洲综合精品 | 一区二区三区四区视频 | 久久久久久国产精品 | 成人国产精品久久 | 欧美日韩在线视频一区 | 精品网 | 天天操夜夜骑 | 看av电影 | 日韩精品视频在线播放 | 性色av网站 | 午夜影视在线观看 | 国产精品福利在线 | 国产日韩欧美在线 | 久久久久国产一级毛片高清网站 | 国产成人高清 | 中文日韩在线视频 | 亚洲成人观看 | 欧美一区二区三区精品 |