2. 程式人生 > >補充知識點五:基於Token的WEB後臺認證機制

補充知識點五:基於Token的WEB後臺認證機制

阿新 發佈:2018-12-25

自己寫的例項:
1.引入JAR包

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId
 
>
            <artifactId>fastjson</artifactId>
            <version>1.2.28</version>
        </dependency>

2.生成token,校驗token

package org.pc;


import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.Base64Codec;

import javax.crypto.spec.SecretKeySpec;
import
 
 javax.xml.bind.DatatypeConverter;
import java.security.Key;

/**
 * @author **
 * @date 2018/6/8 8:47
 * Token認證:
 *     JWT 標準的 Token 有三個部分:
 *     1.header(頭部),頭部資訊主要包括(引數的型別--JWT,簽名的演算法--HS256)
 *     2.payload(負荷),負荷基本就是自己想要存放的資訊(因為資訊會暴露,不應該在載荷裡面加入任何敏感的資料),有兩個形式,下邊會講到
 *     3.sign(簽名),簽名的作用就是為了防止惡意篡改資料
 *     中間用點("\\.")分隔開,並且都會使用 Base64 編碼
 */
 

public final class JwtTokenUtil {
    /**
     * 建立token
     * @param payload 負荷
     * @return 簽名
     * 備註:我們這裡是藉助第三方框架:jjwt實現建立token,它實際的流程是:
     * 第一步:對header(頭部)進行 Base64 編碼 --------> #######
     * 第二步:對payload(負荷)進行 Base64 編碼 --------> *******
     * 第三步:JWT 的最後一部分是 Signature ,這部分內容有三個部分,先是用 Base64 編碼的 header.payload ,
     *         再用加密演算法加密一下,加密的時候要放進去一個 Secret ,這個相當於是一個密碼,這個密碼祕密地
     *         儲存在服務端。
     * var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
     * HMACSHA256(encodedString, 'secret');
     */
    public static String createToken(String payload){
        System.out.println("負荷的值:" + payload);
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        //這個在實際專案中,祕鑰要配置在配置檔案中
        String secretKey = "king";
        byte[] secretKeyBytes = DatatypeConverter.parseBase64Binary(secretKey);
        Key signKey = new SecretKeySpec(secretKeyBytes, signatureAlgorithm.getJcaName());
        JwtBuilder builder = Jwts.builder()
                //設定header
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                //設定payload
                .setPayload(payload)
                //簽名
                .signWith(signatureAlgorithm, signKey);
        return builder.compact();
    }

    /**
     * 驗證前端傳送過來的token
     * 備註:若過期,會丟擲異常
     */
    public static Claims parseToken(String token){
        //祕鑰
        String secretKey = "king";
        String[] tokens = token.split("\\.");
        if (tokens.length == 3){
            //header(頭部)
            String header = tokens[0];
            //payload(負荷)
            String payload = tokens[1];
            //利用Base64解碼(為什麼用Base64解碼,參見建立token)
            System.out.println("負荷:" + Base64Codec.BASE64URL.decodeToString(payload));
            //簽名
            String sign = tokens[2];
            System.out.println("簽名:" + sign);
            //頭部
            JwsHeader claimsHeader = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(secretKey))
                    .parseClaimsJws(token).getHeader();
            //負荷
            Claims claimsPayload = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(secretKey))
                    .parseClaimsJws(token).getBody();
            String signNew = createToken(JSONObject.toJSONString(claimsPayload));
            if (signNew != null && signNew.equals(token)){
                System.out.println("匹配");
            }
            return claimsPayload;
        } else {
            return null;
        }
    }

    public static void main(String[] args){
        JSONObject jsonPayload = new JSONObject();
        jsonPayload.put("iss", "ninghao.net");
        //若過期,會丟擲異常
        jsonPayload.put("exp", System.currentTimeMillis()+1000);
        jsonPayload.put("name", "wanghao");
        jsonPayload.put("admin", true);
        String token = JwtTokenUtil.createToken(jsonPayload.toJSONString());
        JwtTokenUtil.parseToken(token);
    }
}

相關推薦

補充知識點基於Token的WEB後臺認證機制

自己寫的例項: 1.引入JAR包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g

基於Token的WEB後臺認證機制

ini .net pass www. 開源庫 集合 生成 http 全部 轉自:https://www.cnblogs.com/xiekeli/p/5607107.html 幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth簡單點說明就

JSON Web Token實戰篇——基於koa開發WEB後臺認證機制

今天來說說JSON Web Token,JSON Web Token(縮寫 JWT)是目前最流行的跨域認證解決方案。關於它的介紹,可以看阮一峰的這篇文章JSON Web Token 入門教程 工作流程 這裡直接使用官網的圖 知道了JWT的原理後,我們來看一下如何基於koa開發web

JavaWeb—基於Token的身份驗證 基於Token的WEB後臺認證機制

傳統身份驗證的方法 HTTP Basic Auth HTTP Basic Auth簡單點說明就是每次請求API時都提供使用者的username和password,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認證方式,只需提供使用者名稱密碼即可,但由於有把使用者名稱密碼暴露給第三

APP開發基於Bmob後臺文件共享移動web(一)

前言 本篇部落格主要用來記錄我個人移動web小專案開發過程,當然還有一些關於javascript如何使用Bmob後臺的API,現在網上關於javascript使用Bmob後臺API的例項太少了,我目前又不會搞後臺開發,加上我的這個專案打算幾個月後提交併參加比賽有些急,後臺也來不及去研

Linux作業系統知識點作業系統的功能——檔案管理

檔案是具有符號名的一組相關元素的有序序列,是一段程式或資料的集合。 檔案是儲存資訊的基本結構。 資訊包括相關記錄或者字元流。 檔案通過檔名標識。 檔案分類 (1)按檔案的資料形式分:原始檔、目標檔案、可執行檔案。 (2)按用途分:系統檔案、庫檔案、使用者檔案。 (3)按存

文獻綜述十基於b/s中小型超市進銷存管理系統的研究與設計

一、基本資訊   標題:基於b/s中小型超市進銷存管理系統的研究與設計   時間:2015   出版源:湘西財經大學   檔案分類:對超市管理系統的研究 二、研究背景   在競爭日益激烈的行業中,儘可能降低運營成本,逐步擴大超市經營規模,並帶動銷售増長。 三、具體內容   論文的內容分為6個部分。分別是緒論、

腳手架vue-cli系列基於Nightwatch的端到端測試環境

不同公司和組織之間的測試效率迥異。在這個富互動和響應式處理隨處可見的時代,很多組織都使用敏捷的方式來開發應用,因此測試自動化也成為軟體專案的必備部分。測試自動化意味著使用軟體工具來反覆執行專案中的測試,併為迴歸測試提供反饋。 端到端測試又簡稱E2E(End-To-End test)測試,它不同於單元測試側重

DEVOPS 運維開發系列基於Django過濾器實現自動化運維平臺功能模組的動態授權管理與展示

1、關於Django過濾器 Django中提供了很多內建的過濾器和標籤,我們常用的例如下面這些: block(模板繼承) extends(模板繼承) filter(過濾器) for(迴圈) if(判斷) include(載入模板) 還有很多詳見官網

基於Token的WEB後臺認證機制(會話機制)

幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth簡單點說明就是每次請求API時都提供使用者的username和password,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認證方式,只需提供使用者名稱密碼即可,

PCIE_DMA例項基於XILINX XDMA的PCIE高速採集卡

PCIE_DMA例項五:基於XILINX XDMA的PCIE高速採集卡 一:前言 這一年關於PCIE高速採集卡的業務量激增,究其原因,發現百度“xilinx pcie dma”,出來的都是本人的部落格。前期的博文主要以教程為主,教大家如何理解PCIE協議以及如何正確使用PCIE相關的IP核,因為涉及到商業道德

C++實踐()C++實現認證演算法基於SHA-512的HMAC

基於SHA-512的HMAC演算法 SHA是使用最廣泛的Hash函式。其家族有SHA-1,SHA-2(包括SHA-256/SHA-384/SHA-512)。SHA1與SHA2都使用了同樣的迭代結構和模算術與二元邏輯操作。在本實驗中,我們採用SHA-512。

Django運維後臺的搭建之引入databases和django-crispy-forms

連接 django databases 在上一篇,我們已經把我們做的運維外面套上了bootstrap框架,但是那僅僅是一個外殼,這一次是要把裏面的壤也扣上這樣的框架。首先,編輯index.html,添加block元素,用於主頁存放不同的內容:<div class="page-content"

Python學習()易忘知識點

imp and 同時存在 dict filter tools 交集 brush 列表 1、列表比較函數cmp >>> a = [1,2,3,4] >>> b = [1,2,3,4,5] >>> c = [1,2,3,4

Zabbix()高級應用-web方案、被動監控、基於snmp協議被動監控、proxy配置測試實例

zabbix proxy1.web方案web scenario:web監控方案,web場景;web scenarios指的是監控指定的web站點的資源下載及頁面響應時間等數據指標;(1)創建web監控需要先定義一個web scenario(方案):一個web方案包括一個或多個HTTP請求或步驟(steps)

基於深度學習的人臉特徵點檢測 - 生成TFRecord檔案

在上一篇博文中,我們已經獲取到了所有樣本的面部區域,並且對面部區域的有效性進行了驗證。當使用TensorFlow進行神經網路訓練時,涉及到的大量IO操作會成為訓練速度的瓶頸。為了加快訓練的速度,方便後期利用與復現,需要將所有用到的資料打包成為TFRecord檔案,一種TensorFlow原生支援的資

使用者認證基於jwt和session的區別和優缺點

背景知識: Authentication和Authorization的區別: Authentication:使用者認證,指的是驗證使用者的身份,例如你希望以小A的身份登入,那麼應用程式需要通過使用者名稱和密碼確認你真的是小A。 Authorization:授權,指的是確認你的身份之後提供給你許可權,例如

用戶認證基於jwt和session的區別和優缺點

coo 加密解密 rest 服務器驗證 連接 都差不多 Nid 請求 ket 背景知識: Authentication和Authorization的區別: Authentication:用戶認證,指的是驗證用戶的身份,例如你希望以小A的身份登錄,那麽應用程序需要通過用戶名和

基於java的收藏排行功能之Dao層對資料庫的操作&資料表設計

接上一篇 11:dao介面 package cn.itcast.travel.dao; import cn.itcast.travel.domain.Route; import java.util.List; public interface RouteDao { public

opencv學習筆記十二基於Haar或LBP級聯分類器的實時人臉人眼檢測

#include<opencv2\opencv.hpp> using namespace cv; using namespace std; int main(int arc, char** argv) { namedWindow("output",