Java - JWT
JWT 介绍
JWT由3部分构成:Header, Payload, Signature (头部,载荷,签名)
头部:声明类型,加密算法
{"alg": "HS256","typ": "JWT"
}载荷:有效数据,是一个JSON串,是要传递数据的一组声明,这些声明被JWT标准称为claims。
载荷可以自定义,例如:这里包含7个信息
iss (issuer):表示签发人
exp (expiration time):表示token过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
签名:数据的认证信息。
通过Header中配置的加密算法,结合秘钥(secret,通常配置在服务端)。
生成密文,用于验证数据的完整性和可靠性。
JWT 示例
public static void main1(String[] args) {Long duration = 24 * 60 * 1000L;byte[] keyBytes = Decoders.BASE64.decode("aUxvdmVNZXJjazIwMjJDbmZkNGRiOTY0NDA0MGNiODI=");// 加密,生成 tokenString jwtToken = Jwts.builder()// Header.setHeaderParam("typ", "JWT").setHeaderParam("alg", "HS256")// Payload.claim("username", "m300381").claim("role", "admin").setSubject("admin-test") // 签发主题.setExpiration(new Date(System.currentTimeMillis() + duration)).setId(UUID.randomUUID().toString())// Signature.signWith(Keys.hmacShaKeyFor(keyBytes), SignatureAlgorithm.HS256).compact();System.out.println(jwtToken);// 解密 tokenJwtParser jwtParser = Jwts.parserBuilder().build();Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey("aUxvdmVNZXJjazIwMjJDbmZkNGRiOTY0NDA0MGNiODI=").build().parseClaimsJws(jwtToken);Claims claim = claimsJws.getBody();System.out.println(claim.getSubject());System.out.println(claim.getId());System.out.println(claim.getExpiration());
}JWT设置了过期时间以后,一旦超过,那么接口就不能访问了,需要用户重新登录获取token。
单Token方案
将 token 过期时间设置为15分钟;
前端发起请求,后端验证 token 是否过期;如果过期,前端发起刷新token请求,后端为前端返回一个新的token;
前端用新的token发起请求,请求成功;
如果要实现每隔72小时,必须重新登录,后端需要记录每次用户的登录时间;用户每次请求时,检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败,跳转到登录页面。
后端需要记录每次登录的时间。
后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。
双Token方案
登录成功以后,后端返回 access_token 和 refresh_token,客户端缓存此两种token;
使用 access_token 请求接口资源,成功则调用成功;
如果token超时,客户端携带 refresh_token 调用token刷新接口获取新的 access_token;
后端接受刷新token的请求后,检查 refresh_token 是否过期。
如果过期,拒绝刷新,客户端收到该状态后,跳转到登录页;
如果未过期,生成新的 access_token 返回给客户端。
客户端携带新的 access_token 重新调用上面的资源接口。
客户端退出登录或修改密码后,注销旧的token,使 access_token 和 refresh_token 失效,同时清空客户端的 access_token 和 refresh_token。
Java - JWT相关推荐
- java jwt 验证_教程:用Java创建和验证JWT
java jwt 验证 "我喜欢编写身份验证和授权代码." 〜从来没有Java开发人员. 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多 ...
- Java - JWT的简单介绍和使用
Java - JWT的简单介绍和使用 前言 一. JWT 基础知识 1.1 session 案例测试 1.2 JWT 结构 1.2.1 Header 1.2.2 Payload 1.2.3 Signa ...
- java编程之java jwt token什么是JWT?(一)
转自:http://www.leftso.com/blog/220.html 一.什么是JWT?了解JWT,认知JWT 首先jwt其实是三个英语单词JSON Web Token的缩写.通过全名你可能就 ...
- Java JWT:用于Java和Android的JSON Web令牌
JWT根据维基百科的定义,JSON WEBToken(JWT,读作 [/dʒɒt/]),是一种基于JSON的.用于在网络上声明某种主张的令牌(token).JWT通常由三部分组成: 头信息(heade ...
- Sign in with Apple(苹果授权登陆) java jwt方式验证
本文章借鉴的原文链接:https://blog.csdn.net/wpf199402076118/article/details/99677412 苹果授权登陆方式 PC/M端授权登陆,采用协议类似于 ...
- java jwt 用户认证_jwt身份验证
http协议是无状态协议,服务端不能从请求中判断用户的身份,用户怎么每次去找到自己对应的信息呢? 1. cookie 这种方式最简单,在用户第一次登陆成功某个网站A,网站A服务端就将你的用户信息(比如 ...
- java jwt刷新_基于springboot+jwt实现刷新token过程解析
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点 ...
- JWT(JSON Web Token) Java与.Net简单编码实现
参考 JWT(JSON WEB TOKENS)-一种无状态的认证机制 基于Token的WEB后台认证机制 各种语言版本的基于HMAC-SHA256的base64加密 Java与.Net实现实现 // ...
- 教程:用Java创建和验证JWT
"我喜欢编写身份验证和授权代码." 〜从来没有Java开发人员. 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证. Java ...
最新文章
- [html] 使用a标签的download属性下载文件会有跨域问题吗?如何解决?
- 结构损伤检测与智能诊断 陈长征_宿迁厂房安全检测多少钱介绍说明
- 为什么要 conda 作用_武汉精神堡垒有什么作用 为什么要做?
- SpringMVC连接MongoDB操作数据库
- PDE11 wave equation: d'Alembert examples
- Invalidate,Update与Refresh的区别
- 移动端-项目基础总结------彭记(020)
- 垃圾回收GC经典算法
- 怎样快速将图片dpi修改为300?如何调整照片分辨率?
- 常见Android智能手机通信录导入方法
- api—淘宝图片上传
- Draftsharks回顾周末梦幻足球
- Python之OpenGL笔记(30):飘扬的旗帜
- Qt在设计ui界面时,在控件中输入中文,会自动变成英文字母,解决方案
- c语言 函数 引用调用,C 引用方式调用函数
- DNS系统(服务器)的工作原理及攻击防护
- uni-app使用map组件开发map地图,获取后台返回经纬度进行标点
- Django搭建个人博客Blog-Day05
- python全栈开发-基本数据类型2 python_day_5
- 从苏宁电器到卡巴斯基第20篇:曲折考研路(补)