教程:用Java创建和验证JWT

最新推荐文章于 2024-07-09 09:57:35 发布
最新推荐文章于 2024-07-09 09:57:35 发布
阅读量588 收藏 1
点赞数
文章标签: 数据库 java python spring 编程语言
本教程展示了如何使用Java JWT库(JJWT)轻松生成和验证JSON Web Tokens(JWT)。通过简单的代码示例,解释了JWT的创建、解码和验证过程,包括设置哈希算法、添加声明以及使用JUnit进行测试。
摘要由CSDN通过智能技术生成

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

Java对JWT(JSON Web令牌)的支持过去需要进行大量工作:广泛的自定义,花费数小时来解决依赖项,以及仅用于组装简单JWT的代码页。 不再!

本教程将向您展示如何使用现有的JWT库做两件事:

  1. 生成一个JWT
  2. 解码并验证JWT

您会注意到本教程很短。 那是因为那很容易。 如果您想更深入地了解,请查看JWT规范或深入阅读有关在Spring Boot应用程序中使用JWT进行令牌身份验证的更长的文章

什么是JWT?

JSON Web令牌是JSON对象,用于在各方之间以紧凑和安全的方式发送信息。 JSON规范 (或Javascript对象表示法)定义了一种使用键值对创建纯文本对象的方法。 这是一种构造基于原始类型(数字,字符串等)的数据的紧凑方法。 您可能已经非常熟悉JSON。 就像没有括号的XML。

令牌可用于在各方之间发送任意状态。 这里的“当事人”通常是指客户端Web应用程序和服务器。 JWT具有多种用途:身份验证机制,URL安全编码,安全共享私有数据,互操作性,数据过期等。

实际上,此信息通常与两件事有关:授权和会话状态。 服务器可以使用JWT告诉客户端应用程序允许用户执行哪些操作(或允许他们访问哪些数据)。

JWT通常还用于存储Web会话的状态相关用户数据。 因为JWT是在客户端应用程序和服务器之间来回传递的,这意味着状态数据不必存储在某个地方的数据库中(随后在每个请求中都可以检索到); 因此,它可以很好地扩展。

让我们看一个JWT示例(取自jsonwebtoken.io

Java中的JWT

JWT具有三部分:标头,正文和签名。 标头包含有关JWT编码方式的信息。 主体是代币的索赔所在的地方)。 签名提供了安全性。

关于令牌的编码方式以及信息在体内的存储方式,我们这里不做很多详细介绍。 如果需要,请查看前面提到的教程

不要忘记:加密签名不​​提供保密性; 它们只是检测篡改JWT的一种方式,除非JWT经过专门加密,否则它们是公开可见的。 签名只是提供了一种验证内容的安全方法。

大。 得到它了? 现在,您需要使用JJWT制作令牌! 对于本教程,我们使用现有的JWT库。 Java JWT (又名JJWT)是由Les Hazlewood (Apache Shiro的主要提交人,Apache Shiro是Stormpath的前联合创始人兼CTO,现在是Okta自己的高级架构师)创建的,JJWT是一个简化JWT创建和验证的Java库。 它完全基于JWTJWSJWEJWKJWA RFC规范,并根据Apache 2.0许可的条款开源。 该库还为规范添加了一些不错的功能,例如JWT压缩和声明执行。

用Java生成令牌

这部分超级容易。 让我们看一些代码。 克隆GitHub存储库

git clone https://github.com/oktadeveloper/okta-java-jwt-example.git 
 cd okta-java-jwt-example

这个示例非常基础,并且包含一个src/main/java/JWTDemo.java类文件,其中包含两个静态方法: createJWT()decodeJWT() 。 足够巧妙的是,这两种方法创建了一个JWT并对JWT进行解码。 看下面的第一种方法。 

public static String createJWT(String id, String issuer, String subject, long ttlMillis) {
  
    //The JWT signature algorithm we will be using to sign the token
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    long nowMillis = System.currentTimeMillis();
    Date now = new Date(nowMillis);

    //We will sign our JWT with our ApiKey secret
    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(SECRET_KEY);
    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

    //Let's set the JWT Claims
    JwtBuilder builder = Jwts.builder().setId(id)
            .setIssuedAt(now)
            .setSubject(subject)
            .setIssuer(issuer)
            .signWith(signatureAlgorithm, signingKey);
  
    //if it has been specified, let's add the expiration
    if (ttlMillis > 0) {
        long expMillis = nowMillis + ttlMillis;
        Date exp = new Date(expMillis);
        builder.setExpiration(exp);
    }  
  
    //Builds the JWT and serializes it to a compact, URL-safe string
    return builder.compact();
}

总而言之, createJWT()方法执行以下操作:

  • 设置哈希算法
  • 获取签发日期索赔的当前日期
  • 使用SECRET_KEY静态属性生成签名密钥
  • 使用流畅的API添加声明并签署JWT
  • 设置到期日期

可以根据您的需求进行定制。 例如,如果您想添加其他或自定义声明。

解码令牌

现在看一下更简单的decodeJWT()方法。 

public static Claims decodeJWT(String jwt) {
    //This line will throw an exception if it is not a signed JWS (as expected)
    Claims claims = Jwts.parser()
            .setSigningKey(DatatypeConverter.parseBase64Binary(SECRET_KEY))
            .parseClaimsJws(jwt).getBody();
    return claims;
}

该方法再次使用静态SECRET_KEY属性生成签名密钥,并使用该方法来验证JWT是否未被篡改。 如果签名与令牌不匹配,则该方法将引发io.jsonwebtoken.SignatureException异常。 如果签名确实匹配,则该方法将索赔作为Claims对象返回。

差不多了!

运行JUnit测试

为了获得更多的荣誉,您可以在示例项目中运行JUnit测试。 有三个测试,它们演示了JJWT库的一些基本功能。 第一个测试显示了一条愉快的路,创建并成功解码了有效的JWT。 第二个测试显示了当您尝试将完全伪造的字符串解码为JWT时,JJWT库将如何失败。 最后一个测试显示了被JJWT篡改的方式将如何导致decodeJWT()方法引发SignatureException

您可以使用以下命令从命令行运行这些测试: 

./gradlew test -i

-i将Gradle的日志级别设置为Info以便我们看到测试的简单日志输出。

了解有关在Java应用程序中使用JWT的更多信息

JJWT库使创建和验证JWT非常容易。 只需指定一个秘密密钥和一些声明,您就会拥有一个JJWT。 以后,使用相同的密钥对JJWT进行解码并验证其内容。

现在,创建和使用JJWT非常简单,为什么不使用它们呢?

不要忘记SSL! 请记住,除非对JWT进行加密,否则它们中编码的信息通常仅是Base64编码的,任何小孩和一些宠物都可以读取。 因此,除非您希望中国,俄罗斯和FBI读取所有会话数据,否则请使用SSL对其进行加密。

Baeldung 在Java和JWT上相当不错的深入教程

另外,这里还有Okta博客提供的更多链接,可帮助您继续前进:

如果您对此帖子有任何疑问,请在下面添加评论。 有关更多精彩内容, 在Twitter上关注@oktadev在Facebook上关注我们,或订阅我们的YouTube频道

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

``教程:用Java创建和验证JWT''最初于2018年10月31日发布在Okta开发者博客上。

翻译自: https://www.javacodegeeks.com/2019/01/tutorial-create-verify-jwts-java.html

dnc8371
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java jwt登录_JWT实现登录认证实例
weixin_36413546的博客
02-24 1967
JWT全称JSON Web Token,是一个紧凑的,自包含的,安全的信息交换协议。JWT有很多方面的应用,例如权限认证,信息交换等。本文将简单介绍JWT登录权限认证的一个实例操作。JWT组成JWT由头部(Header),负载(Payload)和签名(Signature)三部分组成。其中头部包含了JWT的声明信息,例如签名所用的算法等。{"alg": "HS256","typ": "JWT"}负载...
java创建jwt,【应用安全】 使用Java创建验证JWT
weixin_42524864的博客
03-15 404
JavaJWT(JSON Web Tokens)的支持过去需要大量的工作:广泛的自定义,几小时的解析依赖关系,以及仅用于组装简单JWT的代码页。不再!本教程将向您展示如何使用现有的JWT库来做两件事:生成JWT解码并验证JWT您会注意到该教程非常简短。那是因为它很容易。如果您想深入挖掘,请查看JWT规范或深入了解有关在Spring Boot应用程序中使用JWT进行令牌身份验证的更长篇文章。什么是...
Java实现JWT认证的完整指南:如何从零开始构建安全认证系统
最新发布
weixin_46372265的博客
07-09 621
JWT是一种基于JSON的开放标准,用于在各方之间作为JSON对象安全地传输信息。它特别适合于在无状态环境中(如RESTful API)进行身份验证和信息交换。通过以上步骤,我们成功地在Java中实现了基于JWT的身份认证系统。这个系统具有高度的安全性和扩展性,适用于各种需要身份认证的应用场景。希望这篇文章对大家有所帮助,如果你觉得这篇文章对你有所帮助,欢迎关注我的博客。未来,我会继续分享更多关于Java开发的干货。让我们一起在技术的道路上不断探索,勇往直前!
Java web】JWTtoken登录校验
zhangshuo的博客
05-05 2154
JWT (Json Web Token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT可以校验用户的身份,传递用户的身份信息,一般用在用户登录上。 JWT token的组成 头部(header) { "alg": "HS256", "typ": "JWT" } alg : 加密类型 typ : JWT token的类型 alg 算法 ...
Java手动生成JWT
孤星的博客
04-17 962
头部 首先我们需要一个Json { "alg":"HS256" } 接着我们需要将其在Java中展示出来 String header = "{\n" + "\t\"alg\":\"HS256\"\n" + "}"; 之后要去除所有空格 String header = "{"alg":"HS256"}"; 报错了,很明显是有问题的,接着用转义字符将“正常展示出来 String header
如何生成JWTjava版)
孤寂的游魂的博客
12-27 1815
项目中用到了JWT作为验证方式,故在此记录下JWT生成和解析的方式 前提,导入jar <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 生成token /** * 加密生成token * @param k
Jax-rs_JWT_JSF:这是一个用JWT和JSF使用JAX-RS的示例项目
05-01
**JWT(JSON Web Tokens)**是一种轻量级的身份验证和授权机制。它通过在客户端和服务器之间传递JSON编码的数据来实现这一目标。JWT包含三部分:头部、负载和签名。负载中存储了关于用户的信息,如用户ID、角色等,...
jjwtJava JWTJava和Android的JSON Web令牌
02-03
JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建验证JSON Web令牌(JWT)。 JJWT是一个纯Java实现,完全基于 , , , 和 RFC规范,并根据的条款开源。 该图书馆由高级建筑师创建,并由贡献者提供...
第40天:JAVA安全-JWT安全及预编译CASE注入等1
08-03
签名部分则是通过头部和声明的内容,结合一个保密的密钥(secret)进行加密生成,用于验证JWT的完整性和防止篡改。 当用户登录时,用户名和密码发送到服务器。服务器验证信息无误后,创建JWT,将用户信息(一般不...
java基于springBoot和jwt实现用户登录功能
06-07
JWT(JSON Web Token)是一种轻量级的认证 token,使用_json web token_来实现身份验证和数据传输。JWT的主要特点包括轻量级、灵活、可扩展性强等。JWT通常用于实现用户认证、授权和身份验证等功能。 知识点3:依赖...
实现基于JWT的Token登录验证功能
weixin_33749242的博客
01-20 235
前言 放假之前做了几个小项目+课设,都用到了token实现登录验证和权限判断,然鹅当时和同组的小伙伴也都是第一次接触到了token,于是乎都是一脸懵逼(xjbx)的写完了登录验证的前后端逻辑(我写前端,同组的小伙伴写后端)。今天有空仔细学习了一下SpringBoot实现token认证以及和前端的交互,踩了不少坑,在这里记录一下 后端实现 首先需要导入jwt的包,相关的pom.xml文件如下: ...
java jwt登录_SpringBoot使用JWT实现登录验证的方法示例
weixin_32798919的博客
02-16 676
什么是JWTJSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。具体的jwt介绍可以查看官网的介绍:https://jwt.io/introduction/jwt请求流程引用官网的图...
基于jwt的登录验证
BubbleSort_934的博客
07-10 222
什么是jwtJWT:JSON Web Token,作为JSON对象在各方之间传输安全信息,该信息可以被验证和信任,因为它是数字签名的。在前后端分离的项目中,用户需要被授权才可进行某些操作,这就需要jwt的应用。且使用jwt可以减少频繁查询数据库,减轻服务器压力。 大体思路 前端发起登录请求,后端接收到用户信息 后端验证用户信息成功后,为前端返回一个token值 前端回调函数接收到token后,将其存储到vuex和localStorage中 前端每次路由跳转,都需要携带token发起验证 如何实现?
javaWeb的jwt令牌校验
m0_73077921的博客
12-05 968
default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//目标方法进行前执行,注意,返回true拦截器才会放行,false不会放行。
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
javaeEEse的博客
02-28 2万+
文章目录一、JWT是什么?二、使用步骤1.项目结构2.相关依赖3.数据库3.相关代码三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中
Web安全通讯之JWTJava实现
wangcantian的博客
07-04 2万+
上篇文章中目的是介绍 Json Web Token(以下简称 jwt) ,由于我对 Java 比较熟悉就介绍 Java 服务端 的实现方式,其他语言原理是相同的哈~ PS:如果不清楚JWT,请先看 《Web安全通讯之Token与JWT》 参考博客:各种语言版本的基于HMAC-SHA256的base64加密 官网地址:https://jwt.io/ jwt github:https:
JWT入门教程:理解与Java实现
然后,可以使用库提供的API来创建、解析和验证JWT。例如,创建JWT时,需要指定头部、负载和密钥;验证JWT时,使用相同的密钥检查签名的正确性,确保令牌的有效性。 在实际开发中,JWT的使用需要注意以下几点: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值