jjwt源码解析

最新推荐文章于 2023-08-23 22:26:27 发布
最新推荐文章于 2023-08-23 22:26:27 发布
阅读量534 收藏 2
点赞数 1
分类专栏: 学习 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V_zxw/article/details/108358442
版权

jjwt源码解析

author:zxw

email:502513206@qq.com

@ Jishou University

1.前言

最近在做一个jwt授权服务,其实也就是给请求的用户生成一个token,不过关于token的验证并不在我服务负责,而是由网关去统一处理。jwt之前也用过几次,不过不是很熟悉只知道是通过base64Url算法进行加密,这次刚好用到了所以来看看jjwt的实现。

2.源码解析

在java中导入jjwt的包就可以使用包中提供的Builder生成jwt的token,以下是基础的用法。

JwtBuilder builder = Jwts.builder()
                    .setHeader(header)	  // 头部信息
                    .setId(uuid)          //id:是JWT的唯一标识
                    .setSubject(subject)  //Subject:可以存放用户信息
                    .setIssuer(appId)     //Issuer:签发者
                    .setIssuedAt(now)     //IssuedAt:jwt的签发时间
                    .signWith(signatureAlgorithm, secretKey);

通过名字可以看到,是使用的builder构造模式生成,默认给我们返回一个DefaultJwtBuilder对象

JwtBuilder

public static JwtBuilder builder() {
        return new DefaultJwtBuilder();
    }

DefaultJwtBuilder我们知道jwt是由header,payload,Signature三部分组成。

public class DefaultJwtBuilder implements JwtBuilder {

    private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();

    private Header header; // Header
    private Claims claims;
    private String payload; // 载体

    private SignatureAlgorithm algorithm; // 签名算法
    private Key                key;
    private byte[]             keyBytes;

    private CompressionCodec compressionCodec; // 压缩算法
}

Header头部由两部分信息组成,一个是类型,一个是加密的算法,具体类型如下。

{
  'typ': 'JWT',
  'alg': 'HS256'
}

Header在jjwt中有个Header接口表示头部,可以看到Header的固定key

public interface Header<T extends Header<T>> extends Map<String,Object> {

    /** JWT {@code Type} (typ) value: <code>"JWT"</code> */
    public static final String JWT_TYPE = "JWT";

    /** JWT {@code Type} header parameter name: <code>"typ"</code> */
    public static final String TYPE = "typ";

    /** JWT {@code Content Type} header parameter name: <code>"cty"</code> */
    public static final String CONTENT_TYPE = "cty";

    /** JWT {@code Compression Algorithm} header parameter name: <code>"zip"</code> */
    public static final String COMPRESSION_ALGORITHM = "zip";

    /** JJWT legacy/deprecated compression algorithm header parameter name: <code>"calg"</code>
     * @deprecated use {@link #COMPRESSION_ALGORITHM} instead. */
    @Deprecated
    public static final String DEPRECATED_COMPRESSION_ALGORITHM = "calg";
}

DefaultHeaderjjwt中默认会使用该类,当然我们也能自己实现Header接口或者继承该类实现自定义的Header,可以看到Header其实就是一个Map,我们也能往头部添加我们自定义的数据

public class DefaultHeader<T extends Header<T>> extends JwtMap implements Header<T> {
}

接下来就是第二部分载体了,在jjwt中我们可以传入json的payload载体也可以用claim封装我们的载体,二者只能选一个。

Claims可以看到cliams同样是个map,我们在使用setSubject等方法时,实际上就是往下面的key设置对应的Value

public interface Claims extends Map<String, Object>, ClaimsMutator<Claims> {
     /** JWT {@code Issuer} claims parameter name: <code>"iss"</code> */
    public static final String ISSUER = "iss";

    /** JWT {@code Subject} claims parameter name: <code>"sub"</code> */
    public static final String SUBJECT = "sub";

    /** JWT {@code Audience} claims parameter name: <code>"aud"</code> */
    public static final String AUDIENCE = "aud";

    /** JWT {@code Expiration} claims parameter name: <code>"exp"</code> */
    public static final String EXPIRATION = "exp";

    /** JWT {@code Not Before} claims parameter name: <code>"nbf"</code> */
    public static final String NOT_BEFORE = "nbf";

    /** JWT {@code Issued At} claims parameter name: <code>"iat"</code> */
    public static final String ISSUED_AT = "iat";

    /** JWT {@code JWT ID} claims parameter name: <code>"jti"</code> */
    public static final String ID = "jti";
}

最后一步就是Jwts.builder().signWith(signatureAlgorithm, secretKey);在该方法中指定我们的加密的算法就是头部{"alg":"HS256"}所对应的值

public JwtBuilder signWith(SignatureAlgorithm alg, Key key) {
        Assert.notNull(alg, "SignatureAlgorithm cannot be null.");
        Assert.notNull(key, "Key argument cannot be null.");
    // 加密算法,默认使用HS256
        this.algorithm = alg;
    // secret,我们与客户端规定的密钥
        this.key = key;
        return this;
    }

@Override
    public String compact() {
        // 判断载体是否为空
        if (payload == null && Collections.isEmpty(claims)) {
            throw new IllegalStateException("Either 'payload' or 'claims' must be specified.");
        }
		// 判断payload和claim是否都不为空
        if (payload != null && !Collections.isEmpty(claims)) {
            throw new IllegalStateException("Both 'payload' and 'claims' cannot both be specified. Choose either one.");
        }
		// key和keybytes是否都不为空
        if (key != null && keyBytes != null) {
            throw new IllegalStateException("A key object and key bytes cannot both be specified. Choose either one.");
        }
		// 如果为空,生成默认的Header
        Header header = ensureHeader();

        Key key = this.key;
        // 如果未指定密钥算法,则生成默认的算法
        if (key == null && !Objects.isEmpty(keyBytes)) {
            key = new SecretKeySpec(keyBytes, algorithm.getJcaName());
        }

        JwsHeader jwsHeader;

        if (header instanceof JwsHeader) {
            jwsHeader = (JwsHeader)header;
        } else {
            jwsHeader = new DefaultJwsHeader(header);
        }
		// 设置头部的alg对应的算法类型
        if (key != null) {
            jwsHeader.setAlgorithm(algorithm.getValue());
        } else {
            //no signature - plaintext JWT:
            jwsHeader.setAlgorithm(SignatureAlgorithm.NONE.getValue());
        }
		// 设置压缩算法
        if (compressionCodec != null) {
            jwsHeader.setCompressionAlgorithm(compressionCodec.getAlgorithmName());
        }
		// 头部进行base64Url加密
        String base64UrlEncodedHeader = base64UrlEncode(jwsHeader, "Unable to serialize header to json.");

        String base64UrlEncodedBody;
		// 对载体进行base64Url加密
        if (compressionCodec != null) {

            byte[] bytes;
            try {
                bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
            } catch (JsonProcessingException e) {
                throw new IllegalArgumentException("Unable to serialize claims object to json.");
            }

            base64UrlEncodedBody = TextCodec.BASE64URL.encode(compressionCodec.compress(bytes));

        } else {
            // 加密
            base64UrlEncodedBody = this.payload != null ?
                    TextCodec.BASE64URL.encode(this.payload) :
                    base64UrlEncode(claims, "Unable to serialize claims object to json.");
        }

        String jwt = base64UrlEncodedHeader + JwtParser.SEPARATOR_CHAR + base64UrlEncodedBody;
		// 对签名进行base64Url加密
        if (key != null) { //jwt must be signed:
			// 生成Signer,下发给客户端的密钥
            JwtSigner signer = createSigner(algorithm, key);
			// 对前两部分进行base64Url加密
            String base64UrlSignature = signer.sign(jwt);
			// 组合
            jwt += JwtParser.SEPARATOR_CHAR + base64UrlSignature;
        } else {
            // no signature (plaintext), but must terminate w/ a period, see
            // https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-25#section-6.1
            jwt += JwtParser.SEPARATOR_CHAR;
        }
		// 返回token
        return jwt;
    }

可以看到jwt的组成,对header进行base64Url加密 + payload的base64Url加密 + (header + payload + secret)三部分加密组成。

上班水博客
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JJWT.jar与依赖jackson-core.jar、jackson-databind.jar、jackson-annotations
11-21
Java开发使用Json web token 技术依赖的相关jar包,包含封装Json Web Token的JJWT以及需要依赖的相关工具类
jwt开发码--入门级参考
09-22
本资旨在提供给各大java程序员,作为jwt协议的开发,提供入门级指导代码
使用JJWT实现JWT代码示例
学亮编程手记
03-21 892
JWT的介绍与应用
CONSOLE11的博客
12-30 3557
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进
SpringBoot+JWT实战(附码)
CSDN_KONGlX的博客
07-04 327
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
JWTs json web tokens资料
04-23
JJWT是Java的一个开库,用于生成、解析和验证JWT。它提供了简单易用的API来处理JWT操作。在`jjwt-master`这个压缩包中,可能包含了JJWT项目的代码,这对于理解JWT的工作原理以及如何在Java应用中实现JWT验证和...
JWT web token
04-26
- Java 中的 `jjwt` 库,提供了 JWT 的实现。 - .NET 中的 `System.IdentityModel.Tokens.Jwt`,是.NET Framework 和 .NET Core 的内置组件。 ### 注意事项 - **安全性**:尽管 JWT 提供了安全性,但必须妥善管理...
java-jdk1.8兼容版
09-09
在Java中,我们可以使用JWT库,如jjwt,来创建和解析JWT。JJWT是一个开的Java库,完全符合JWT标准。在JDK 1.8环境中,我们可以这样创建一个JWT: ```java import io.jsonwebtoken.Jwts; import java.util.Date; ...
jjwt-0.9.1-API文档-中文版.zip
06-04
赠送jar包:jjwt-0.9.1.jar; 赠送原API文档:jjwt-0.9.1-javadoc.jar; 赠送代码:jjwt-0.9.1-sources.jar; 赠送Maven依赖信息文件:jjwt-0.9.1.pom; 包含翻译后的API文档:jjwt-0.9.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:io.jsonwebtoken:jjwt:0.9.1; 标签:jsonwebtoken、jjwt、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
jjwt-poc:JJWT上的POC
04-30
jjwt-poc JJWT上的POC 帮助我测试JJWT的小项目
jwt所需jar包
02-05
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
jjwt-0.9.1.jar
12-22
jjwt的jar包
jjwt的0.7.0版本的配套jar包
06-21
jjwt的0.7.0版本的配套jar包
jwtk/jjwt
不正经的大叔
03-11 2857
https://github.com/jwtk/jjwt
JJWT使用完全指南
oscar999的专栏
08-23 3109
JJWT,是一款适用于 Java 和 Android 的 JSON Web Token(JWT)库。 JJWT, 也称为Java JWT ,全称是 Java JSON Web Token。 JJWT完全基于 JWT、JWS、JWE、JWK 和 JWA RFC 规范以及 Apache 2.0 许可条款下的开。该库由 Okta 的高级架构师 Les Hazlewood 创建,由一个贡献者社区支持和维护。
JAVA开发(token中用到的签名生成方式代码赏析)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 1334
在使用的token的场景中有需要使用签名的生产token的场景,这主要是为了解决token唯一性和可靠性的问题。现在来看看怎么生成签名。
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 808
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
Jhipster之JWT认证解析
york_饭的博客
01-19 2037
1.token生成 在用户登录时,请求/api/authenticate,Controller中注入AuthenticationManager用于验证用户名和密码是否正确,验证通过使用tokenProvider创建token并返回给前端 @PostMapping("/authenticate") @Timed public ResponseEntity&lt;JWTToken&gt; a...
JJWT快速入门
oscar999的专栏
08-06 661
JJWT快速用使用示例
springboot JJWT
最新发布
09-10
您可以使用 JJWT 的 `Jwts` 类来创建和解析 JWT。 例如,要创建一个 JWT,您可以使用以下代码: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; String secretKey = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值