目录
JWT令牌简介
- 全称:Json Web Token
- 定义了一种简洁、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
- 组成:
- 第一部分:Header(头):记录了令牌的类型和签名算法
- 第二部分:Payload(有效载荷):携带自定义信息、默认信息
- 第三部分:Signature(签名):防止Token被篡改、确保安全性,将header、payload加入指定秘钥,通过指定签名算法计算而来。
- 典型应用场景:登录认证
- 登陆成功后,生成令牌
- 后续每个请求,都要携带jwt令牌,服务端处理请求时,先校验令牌,后通过,再处理请求。
JWT - 生成
1、引入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactid>jjwt</artifactid>
<version>0.9.1</version>
</dependency>
2、在测试类里测试 生成一个jwt令牌
@Test
public void testGenJwt(){
Map<String, Object> claims = new HashMap<>();
claims.put("id",1);
claims.put("name","tom");
String jwt = Jwts.builder()
.signWith(SignatureAlgorithm.HS256, "zhangsan")//签名算法 , 秘钥
.setClaims(claims) //自定义内容(载荷)
.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h
.compact();
System.out.println(jwt);
}
结果如下:
解析JWT令牌
输入以下测试:
//解析JWT令牌
@Test
public void testParseJwt(){
Claims claims = Jwts.parser()
.setSigningKey("zhangsan") //签名秘钥
.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTY4NzI3NTcxM30.PjjaIFp1Ltdpt7sY3C-V542eJc7jRCcul71LgyVXeUg") //jwt令牌
.getBody();
System.out.println(claims);
}
结果(姓名,ID,jwt过期时长)如下:
JWT令牌工具类
将生成和解析JWT令牌作为一个工具类,更方便我们开发
代码如下:
public class JwtUtils {
private static String signKey = "zhangsan";
private static Long expire = 43200000L;
/**
* 生成JWT令牌
* @param claims JWT第二部分负载 payload 中存储的内容
* @return
*/
public static String generateJwt(Map<String, Object> claims){
String jwt = Jwts.builder()
.addClaims(claims)
.signWith(SignatureAlgorithm.HS256, signKey)
.setExpiration(new Date(System.currentTimeMillis() + expire))
.compact();
return jwt;
}
/**
* 解析JWT令牌
* @param jwt JWT令牌
* @return JWT第二部分负载 payload 中存储的内容
*/
public static Claims parseJWT(String jwt){
Claims claims = Jwts.parser()
.setSigningKey(signKey)
.parseClaimsJws(jwt)
.getBody();
return claims;
}
}
注意:
- JWT令牌篡改任何一个字符解析都会报错。
- JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥时配套的。
- 如果JWT令牌解析校验时报错,说明JWT令牌被篡改或失效了,令牌非法。