【免费】还在直接用JWT做鉴权？JJWT真香.zip资源-CSDN文库

共1个文件

pdf：1个

需积分: 0 200 浏览量 2023-12-13 17:07:56 上传评论收藏 713KB ZIP 举报

资源推荐

资源详情

资源评论

收起资源包目录

package

还在直接用JWT做鉴权？JJWT真香.zip （1个子文件）

还在直接用JWT做鉴权？JJWT真香.pdf 736KB

还在直接用JWT做鉴权？JJWT真香

jwt是什么?

J W T s 是 J S O N 对象的编码表示。 J S O N 对象由零或多个名称 / 值对

组成，其中名称为字符串，值为任意 J S O N 值。 J W T 有助于在 c l e a

r ( 例如在 U R L 中 ) 发送这样的信息，可以被信任为不可读 ( 即加密的 )

、不可修改的 ( 即签名 ) 和 U R L - s a f e ( 即 B a s e 6 4 编码的 ) 。

jwt的组成

 Header:

标题包含了令牌的元数据，并且在最小包含签名和/或加密算法的类型

 Claims: Claims包含您想要签署的任何信息

 JSON Web Signature (JWS):

在header中指定的使用该算法的数字签名和声明

例如：

Header:

{

"alg": "HS256",

"typ": "JWT"

}

Claims:

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

Signature:

base64UrlEncode(Header) + "." + base64UrlEncode(Claims),

加密生成的 t o k e n ：

如何保证 JWT 安全

有很多库可以帮助您创建和验证 J W T ，但是当使用 J W T 时，仍然可

以做一些事情来限制您的安全风险。在您信任 J W T 中的任何信息之

前，请始终验证签名。这应该是给定的。

换句话说，如果您正在传递一个秘密签名密钥到验证签名的方法，

并且签名算法被设置为 “ n o n e ” ，那么它应该失败验证。

确保签名的秘密签名，用于计算和验证签名。秘密签名密钥只能由

发行者和消费者访问，不能在这两方之外访问。

不要在 J W T 中包含任何敏感数据。这些令牌通常是用来防止操作 ( 未

加密 ) 的，因此索赔中的数据可以很容易地解码和读取。

如果您担心重播攻击，包括一个 n o n c e ( j t i 索赔 ) 、过期时间 ( e x p

索赔 ) 和创建时间 ( i a t 索赔 ) 。这些在 J W T 规范中定义得很好。

jwt的框架：JJWT

J J W T 是一个提供端到端的 J W T 创建和验证的 J a v a 库。永远免费和

开源 ( A p a c h e

L i c e n s e ，版本 2 . 0 ) ， J J W T 很容易使用和理解。它被设计成一个

以建筑为中心的流畅界面，隐藏了它的大部分复杂性。

 JJWT的目标是最容易使用和理解用于在JVM上创建和验证JSON

Web令牌(JWTs)的库。

 JJWT是基于JWT、JWS、JWE、JWK和JWA RFC规范的Java实现。

 JJWT还添加了一些不属于规范的便利扩展，比如JWT压缩和索赔强制。

规范兼容:

 创建和解析明文压缩JWTs

 创建、解析和验证所有标准JWS算法的数字签名紧凑JWTs(又称JWSs):

 HS256: HMAC using SHA-256

 HS384: HMAC using SHA-384

 HS512: HMAC using SHA-512

 RS256: RSASSA-PKCS-v1_5 using SHA-256

 RS384: RSASSA-PKCS-v1_5 using SHA-384

 RS512: RSASSA-PKCS-v1_5 using SHA-512

 PS256: RSASSA-PSS using SHA-256 and MGF1 with SHA-256

 PS384: RSASSA-PSS using SHA-384 and MGF1 with SHA-384

 PS512: RSASSA-PSS using SHA-512 and MGF1 with SHA-512

 ES256: ECDSA using P-256 and SHA-256

 ES384: ECDSA using P-384 and SHA-384

 ES512: ECDSA using P-521 and SHA-512

这里以github上的demo演示，理解原理，集成到自己项目中即可

。

应用采用 spring boot + angular + jwt

结构图

M a v e n 引进 : p o m . x m l

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.

org/2001/XMLSchema-instance"

xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apach

e.org/xsd/maven-4.0.0.xsd">

<modelVersion>4.0.0</modelVersion>

<groupId>com.nibado.example</groupId>

<artifactId>jwt-angular-spring</artifactId>

<version>0.0.2-SNAPSHOT</version>

<properties>

<maven.compiler.source>1.8</maven.compiler.source>

<maven.compiler.target>1.8</maven.compiler.target>

内容反馈

白话机器学习

粉丝: 8265
资源: 7686

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈

feedback-tip