什么是jwt?
JWT是一种用于身份验证和信息传输的开放标准,它的全称是JSON Web Token。
JWT的格式是一个由三部分组成的字符串,分别是头部(header)、载荷(payload)和签名(signature)。头部和载荷都是JSON对象,经过Base64编码后拼接在一起,然后用一个点号(.)分隔。而签名是对头部和载荷进行加密后的结果,用于验证JWT的完整性和来源。
举例说明
-
头部(Header):
头部包含了关于 JWT 的元信息,比如使用的加密算法("alg")和令牌类型("typ")。在示例中,使用了 HS256 算法进行签名。
- 原本形式:
{"alg": "HS256", "typ": "JWT"}
- Base64 编码后的形式:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
- 原本形式:
-
载荷(Payload):
载荷包含了实际的信息,例如用户的身份、用户的角色等。在示例中,包含了用户的主题("sub")、姓名("name")和令牌的签发时间("iat")等信息。
- 原本形式:
{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}
- Base64 编码后的形式:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
- 原本形式:
把头部和载荷分别用Base64编码,然后用一个点号(.)连接在一起,形成一个字符串,例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
-
签名(Signature):
-
用一个密钥(对称加密)或者私钥(非对称加密)对这个字符串进行加密,生成一个新的字符串,例如:
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
-
最后,把这个新的字符串也用一个点号(.)连接到原来的字符串后面,形成最终的JWT,例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
为什么要使用jwt?
因为好用呀
- JWT是基于JSON的,可以在不同的平台和语言之间轻松地传递和解析。
- JWT是无状态的,不需要在服务端保存用户的会话信息,减少了服务端的负担和资源消耗。那什么是有状态的呢,就比如用session来存储用户的信息
- JWT的签名保证了令牌的完整性和真实性,防止了信息被篡改或伪造。同时,JWT也可以使用加密算法来保护敏感信息,确保令牌只能被可信的接收方解密。
- JWT可以在载荷中添加自定义的声明,携带更多的用户信息和相关权限,满足不同应用的需求。
如何使用jwt?
首先得把依赖导入进来
<!--jwt令牌-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
/**
* JWT工具类
*/
public class JwtUtil {
//有效期为
public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000 一个小时
//设置秘钥明文
public static final String JWT_KEY = "sangeng";
/**
* 唯一标识
* @return
*/
public static String getUUID(){
String token = UUID.randomUUID().toString().replaceAll("-", "");
return token;
}
/**
* 生成jtw
* @param subject token中要存放的数据(json格式)
* @return
*/
public static String createJWT(String subject) {
JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
return builder.compact();
}
/**
* 生成jtw
* @param subject token中要存放的数据(json格式)
* @param ttlMillis token超时时间
* @return
*/
public static String createJWT(String subject, Long ttlMillis) {
JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
return builder.compact();
}
/**
* 拿到jwt构建对象
* @param subject 主题 可以是JSON数据
* @param ttlMillis 过期时间
* @param uuid 唯一的ID
* @return
*/
private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
SecretKey secretKey = generalKey();
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
if(ttlMillis==null){
ttlMillis=JwtUtil.JWT_TTL;
}
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
return Jwts.builder()
.setId(uuid) //唯一的ID
.setSubject(subject) // 主题 可以是JSON数据
.setIssuer("sg") // 签发者
.setIssuedAt(now) // 签发时间
.signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
.setExpiration(expDate);
}
/**
* 生成加密后的秘钥 secretKey
* @return
*/
public static SecretKey generalKey() {
byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
return key;
}
/**
* 解析
*
* @param jwt
* @return
* @throws Exception
*/
public static Claims parseJWT(String jwt) throws Exception {
SecretKey secretKey = generalKey();
return Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();
}
}
现在就可以开始使用了,例如
public static void main(String[] args) throws Exception {
// 拿到jwt
String jwt = JwtUtil.createJWT("涵哥爱编程");
System.out.println("jwt: " + jwt);
/* 结果
jwt: eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI3Y2Y3MTU5NDdmMDE0ZjcwOTJhMjIyZGRmODBlNTVlNiIsInN1YiI6Iua2teWTpeeIsee8lueoiyIsImlzcyI6InNnIiwiaWF0IjoxNzAwNjUwNDk5LCJleHAiOjE3MDA2NTQwOTl9.DBmdzYr1WTnZKikRaHOuFrTTvlkeGMoIaznQkdk6VuM
*/
// 我们通过密钥来解析
Claims claims = JwtUtil.parseJWT(jwt);
// 拿到我们的数据
System.out.println(claims);// {jti=7cf715947f014f7092a222ddf80e55e6, sub=涵哥爱编程, iss=sg, iat=1700650499, exp=1700654099}
}
什么是对称加密?
- 假设你是一个客户端,你想要向服务器发送一封信,这封信就是JWT,它包含了你的身份和信息。你不想让别人看到你的信,所以你需要给你的信加上一个锁,这个锁就是密钥,它可以保护你的信不被篡改或者窃取。
- 如果你使用对称加密,那么你和服务器需要使用同一个锁,也就是同一个密钥。你用这个密钥给你的信加锁,然后把信寄给服务器。服务器收到你的信后,用同一个密钥给你的信解锁,然后读取你的信。这样,你和服务器就可以安全地通信了。
- 但是,这种方法有一个问题,那就是你和服务器如何共享这个密钥呢?如果你把密钥也寄给服务器,那么别人可能会截取你的密钥,然后用它来打开你的信。如果你用其他的方式来传递密钥,那么也可能会有风险,因为你不知道中间有没有人在监听你们的通信。所以,对称加密的安全性取决于密钥的保密性,如果密钥泄露,那么你的信就不安全了。
什么是非对称加密?
- 如果你使用非对称加密,那么你和服务器不需要使用同一个锁,而是使用一对锁,也就是一对密钥。这对密钥有一个特点,就是它们是互相匹配的,一个可以锁住,另一个可以解开,但是不能互换。我们把可以锁住的密钥叫做公钥,把可以解开的密钥叫做私钥。私钥是私有的,只有你自己知道,公钥是公开的,可以给任何人。
- 你用非对称加密给你的信加锁的方法是这样的:首先,你向服务器请求它的公钥,服务器会把它的公钥寄给你。你收到服务器的公钥后,用它给你的信加锁,然后把信寄给服务器。服务器收到你的信后,用它自己的私钥给你的信解锁,然后读取你的信。这样,你和服务器就可以安全地通信了。
- 这种方法的优点是,你不需要和服务器共享密钥,你只需要用服务器的公钥来加密你的信,服务器只需要用自己的私钥来解密你的信。即使别人截取了你的信,或者服务器的公钥,他们也无法打开你的信,因为他们没有服务器的私钥。所以,非对称加密的安全性取决于私钥的保密性,只要私钥不泄露,那么你的信就安全了
喜欢博主的求点一波关注!之后会分享更多的开发知识(详细教学),让我们一起进步!!