JWT的入门学习和JWTUtils封装

最新推荐文章于 2024-05-29 16:13:40 发布
最新推荐文章于 2024-05-29 16:13:40 发布
阅读量5.5k 收藏 8
点赞数 6
分类专栏: 后端学习 前后端交互 文章标签: jwt java spring 后端 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MarkZQP/article/details/108101887
版权

JWT长的什么样

JWT是由三段信息构成的,将这三段信息文本用点.链接一起就构成了Jwt字符串。就像这样:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTg0MjU5MzIsInVzZXJJZCI6MTExLCJ1c2VybmFtZSI6Ik1hcmtaUVAifQ.PTlOdRG7ROVJqPrA0q2ac7rKFzNNFR3lTMyP_8fIw9Q

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

payload

载荷就是存放有效信息的地方。有效载荷包含三个部分

  • 标准注册声明
    iss:jwt的签发者/发行人;
    sub:主题;
    aud:接收方;
    exp:jwt过期时间;
    nbf:jwt生效时间;
    iat:签发时间
    jti:jwt唯一身份标识,可以避免重放攻击
  • 公共声明:
    可以在公共声明添加任何信息,我们一般会在里面添加用户信息和业务信息,但是不建议添加敏感信息,因为公共声明部分可以在客户端解密。
  • 私有声明:
    私有声明是服务器和客户端共同定义的声明,同样这里不建议添加敏感信息。
    如;我们一般在有效载荷里面放置;
{
		"userId": 88782,
		"username": "Mark",
		"role": "admin"
}

signature

jwt的第三个部分是一个签证信息,这个签证信息由三部分组成

  • header (base64后的)
  • payload (base64后的)
  • secret

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

用代码来生成一串token

新建一个Springboot项目

导入依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.2.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.jwttest</groupId>
    <artifactId>jwt</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>jwt</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!--引入JWT得依赖-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

直接在测试类上写token的生成与解析

package com.jwttest;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

import java.util.Calendar;
import java.util.HashMap;
import java.util.Map;

@SpringBootTest
class JwtApplicationTests {

    @Test
    void tokenProduces() {
        Map<String, Object> map = new HashMap<>();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);
        String token = JWT.create().withHeader(map)    //生成token的header这一部分为令牌类型和所使用得签名算法,这个是默认的,可以不写
                .withClaim("userId", 111) //生成token的payload部分,通常是放一些用户信息进去,如id,名字,权限等,千万不要放密码
                .withClaim("username", "MarkZQP")
                .withExpiresAt(instance.getTime())   //设token的过期时间
                .sign(Algorithm.HMAC256("ksjfkjsakfjkajk"));  //签名的算法及密钥,这里面的一串字符串是不能泄露的

        System.out.println(token); //将token打印出来可以看出它是三段式的

    }

    @Test
    void tokenVerify(){

        //在验证过程中会报各种异常:1. 算法不一致 ---这个是最开始验证的
        //                         2. 签名不一致
        //                         3. token过期
        //                         4. 失效的payload

        //创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("ksjfkjsakfjkajk")).build();
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTg0MjU5MzIsInVzZXJJZCI6MTExLCJ1c2VybmFtZSI6Ik1hcmtaUVAifQ.PTlOdRG7ROVJqPrA0q2ac7rKFzNNFR3lTMyP_8fIw9Q");

        //解出token里面传入的对象信息
        System.out.println(verify.getClaim("userId").asInt());//因为传入的是int所以需要改成asInt()
        System.out.println(verify.getClaim("username").asString());
        System.out.println("过期时间"+verify.getExpiresAt()); //打印过期时间

    }

}

** 代码中写了两个方法,一个是Token的生成,一个是Token的解析验证,在实际验证中,我们当然不是这样写,我们一般写成Utils工具类,这样更加方便使用**

JWTUtils工具类封装

封装工具类,将上面的代码,类似的封装进去,与上面不同的时,payload部分,我们将用户信息等通过参数来传递

package com.jwttest.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import jdk.internal.dynalink.beans.StaticClass;

import java.util.Calendar;
import java.util.Map;
import java.util.Stack;

public class JWTUtils {
    private static final String SING = "ldjfklajsfjas";

    /**
     * 生成Token  header.payload.sign
     */
    public static String getToken(Map<String, String> map) {
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE, 7); //默认7天过期
        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();

        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });


        String token = builder.withExpiresAt(instance.getTime())
                                .sign(Algorithm.HMAC256(SING));
        return token;
    }

    /**
     *  验证token的合法性
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(SING)).build().verify(token);  //这一行代码就可以起到验证的作用,因为在验证不匹配时它自动会抛出异常
    }

    /**
     * 获取token的信息方法
     */
    public static DecodedJWT getTokenInfo(String token){
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
        return verify;
    }
}

在封装完JWT工具类后,在后面就直接可以与Springboot进行集成了。

MarkZQP
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP自封装jwt工具包
05-14
用于网站生成token,解密token, token功能:1、对传输数据进行加密解密。2、token验证时效性
SpringBoot集成JWT快速入门Demo
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
JwtUtils的工具类
热门推荐
终是庄周
06-04 1万+
stockuser.utils.jwt; JwtUtils的工具类 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import springfox.documentation.builders.BuilderDefaults; import javax.xm
JWTUtils
m0_59164927的博客
06-09 1707
jwt工具类
后端代码解析工具类(until)JwtUtils
最新发布
2201_75464794的博客
05-29 742
个人理解这个JwtUtils类实现了一系列与JWT(JSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
JwtUtil工具类
qq_42511550的博客
08-22 3626
import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.stereotype.Component; import jav
JWTUtils工具类
m0_56231256的博客
11-26 1497
JWTUtils工具类
JWTUtils.java工具类
qq_2662385590的博客
12-25 3457
JWT介绍 相关资料网络上非常多,可以自行搜索,简单点说JWT就是一种网络身份认证和信息交换格式。 结构 Header 头部信息,主要声明了JWT的签名算法等信息 Payload 载荷信息,主要承载了各种声明并传递明文数据 Signature 签名,拥有该部分的JWT被称为JWS,也就是签了名的JWS,用于校验数据 整体结构是: header.payload.signature 代码如下: public class JwtUtils { /** * 私钥加密token *
JWT工具类及用法
weixin_43920527的博客
04-24 1万+
jwt工具类及用法
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
springboot整合Shiro与Jwt封装统一返回值
11-15
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT学习资料.zip
11-18
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过深入学习和实践,你可以掌握使用JWTSpring Boot构建安全、可扩展的微服务系统的技能。
31.整合JWT
gunsmoke的专栏
04-19 342
pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.gunsmoke.comm...
JwtUtil是一个用于生成和解析JWT(JSON Web Token)的工具类
weixin_51493673的博客
09-22 651
【代码】JwtUtil是一个用于生成和解析JWT(JSON Web Token)的工具类。
JwtUtil
Leon_Jinhai_Sun的博客
06-05 424
JwtUtil
maven使用JWTUtils工具类
努力进阶的菜鸟的博客
10-21 2520
导入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 创建utils包 package com.yao.jwtdemo.utils; import com.auth0.jwt.JWT; import com.aut
JwtUtiles 生成token工具类
hwt1070359898的博客
11-15 800
package com.sense.fircloud.common.util; import com.sense.fircloud.common.exception.BusinessException; import com.sense.fircloud.common.result.RespCode; import io.jsonwebtoken.*; import org.springframework.util.StringUtils; import javax.crypto.spec.Secre.
获取访问用户本机地址
Zou_de_b的博客
12-02 209
public static String getIpAddr(HttpServletRequest request) { String ipAddress = null; try { ipAddress = request.getHeader("x-forwarded-for"); if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress).
JwtUtils.parseJWT(jwt)报错
07-11
`JwtUtils.parseJWT(jwt)`报错可能有多种原因,以下是一些常见的问题和解决方法: 1. 缺少依赖:首先确保你的项目中已经添加了正确的JWT库的依赖。如果你使用的是`jjwt`库,确保在项目的构建文件(例如Maven的pom.xml)中添加了正确的依赖。如果你使用的是其他JWT库,确保添加了相应的依赖。 2. JWT格式错误:检查一下`jwt`参数是否包含有效的JWT字符串。JWT由三部分组成,以点号分隔:header、payload和signature。确保传入的`jwt`参数是一个有效的JWT字符串。 3. 密钥问题:JWT的验证通常需要使用一个密钥进行签名验证。确保你提供了正确的密钥用于验证JWT的签名。如果你使用的是对称加密算法,密钥需要与生成JWT时使用的密钥相匹配。如果你使用的是非对称加密算法,需要提供公钥用于验证签名。 4. 解析逻辑错误:检查一下`JwtUtils.parseJWT()`方法的实现逻辑是否正确。确认传入的JWT字符串是否被正确解析,并按照预期的方式进行验证和解析。 如果以上方法都没有解决问题,建议提供更详细的错误信息和代码示例,以便更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值