2. 程式人生 > >使用JWT 進行基於 Token 的身份驗證方法

使用JWT 進行基於 Token 的身份驗證方法

阿新 發佈:2019-05-08
quest 傳播 token system 過期 with 需要 驗證用戶名 ren

一般weby應用服務都使用有狀態的session來存儲用戶狀態以便認證有權限的用戶進行的操作。但服務器在做橫向擴展時,這種有狀態的session解決方案就受到了限制。所以在一些通常的大型web應用場景越來越多在采用沒有狀態的token來進行用戶簽權處理。

需要把Web應用做成無狀態的,即服務器端無狀態,就是說服務器端不會存儲像會話這種東西,而是每次請求時access_token進行資源訪問。這裏我們將使用 JWT 1,基於散列的消息認證碼,使用一個密鑰和一個消息作為輸入,生成它們的消息摘要。該密鑰只有服務端知道。訪問時使用該消息摘要進行傳播,服務端然後對該消息摘要進行驗證。

認證步驟
1.客戶端第一次使用用戶名密碼訪問認證服務器,服務器驗證用戶名和密碼,認證成功,使用用戶密鑰生成JWT並返回

2.之後每次請求客戶端帶上JWT
3.服務器對JWT進行驗證

首先使用JWTUtil類 來完成生成token和驗證token的工作

public class JwtUtil {
    private static String SECRET = "com.mozi.shop.secret";
    private static String ISSUER = "MoziShop";

    /**
     * 生成token
     *
     * @param claims
     * @return
     */
    public static String createToken(Map<String, String> claims) throws Exception {

        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTCreator.Builder builder = JWT.create()
                    .withIssuer(ISSUER)
                    //設置過期時間為2小時
                    .withExpiresAt(DateUtils.addHours(new Date(), 2));
            claims.forEach(builder::withClaim);
            return builder.sign(algorithm);
        } catch (Exception e) {
            throw new Exception("生成token失敗");
        }
    }

    /**
     * 驗證jwt,並返回數據
     */
    public static Map<String, String> verifyToken(String token) throws Exception {
        Algorithm algorithm;
        Map<String, Claim> map;
        try {

            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
               JWTVerifier verifier = JWT.require(algorithm).build();
               DecodedJWT jwt = verifier.verify(token);
               return true;*/
            ///
            algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
            //JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            map = jwt.getClaims();
        } catch (Exception e) {
            throw new Exception("鑒權失敗");
        }
        Map<String, String> resultMap = new HashMap<>(map.size());
        map.forEach((k, v) -> resultMap.put(k, v.asString()));
        return resultMap;
       }
    }
 

在用戶進行正常登錄操作時返回客戶端一個和失效時間的token
/**
 * 登錄頁面
 */
public void index(){
    String username = getPara("username");
    String password = getPara("password");
   // System.out.println("LOGIN USERNAME:"+username);
    if(StringUtils.isNotBlank(username) && StringUtils.isNotBlank(password)){
        Member member = new Member().dao().findByUsername(username);
        if(member == null){
            //setAttr("feedback", Feedback.error("用戶不存在"));
            setAttr("feedback", "用戶不存在");
            //System.out.println("LOGIN USERNAME 用戶不存在:"+username);
            render("/templates/"+getTheme()+"/"+getDevice()+"/login.html");
            return;
        }else if(!DigestUtils.md5Hex(password).equals(member.getPassword())){
            //setAttr("feedback", Feedback.error("用戶名密碼錯誤"));
            setAttr("feedback", "用戶名密碼錯誤");
            render("/templates/"+getTheme()+"/"+getDevice()+"/login.html");
            return;
        }else{
            /////jwt start///////////////////////////////////////////

            Map<String, String> map = new HashMap<>();
            map.put("id", (member.getId()).toString());
            map.put("name", member.getUsername());
            map.put("openid", member.getWeixinOpenId());
            String token = null;
            try {
                token = JwtUtil.createToken(map);
            }catch (Exception e) {

            }

            this.getResponse().setHeader("token", token);

            /////jwt end////////////////////////////////////////////
            redirect("/");
            return;
        }
    }else{
        System.out.println("nousername and pwd!!!!!!!!!!!!!!!");
        render("/templates/"+getTheme()+"/"+getDevice()+"/login.html");
    }
}
 
然後在需要授權的訪問中鑒定用戶攜帶的token,驗證有效就進行操作

        String token =  getRequest().getHeader("token");
        try {
            Map<String, String> res = JwtUtil.verifyToken(token);
            System.out.println(JSON.toJSONString(res));
        }catch (Exception e) {
            System.out.println(e);
        }

使用JWT 進行基於 Token 的身份驗證方法

相關推薦

使用JWT 進行基於 Token身份驗證方法

quest 傳播 token system 過期 with 需要 驗證用戶名 ren 一般weby應用服務都使用有狀態的session來存儲用戶狀態以便認證有權限的用戶進行的操作。但服務器在做橫向擴展時,這種有狀態的session解決方案就受到了限制。所以在一些通常的大型w

Session、Token身份驗證方法

  Session :我發給你一張身份證,但只是一張寫著身份證號碼的紙片。你每次來辦事,我去後臺查一下你的 id 是不是有效。  Token:我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。    token和se

登入--基於 Token身份驗證方法(流程)

客戶端使用使用者名稱跟密碼請求登入 服務端收到請求,去驗證使用者名稱與密碼 驗證成功後,服務端會簽發一個 Token,再把這個 Token 傳送給客戶端 客戶端收到 Token 以後可以把它儲存起來,比如放在 Cookie 裡或者 Local Storage 裡 客戶端每次向服務端請求資源的時候需要帶

Spring Security + JWT 實現基於Token的安全驗證

@Configuration @EnableWebSecurity //新增annotation 支援,包括(prePostEnabled,securedEnabled...) @EnableGlobalMethodSecurity(prePostEnabled = true) public class W

JWT: 基於Token驗證

現在SPA(Single Page Application, 單頁面應用)和前後端分離已經是主流. 基於Token的驗證非常適合這種構架. Difference between Token-based Auth and Cookie-based Auth 基於Cook

基於Token驗證

sig time timestamp mes coo 服務端 md5加密 時間 保存 什麽是token? token相當於是一個令牌,在用戶登錄的時候由服務器端生成(基於用戶名、時間戳、過期時間、發行者等信息進行簽名),然後發放給客戶端,客戶端將令牌保存,在以後需要登錄驗證

RFC7619 -- IKEv2中的NULL身份驗證方法

可能 身份驗證協議 pan color 如果 認證 驗證 協議 暫停 摘要   本文為IKEv2指定NULL身份驗證方法和ID_NULL標識有效負載ID類型。這允許兩個IKE對等體建立單側認證或相互不認證的IKE會話。 適用於那些對等方不願意或無法進行自身身份驗證或識別的情

黑客通過使用蠟制手模型繞過基於靜脈身份驗證

在德國的Chaos Communication Congress黑客會議上,安全研究人員通過蠟制手模型成功地欺騙了靜脈認證系統。但是,這種“攻破”並不容易。靜脈認證的原理是,根據在人手指中流動的血液,可以吸收特定波長的光,並且用特定波長的光照射手指以獲得手指靜脈的清晰影象。 使用該固有科學特徵,將分析和

C++ token JWT HS256 生成token驗證token

使用到的類庫 jsoncpp:用於json資料操作 boost:智慧指標和正則表達,如果是C++11以上版本可以替換成C++11的智慧指標和正則表示式 CryptoPP:大名鼎鼎的免費的C++加解密類庫,Crypto++幾乎涵蓋了所有的加解密演算法 以上

Spring Boot 使用 Jwt + Swagger2 搭建帶身份驗證的介面服務

首先需要搭建好一個Spring Boot + Swagger2的專案 因為之前有寫過 Swagger2 點我 所以這裡就不再重複一遍了。該文章將會在之前專案的基礎上繼續新增整合Jwt。 首先放下搭建完畢的專案目錄結構 pom.xml 在之前的基礎上新

.netcore 自定義多種身份驗證方法混用

背景: 公司專案有很多租戶,每個租戶的系統都可能呼叫我們的租戶服務,原來的解決方案是為每個租戶提供一個service。隨著租戶的增多,service也多了起來,但是每個service裡的邏輯都是一樣的:驗證身份,獲取body,呼叫下游服務。 重構: 現在對外統一提供一個TenantService,裡面只有一個

基於Token身份驗證——JWT

sig project 唯一標識 rocket 推薦 接收 含義 一個 esp 原文:基於Token的身份驗證——JWT初次了解JWT,很基礎,高手勿噴。 基於Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。 JWT是啥?

基於 Token身份驗證

問題 for tar dci 返回 name 主題 算法 sha2 最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起傳統的身份驗證方法,Token 擴展性更強,也更安

token進行身份驗證

ssi 驗證 dci 返回 裏的 擴展性 訪問 數據返回 定期 相比於傳統的身份驗證方法,token驗證更具有可擴展性,安全性更強。非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”,我覺得挺好,意思就是,你拿著這個令牌,才能過一些關卡。 一、

JavaWeb—基於Token身份驗證 基於Token的WEB後臺認證機制

傳統身份驗證的方法 HTTP Basic Auth HTTP Basic Auth簡單點說明就是每次請求API時都提供使用者的username和password,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認證方式,只需提供使用者名稱密碼即可,但由於有把使用者名稱密碼暴露給第三

基於 Token身份驗證:JSON Web Token

最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等, 比起傳統的身份驗證方法,Token 擴充套件性更強

瞭解基於Token身份驗證的來龍去脈

簡介 在Web領域基於Token的身份驗證隨處可見。在大多數使用Web API的網際網路公司中,tokens 是多使用者下處理認證的最佳方式。 以下幾點特性會讓你在程式中使用基於Token的身份驗證 1.無狀態、可擴充套件  2.支援移動裝置  3.跨程式呼叫

使用JWT Token進行RestFul API許可權驗證

問題 後端提供的RestFul API一般都需要進行許可權驗證,而Web框架一般採用Cookies+Session來進行認證。但RestFul API屬於無狀態協議,而在後臺使用Session的話,由於Session本身需要服務端進行維持,這樣就破壞了Rest

基於Token實現身份驗證和許可權管理

一、什麼是token HTTP是一種無狀態的協議,也就是HTTP沒法儲存客戶端的資訊,沒辦法區分每次請求的不同。 Token是伺服器生成的一串字元,作為客戶端請求的令牌。當第一次登陸後,伺服器會分發Tonken字串給客戶端。後續的請求,客戶端只需帶上這個Token,伺服器即可知

基於Token身份認證方法

1.基於 Token 的身份驗證方法  使用基於 Token 的身份驗證方法,在服務端不需要儲存使用者的登入記錄。大概的流程是這樣的: 客戶端使用使用者名稱跟密碼請求登入 服務端收到請求,去驗證使用者名稱與密碼 驗證成功後,服務端會簽發一個 Token,再把這個 To