时间轴:
演示案例:
SpringBoot-身份鉴权-JWT 技术
SpringBoot-打包部署-JAR&WAR
SpringBoot-身份鉴权-JWT 技术
SpringBoot- 身份鉴权 -JWT 技术JWT(JSON Web Token) 是由服务端用加密算法对信息签名来保证其完整性和不可伪造;Token 里可以包含所有必要信息,这样服务端就无需保存任何关于用户或会话的信息;JWT 用于身份认证、会话维持等。由三部分组成, header 、 payload 与 signature 。参考: https://cloud.tencent.com/developer/article/2101634
jwt,cookie,session的详解:
Cookie、Session、JWT的详解_cookie session jwt-CSDN博客
Header、Payload 和 Signature 是 JSON Web Token(JWT)的三个主要组成部分。
Header(头部): JWT 的头部通常包含两部分信息:声明类型(typ)和使用的签名算法(alg)。这些信息以 JSON 格式存在,然后进行 Base64 编码,形成 JWT 的第一个部分。头部用于描述关于该 JWT 的元数据信息。
{"alg": "HS256","typ": "JWT" }Payload(负载): JWT 的负载包含有关 JWT 主题(subject)及其它声明的信息。与头部一样,负载也是以 JSON 格式存在,然后进行 Base64 编码,形成 JWT 的第二个部分。
{"sub": "1234567890","name": "John Doe","iat": 1516239022 }Signature(签名): JWT 的签名是由头部、负载以及一个密钥生成的,用于验证 JWT 的真实性和完整性。签名是由指定的签名算法对经过 Base64 编码的头部和负载组合而成的字符串进行签名生成的。
例如,使用 HMAC SHaA-256 算法生成签名:
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret )最终,JWT 是由这三个部分组成的字符串,形如
**header.payload.signature**。JWT 通常用于在网络上安全地传输信息,例如在身份验证过程中传递令牌。
案例1:
1.创建TestJwt:
2.勾选web组件:
3.放入依赖项:
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
4.创建文件JwtController:
4.1创建 JWTJWT.create()4.2配置 JWTJWT.create()//header.withHeader(map)//payload.withClaim("userid",id).withClaim("username",user).withClaim("password",pass)//signature.sign(Algorithm.HMAC256("xiaodisec"));
package cn.xiaodou.testjwt.demos.web;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;@Controller
public class JwtController {//模拟用户的jwt身份创建 数据的jwt加密@PostMapping("/jwtcreate")@ResponseBodypublic static void main(String[] args) {String jwttoken = JWT.create()//设置创建的header部分//.withHeader()//设置创建的payload部分.withClaim("userid", 1).withClaim("username", "admin").withClaim("password", "123456")//设置时效(JWT过期时间)//.withExpiresAt()//创建设置的signature部分 算法和密匙.sign(Algorithm.HMAC256("xiaodisec"));System.out.println(jwttoken);}
}
测试过程:
若有报错:
java jdk版本过低或者jwt的版本过高导致了不匹配
可以jdk提高到11来进行处理,或者将jwt版本降下来。
jwt分析:
可以进行jwt解密:
JSON Web Tokens - jwt.io
虽然能解密出来。但是你不知道他加密的密钥。从而也无法登录。
5.对jwt进行服务器验证:
4 、解析 JWT// 构建解密注册JWTVerifier jwt =JWT.require(Algorithm.HMAC256("xiaodisec")).build();// 解密注册数据DecodedJWT verify = jwt.verify(jwtdata);// 提取解密数据Integer userid = verify.getClaim("userid").asInt();
package cn.xiaodou.testjwt.demos.web;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.stereotype.Controller;@Controller
public class JwtController {//模拟用户的jwt身份创建 数据的jwt加密public static void main(String[] args) {String jwttoken = JWT.create()//设置创建的header部分//.withHeader()//设置创建的payload部分.withClaim("userid", 1).withClaim("username", "admin").withClaim("password","123456")//设置时效(JWT过期时间)//.withExpiresAt()//创建设置的signature部分 算法和密匙.sign(Algorithm.HMAC256("xiaodisec"));System.out.println(jwttoken);jwtcheck(jwttoken);}//模拟JWT身份的检测 jwt数据解密public static void jwtcheck(String jwtdata) {//String jwtdata="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsInVzZXJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.q__DmCYaffqXmQweBgITek-NmhsSAhgwExNA3lQspQk";//构建解密注册JWTVerifier jwt = JWT.require(Algorithm.HMAC256("xiaodisec")).build();//解密注册数据DecodedJWT verify = jwt.verify(jwtdata);//提取注册解密数据 payload部分Integer userid = verify.getClaim("userid").asInt();String username = verify.getClaim("username").asString();String password = verify.getClaim("password").asString();System.out.println(userid + username + password);}
}
// if(username.equals("admin")){
// return "admin";
// }else {
// return "gay?";
// }//提取header部分//verify.getHeader();//提取sign签名部分//verify.getSignature();运行结果:
6、配置前端提交数据访问客户端页面
在resources→static→index.html创建如下的前端页面
<html>
<body>
<h1>hello word!!!</h1>
<p>this is a html page</p>
</body><form action="../jwtcreate" method="post">id:<input type="text" name="id"><br>user:<input type="text" name="user"><br>pass:<input type="text" name="pass"><br><input type="submit" value="create">
</form><form action="../jwtcheck" method="post">jwtdata:<input type="text" name="jwtdata"><br><input type="submit" value="check">
</form></html>后端改成web界面:
package cn.xiaodou.testjwt.demos.web;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.sun.org.apache.xpath.internal.objects.XString;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;@Controller
public class JwtController {@PostMapping("/jwtcreate")@ResponseBody//模拟用户的jwt身份创建 数据的jwt加密public static String main(Integer id,String user,String pass) {String jwttoken = JWT.create()//设置创建的header部分//.withHeader()//设置创建的payload部分.withClaim("userid", id).withClaim("username", user).withClaim("password",pass)//设置时效(JWT过期时间)//.withExpiresAt()//创建设置的signature部分 算法和密匙.sign(Algorithm.HMAC256("xiaodisec"));System.out.println(jwttoken);return jwttoken;}@PostMapping("/jwtcheck")@ResponseBody//模拟JWT身份的检测 jwt数据解密public static String jwtcheck(String jwtdata) {//String jwtdata="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsInVzZXJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.q__DmCYaffqXmQweBgITek-NmhsSAhgwExNA3lQspQk";//构建解密注册JWTVerifier jwt = JWT.require(Algorithm.HMAC256("xiaodisec")).build();//解密注册数据DecodedJWT verify = jwt.verify(jwtdata);//提取注册解密数据 payload部分Integer userid = verify.getClaim("userid").asInt();String username = verify.getClaim("username").asString();String password = verify.getClaim("password").asString();System.out.println(userid + username + password);if(username.equals("admin")){return "admin";}else {return "gay?";}}
}
// if(username.equals("admin")){
// return "admin";
// }else {
// return "gay?";
// }//提取header部分//verify.getHeader();//提取sign签名部分//verify.getSignature();访问页面进行测试:(输入admin,若解码与admin相同返回正常值,证明登录成功)
7、安全问题
参考: https://cloud.tencent.com/developer/article/2101634
1.如果使用jwt.io直接修改后访问会成功吗?
将admin改为xiaodi
将修改后得到的值放入刚才的页面进行解密:
会发现进行了报错处理。
若在此处加上signature,那就会成功:
总结:
SpringBoot-打包部署-JAR&WAR
参考: https://mp.weixin.qq.com/s/HyqVt7EMFcuKXfiejtfleg
SpringBoot 项目打包在 linux 服务器中运行 :
① jar 类型项目
jar类型项目使用 SpringBoot打包插件打包时,会在打成的 jar中内置tomcat的jar。
所以使用 jdk直接运行jar即可,jar项目中功能将代码放到其内置的tomcat中运行。
所以使用 jdk直接运行jar即可,jar项目中功能将代码放到其内置的tomcat中运行。
如何进行项目打包呢?
第一种打包方式jar:
1.先点击maven旁白的clean(将运行产生的一些配置进行清空)
2.点击maven旁白的package进行打包。
或使用指令:
maven-clean-package
生成的文件会在此处:
报错解决:用idea生成jar包时没有original文件-CSDN博客
java -jar XXX.jar 没有主清单属性以及找不到或无法加载主类的问题-CSDN博客
运行时使用
java -jar TestJwt-0.0.1-SNAPSHOT.jar若运行的时候进行报错:
通常报错是没有mainclass,或者下面的<skip>跳过了上面的mainclass
改成<skip>false</skip>或者直接删除掉。
正常情况下为:
java -jar TestJwt-0.0.1-SNAPSHOT.jar(重复以上的操作)
第二种打包方式war:
在打包时需要将内置的tomcat插件排除,配置servlet的依赖和修改pom.xml,
然后将war文件放到tomcat安装目录webapps下,启动运行tomcat自动解析即可。
1.修改pom.xml:
**<packaging>war</packaging>**
2.启动类里面加入配置:
package cn.xiaodou.testjwt;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.builder.SpringApplicationBuilder;
import org.springframework.boot.web.servlet.support.SpringBootServletInitializer;@SpringBootApplication
public class TestJwtApplication extends SpringBootServletInitializer {public static void main(String[] args) {SpringApplication.run(TestJwtApplication.class, args);}@Overrideprotected SpringApplicationBuilder configure(SpringApplicationBuilder builder) {return builder.sources(TestJwtApplication.class);}
}
3.使用clean,package进行打包。
遇到报错:
<fail0nMissingWebXml>false</fail0nMissingWebXml>
4、war放置tomcat的后E:\tomcat\apache-tomcat-9.0.74-windows-x64\apache-tomcat-9.0.74\webapps
双击使用tomcat中的bin/start up.bat启动
会发现在webapps中多了一个TestJwt-0.0.1-SNAPSHOT页面:
点击查看其路由路径进行访问:
尝试访问:
源码泄露问题:
访问jar文件,会发现全部都被加密了和原来我们看到的不一样。
从而推出了反编译技术将class转换为java。
访问文件发现不能像以前一样下载源文件。
如何进行反编译呢?
将文件解压后,将路径地址放入
成功反编译出来:
上面显示的是反编译.class文件,字节码版本 52.0(Java8)。
但注释那些。
本文章有李豆豆喵和番薯小羊卷~共同完成。
