国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Java安全驗證之JWT實踐

Codeing_ls / 866人閱讀

摘要:有效載荷的第二部分是有效載荷,其中包含聲明。這些是自定義聲明,用于在同意使用這些聲明的各方之間共享信息,這些信息既沒有注冊也沒有公開聲明。由于令牌是憑證,因此必須非常小心以防止出現安全問題。授予授權后,授權服務器會向應用程序返回。

先給出JWT的官方文檔

什么是JWT?

JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,用于在各方之間作為JSON對象安全地傳輸信息。

什么時候應該使用JWT?

授權:這是使用JWT的最常見方式。一旦用戶登錄,每個后續請求將包括JWT,允許用戶訪問該令牌允許的路由,服務和資源。Single Sign On是一種現在廣泛使用JWT的功能,因為它的開銷很小,并且能夠在不同的域中輕松使用。

信息交換:JSON Web令牌是在各方之間安全傳輸信息的好方法。因為JWT可以通過簽名(使用公鑰/私鑰對 )核實發送人的身份。此外,由于使用標頭和有效負載計算簽名,您還可以驗證內容是否未被篡改。

JWT令牌結構

JWT令牌由Header、Payload、Signature三部分組成,每部分之間用點號分隔,通常的形式為xxxxx.yyyyy.zzzzz,下面分別對每部分做詳細介紹。

Header(頭)

Header通常由兩部分組成:令牌的類型,即JWT,以及使用的簽名算法,例如HMAC SHA256或RSA。

{
  "alg": "HS256",
  "typ": "JWT"
}

這個JSON被編碼為Base64Url,形成JWT的第一部分。

Payload(有效載荷)

JWT的第二部分是有效載荷,其中包含聲明( claims)。聲明包含實體(通常是用戶)和其他自定義信息。聲明有三種類型:registered, publicprivate claims

registered claims :這是一組預定義聲明,不是強制性的,但建議使用,以提供一組有用的,可互操作的聲明。其中包括: iss(發行人), exp(到期時間),sub(主題), aud(受眾)。

請注意:聲明名稱只有三個字符,因為JWT需要保持簡潔。

public claims:這些可以由使用JWT的人隨意定義。但為避免沖突,應在 IANA JSON Web Token Register中定義它們,或者將其定義為包含防沖突命名空間的URI。

private claims:這些是自定義聲明,用于在同意使用這些聲明的各方之間共享信息,這些信息既沒有注冊也沒有公開聲明。

Payload經過Base64Url編碼,形成JWT的第二部分。

請注意:對于JWT令牌,雖然可以防止被篡改,但任何人都可以讀取。除非加密,否則不要將秘密信息放在JWT的有效載荷或頭元素中。

Signature(簽名)

Signature由Base64Url加密的Header、Payload再使用Header中指定的算法加密之后再和secret組成。

如果要使用HMACSHA256算法,將按以下方式創建簽名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

Signature用于驗證消息在此過程中未被更改,并且,在使用私鑰簽名的令牌的情況下,它還可以驗證JWT的發件人的身份。

總結

最后將JWT的三部分由點號分隔作為一個字符串,其可以在HTML和HTTP環境中輕松傳遞,并且比基于XML的標準的Token(如SAML)更加簡潔。

JWT工作流程

在身份驗證中,當用戶使用其憑據成功登錄時,將返回JSON Web Token。由于令牌是憑證,因此必須非常小心以防止出現安全問題。一般情況下,您不應該將令牌保留的時間超過要求。

每當用戶想要訪問受保護的路由或資源時,用戶發送JWT到相應的地址,通常在Authorization標頭中。請求頭的的內容應如下所示:

Authorization: Bearer 

在某些情況下,這可以是無狀態授權機制。服務器的受保護路由將檢查Authorization標頭中的有效JWT ,如果存在,則允許用戶訪問受保護資源。如果JWT包含必要的數據,則可以減少查詢數據庫以進行某些操作的需要,盡管可能并非總是如此。

如果在標Authorization頭中發送Token,則跨域資源共享(CORS)將不會成為問題,因為它不使用cookie。

下圖顯示了如何獲取JWT并用于訪問API或資源:

應用程序或客戶端向授權服務器發送授權請求。

授予授權后,授權服務器會向應用程序返回JWT。

應用程序使用JWT來訪問受保護資源(如API)。

請注意:使用JWT時,Token中包含的所有信息都會向用戶或其他方公開,即使他們無法更改。所以您不應該在令牌中放置秘密信息。

JWT中的JAVA實現

JWT的java實現非常多,詳細何以查看官方文檔。

其中常用的有com.auth0.java-jwt和io.jsonwebtoken.jjwt

這里我采用 jjwt 作為演示,因為他的Github中的Star比較多。

Maven依賴

    io.jsonwebtoken
    jjwt-api
    0.10.5


    io.jsonwebtoken
    jjwt-impl
    0.10.5
    runtime


    io.jsonwebtoken
    jjwt-jackson
    0.10.5
    runtime

創建Token
    //Sample method to construct a JWT
    public static String createJWT(String id, String issuer, String subject, long ttlMillis) {

        //The JWT signature algorithm we will be using to sign the token
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //We will sign our JWT with our ApiKey secret
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary( APP_ID + APP_SECRET);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        //Let"s set the JWT Claims
        JwtBuilder builder = Jwts.builder().setId(id)
                .setIssuedAt(now)
                .setSubject(subject)
                .setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);

        //if it has been specified, let"s add the expiration
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);
        }

        //Builds the JWT and serializes it to a compact, URL-safe string
        return builder.compact();

    }
解析Token
     //Sample method to validate and read the JWT
    public static Claims parseJWT(String jwt) {

        //This line will throw an exception if it is not a signed JWS (as expected)
        Claims claims = Jwts.parser()
                .setSigningKey(DatatypeConverter.parseBase64Binary(APP_ID + APP_SECRET))
                .parseClaimsJws(jwt).getBody();
//        System.out.println("ID: " + claims.getId());
//        System.out.println("Subject: " + claims.getSubject());
//        System.out.println("Issuer: " + claims.getIssuer());
//        System.out.println("Expiration: " + claims.getExpiration());
        return claims;
    }

其中APP_IDAPP_SECRET可以自定義為你想要的任何值,但是不能過于簡單。

你會發現我們再使用的時候沒有設置Header的值,因為jjwt為了我們使用方便會根據使用的簽名算法或壓縮算法自動設置它們。

使用
@Test
public void createJWT(){

    String jwt = JWTUtil.createJWT("1", "111", "admin", JWTUtil.DAY_TTL);
    System.out.println(jwt);
}

@Test
public void parseJWT(){
            Claims claims = JWTUtil.parseJWT("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwiaWF0IjoxNTQ4Mjk1NjQ0LCJzdWIiOiJhZG1pbiIsImlzcyI6IjExMSIsImV4cCI6MTU0ODMzODg0NH0.WRkyeG3MfVor02Ya4732fgGydXhtkkKSDwbxOIZ2i9Y");
    System.out.println(claims);
}

如果想使用jjwt更復雜的功能或者其他的Java實現可以去他們相應的Github上學習。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/73195.html

相關文章

  • Spring Security

    摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...

    keelii 評論0 收藏0
  • 論微服務安全

    摘要:微服務能夠為應用程序設計提供一種更具針對性范圍性與模塊性的實現方案。安全微服務部署模式可謂多種多樣但其中使用最為廣泛的當數每主機服務模式。在微服務環境下,安全性往往成為最大的挑戰。不同微服務之間可通過多種方式建立受信關系。 每個人都在討論微服務,每個人也都希望能夠實現微服務架構,而微服務安全也日漸成為大家關注的重要問題。今天小數與大家分享的文章,就從應用層面深入探討了應對微服務安全挑戰...

    plokmju88 評論0 收藏0
  • Java經典

    摘要:請注意,我們在聊聊單元測試遇到問題多思考多查閱多驗證,方能有所得,再勤快點樂于分享,才能寫出好文章。單元測試是指對軟件中的最小可測試單元進行檢查和驗證。 JAVA容器-自問自答學HashMap 這次我和大家一起學習HashMap,HashMap我們在工作中經常會使用,而且面試中也很頻繁會問到,因為它里面蘊含著很多知識點,可以很好的考察個人基礎。但一個這么重要的東西,我為什么沒有在一開始...

    xcold 評論0 收藏0
  • 理解JWT(JSON Web Token)認證及python實踐

    摘要:認證服務器,即服務提供商專門用來處理認證的服務器。它與認證服務器,可以是同一臺服務器,也可以是不同的服務器。客戶端使用上一步獲得的授權,向認證服務器申請令牌。認證服務器對客戶端進行認證以后,確認無誤,同意發放令牌。 最近想做個小程序,需要用到授權認證流程。以前項目都是用的 OAuth2 認證,但是Sanic 使用OAuth2 不太方便,就想試一下 JWT 的認證方式。這一篇主要內容是 ...

    BigTomato 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<