1. JWT的结构
jwt由三段组成,通过 . 来连接,表现为:xxx.yyy.zzz
xxx:表示标头
yyy:表示有效载荷
zzz:签名
标头Header:
{
"alg":"HS256", # 加密算法
"typ":"JWT" # 类型
}
有效载荷Payload:
用来存储一些常用数据,例如用户id等等信息。例如:
{
"userId":"1", # 用户id
"userName":"" # 用户名称
......
}
签名:使用Header和Payload进行Base64编码,两个编码加起来,再加上一个随机盐。随机盐对外不可见,三个加起来后,进行HS256加密,形成签名串。
2. Java中使用JWT
添加对应的jar包
<!--jwt-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
新建一个测试类测试
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.junit.Test;
import java.util.Calendar;
/**
* @Author alen
* @DATE 2022/4/27 21:57
*/
public class JwtTest {
private static final String sign = "ksjncankjanckjd";
//令牌的获取
@Test
public void create() {
//配置jwt有效时间
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 60);
String token = JWT.create()
.withClaim("userId", 1)
.withClaim("userName", "张三")
.withClaim("age", 20)
.withExpiresAt(instance.getTime())
.sign(Algorithm.HMAC256(sign));
System.out.println(token);
}
//验证并获取token的信息
@Test
public void verifier() {
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(sign)).build();
String sign = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6IuW8oOS4iSIsImV4cCI6MTY1MTA2ODg0MSwidXNlcklkIjoxLCJhZ2UiOjIwfQ.7Z3b5HJi9JolL_vSvgSOvySV-ivxLiBAdYL-3eK8mUs";
DecodedJWT verify = jwtVerifier.verify(sign);
System.out.println(verify.getClaim("userId").asInt());
System.out.println(verify.getClaim("userName").asString());
System.out.println(verify.getClaim("age").asInt());
}
}
3. 项目中使用JWT
创建工具类JwtUtil
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Calendar;
import java.util.Map;
/**
* @Author alen
* @DATE 2022/4/27 22:19
*/
public class JwtUtil {
//随机盐
private static final String SIGN = "sdlnjcslkdlkvm";
//jwt过期时间
private static final int VALIDITY = 7;
/**
* 获取token
*
* @param map 需要在token中携带的信息
* @return
*/
public static String getToken(Map<String, String> map) {
//配置jwt有效时间
Calendar instance = Calendar.getInstance();
instance.add(Calendar.DATE, VALIDITY);
//创建jwt的Builder
JWTCreator.Builder builder = JWT.create();
//payload
map.forEach(builder::withClaim);
//设置过期时间与签名
String token = builder.withExpiresAt(instance.getTime()).sign(Algorithm.HMAC256(SIGN));
System.out.println(token);
return token;
}
/**
* 验证token并返回token信息
*
* @param token token
* @return 解析后的信息
*/
public static DecodedJWT verify(String token) {
return JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
}
}
使用的话,一般是登录接口校验成功返回token,其他接口请求携带token校验通过后进入业务逻辑,并且在逻辑中可以直接通过封装的工具类,可以获取到jwt中携带的信息值参与业务