JWT库生成Token的使用与原理

最新推荐文章于 2024-08-12 15:55:52 发布
最新推荐文章于 2024-08-12 15:55:52 发布
阅读量1.2k 收藏 7
点赞数 2
分类专栏: 后端功能 Spring 文章标签: java 单元测试 restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/easysec/article/details/113618692
版权

       现在开发前后端分离的系统或者开发 APP 的项目时,在验证用户是否登录时都会使用 Token 的方式,使用 Token 也是为系统后续可以进行拆分的第一步。

       Token 的生成规则可以任意,只要最终可以通过 Token 去匹配到合适的用户即可。不过我们可以使用 JWT 类库来帮助我们生成 Token。JWT 是 Json Web Token 的意思,是一种通过 Json 格式在 Web 中进行传递的 Token。

JWT 的使用

       先来看看关于 JWT 的使用,它的使用是比较简单的。

        创建一个 Spring Boot 的项目,然后引入 JWT 的依赖,依赖如下:

<dependency>  <groupId>io.jsonwebtoken</groupId>  <artifactId>jjwt</artifactId>  <version>0.7.0</version></dependency>

       然后创建一个 Util,用来生成 Token,代码如下:

public static String createToken(String subject){    return Jwts.builder()            .setSubject(subject)            .signWith(SignatureAlgorithm.HS256, secret)            .compact();}

       方法中,subject 就是要生成 token 的值,比如这里可以是用户名、用户 ID 等。signWith 是设置一个签名的算法,其中 HS256 是 HMAC-SHA256,HMAC 是基于哈希的消息验证码,SHA256 是一种哈希算法。secret 是我们自己定义的一个密钥,这个密钥很重要。

        调用 createToken 就可以生成 Token 了,写一个单元测试,代码如下:

String name = "木瓜";String token = TokenUtil.createToken(name);System.out.println("木瓜的token:" + token);name = "西瓜";token = TokenUtil.createToken(name);System.out.println("西瓜的token:" + token);

        运行它,输出如下:

木瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s西瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLopb_nk5wifQ.HcPdzxH0IFcyr_m0QZMPiX18dToPh07fQn4pDMWxdi0

       可以看出,两个不同的 name 生成了不同的 Token。

        我们同样可以使用 JWT 类库来对 Token 进行验证,代码如下:

public static String parseToken(String token){    Claims body = null;    try {        body = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();    } catch (io.jsonwebtoken.ExpiredJwtException e) {        return e.getMessage();    }    return body.getSubject();}

        修改单元测试的代码,代码如下:

String name = "木瓜";String token = TokenUtil.createToken(name);System.out.println("木瓜的token:" + token);System.out.println("parseToken:" + TokenUtil.parseToken(token));name = "西瓜";token = TokenUtil.createToken(name);System.out.println("西瓜的token:" + token);System.out.println("parseToken:" + TokenUtil.parseToken(token));

        运行结果如下:

木瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3sparseToken:木瓜西瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLopb_nk5wifQ.HcPdzxH0IFcyr_m0QZMPiX18dToPh07fQn4pDMWxdi0parseToken:西瓜

       可以看到,我们的 name 被还原回来了,这样就可以进行验证匹配了。

        JWT 还可以设置 Token 的过期时间等,那些就不再描述了。

JWT 的原理

       JWT 的原理其实并不复杂,简单的看一眼代码,并给出它的原理。

        在介绍其原理之前,先使用一个在线工具来对 JWT 生成的 Token 进行一下解密,如下图。

        可以看出,我们的 Token 被还原了。我们的签名算法和名字都被解析了出来。慌吗?这是什么情况呢!

        上面 JWT 生成的 Token 包含三部分,并使用“点”号分隔。使用前面的 Token 来进行说明,Token 如下:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s

        上面的 Token 实际分为三部分,分别如下:

eyJhbGciOiJIUzI1NiJ9eyJzdWIiOiLmnKjnk5wifQPmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s

        上面每行代表一部分,第一行表示签名算法,第二行是我们的用户名或用户ID,第三行是签名。

        第一部分和第二部分是用 base64 算法进行编码的,只要通过 base64 的解码算法进行解码就可以得到相关的内容,解码如下。

        从图中可以看出,对第一部分和第二部分进行解码后,都是一个 Json 串。

        第三部分是对第一部分加第二部分内容的一个签名。

        大体流程如下图。

        大致来看一下源码。回顾 JWT 生成 Token 的方法,代码如下:

return Jwts.builder()        .setSubject(subject)        .signWith(SignatureAlgorithm.HS256, secret)        .compact();

        我们关键来看 signWith 和 compact 两个方法。

        先来看一下 signWith 方法,代码如下:

public JwtBuilder signWith(SignatureAlgorithm alg, byte[] secretKey) {    Assert.notNull(alg, "SignatureAlgorithm cannot be null.");    Assert.notEmpty(secretKey, "secret key byte array cannot be null or empty.");    Assert.isTrue(alg.isHmac(), "Key bytes may only be specified for HMAC signatures.  If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead.");    this.algorithm = alg;    this.keyBytes = secretKey;    return this;}​public JwtBuilder signWith(SignatureAlgorithm alg, String base64EncodedSecretKey) {    Assert.hasText(base64EncodedSecretKey, "base64-encoded secret key cannot be null or empty.");    Assert.isTrue(alg.isHmac(), "Base64-encoded key bytes may only be specified for HMAC signatures.  If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead.");    byte[] bytes = TextCodec.BASE64.decode(base64EncodedSecretKey);    return this.signWith(alg, bytes);}

        上面的代码主要就是设置了 签名算法 和 secretKey,secretKey 使用 base64 解码算法,除此并没有太多的处理。

        再来看一下 compact 方法,代码如下:

public String compact() {    if (this.payload == null && Collections.isEmpty(this.claims)) {        throw new IllegalStateException("Either 'payload' or 'claims' must be specified.");    } else if (this.payload != null && !Collections.isEmpty(this.claims)) {        throw new IllegalStateException("Both 'payload' and 'claims' cannot both be specified. Choose either one.");    } else if (this.key != null && this.keyBytes != null) {        throw new IllegalStateException("A key object and key bytes cannot both be specified. Choose either one.");    } else {        Header header = this.ensureHeader();        Key key = this.key;        if (key == null && !Objects.isEmpty(this.keyBytes)) {            // 生成了key            key = new SecretKeySpec(this.keyBytes, this.algorithm.getJcaName());        }        Object jwsHeader;        if (header instanceof JwsHeader) {            jwsHeader = (JwsHeader)header;        } else {            jwsHeader = new DefaultJwsHeader(header);        }        if (key != null) {            ((JwsHeader)jwsHeader).setAlgorithm(this.algorithm.getValue());        } else {            ((JwsHeader)jwsHeader).setAlgorithm(SignatureAlgorithm.NONE.getValue());        }        if (this.compressionCodec != null) {            ((JwsHeader)jwsHeader).setCompressionAlgorithm(this.compressionCodec.getAlgorithmName());        }        // 对{"alg": "HS256"}进行base64编码        String base64UrlEncodedHeader = this.base64UrlEncode(jwsHeader, "Unable to serialize header to json.");        String base64UrlEncodedBody;        if (this.compressionCodec != null) {            byte[] bytes;            try {                bytes = this.payload != null ? this.payload.getBytes(Strings.UTF_8) : this.toJson(this.claims);            } catch (JsonProcessingException var9) {                throw new IllegalArgumentException("Unable to serialize claims object to json.");            }            base64UrlEncodedBody = TextCodec.BASE64URL.encode(this.compressionCodec.compress(bytes));        } else {            // 对{"sub": "木瓜"}进行base64编码            base64UrlEncodedBody = this.payload != null ? TextCodec.BASE64URL.encode(this.payload) : this.base64UrlEncode(this.claims, "Unable to serialize claims object to json.");        }        // 两个base64字符串拼接
        String jwt = base64UrlEncodedHeader + '.' + base64UrlEncodedBody;        if (key != null) {            // 生成签名            JwtSigner signer = this.createSigner(this.algorithm, (Key)key);            String base64UrlSignature = signer.sign(jwt);            // 拼接字符串            jwt = jwt + '.' + base64UrlSignature;        } else {            jwt = jwt + '.';        }        return jwt;    }}

       以上就是 JWT 生成 Token 的流程了。整个代码流程并不复杂。

总结

       JWT 生成 Token 的流程比较简单的,通过 base64 解码算法也可以轻松的拿到原始数据和签名算法。对于 JWT 库,不但可以对原始数据和签名算法进行还原,也会根据提前预定的 secret 来验证签名,确保数据没有被篡改。看了 JWT 后可能觉得,这个东西没有加密,的确是这样的。JWT 中的签名也是通常意义上的签名,只用来保证数据的完整性、抗抵赖性的,并不是起加密作用的。而对于签名算法中最为重要的 secret 可以使用暴力破解的方式来进行猜测,一旦猜测成功,JWT 就不安全了。

码农UP2U
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
JWT介绍及用JAVA使用JWT生成token
longxianhua的博客
04-29 2922
应用场景 通常,在APP开发过程中会碰到一些场景,接口需要登录或者需要授权才能访问,一般的做法是登录成功之后服务器返回生成token给客户端,客户端访问接口的时候带上token,用以验证登录.我们的方案是使用JWT来创建token,然后客户端带上,服务端再做解析。 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一...
什么是JWT(JSON WEB TOKEN
昆仔的博客
07-24 275
原文传送门 什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
基于jwttoken验证、原理及流程
2401_85239883的博客
07-23 425
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
使用JWTtoken校验 创建、验证、请求
bingyizhilang的博客
04-07 6555
转载自: https://www.jianshu.com/p/e34a579c63a0 一、什么是JWT JWT全称JSON Web Token,由三部分组成: header(头)、payload(载体)、signature(签名)。 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据to
【开端】使用JWTUtil工工具制作token
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
08-12 2037
JWT是一种开放标准(open standard),它定义了一种紧凑且自包含的方式来在不同的应用程序之间安全地传递信息。JWT由三部分组成:头部(header)、载荷(payload)和签名(signature)。头部包含算法和令牌类型,载荷包含有关用户的信息,签名是对头部和载荷进行哈希处理的结果,以确保它们在传输过程中没有被篡改。JWTUTIL工具类//自定义密钥,越复杂安全性越高// 生成JWT令牌/*** 生成JWT令牌。
app java token生成器,JwtUtils token生成
weixin_35181005的博客
03-10 702
import com.auth0.jwt.JWT;import com.auth0.jwt.JWTVerifier;import com.auth0.jwt.algorithms.Algorithm;import com.auth0.jwt.interfaces.Claim;import com.auth0.jwt.interfaces.DecodedJWT;import java.util.Ca...
JWT Token生成及验证(源码)
04-12
5. JWT生成: 在代码中,使用特定的(如Java的jjwt、Node.js的jsonwebtoken或.NET的JWT.NET等)来生成JWT。首先,构造头部和载荷的JSON对象,然后进行Base64编码。接着,使用指定的算法和密钥生成签名。最后,将...
JWT Token生成及验证
07-16
JWT Token在C#中的生成与验证涉及到JWT标准的原理、C#使用以及安全实践。理解并正确实施这些概念,对于构建安全、高效的Web应用至关重要。通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体...
jwt token java_利用JWT生成Token
weixin_33640304的博客
02-21 514
开篇实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成Token.JWT生成Token有什么好处呢?安全性比较高,加上密匙加密而且支持多种算法。携带的信息是自定义的,而且可以做到验证token是否过期。验证信息可以由前端保存,后端不需要为保存token消耗内存。本篇分3部分进行讲解。什么是JWTJWT的代码实现用HS256 对称算法加密用RS256 非对称算...
基于springboot+jwt实现刷新token过程解析
08-19
在实现中,我们使用JWT生成Token,并使用Redis来存储Token和refToken。在登录方法中,我们使用JwtUtil.sign()方法来生成Token,并将其存储到Redis中。在拦截器中,我们使用JwtUtil.verify()方法来验证Token的...
JWTToken生成
qq_41635401的博客
11-10 754
1、什么是Cookie? cookie指的就是浏览器里面能永久存储数据的一种数据存储功能。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 Cookie有什么功能特点呢?在同一个页面中设置 Cookie,实际上是按从后往前的顺序进行的。如果要先删除一个
JwtTokenUtil
qq_37377082的博客
02-27 2603
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.c
jwt生成token做登录校验
weixin_43652507的博客
05-12 1040
jwt生成token做登录校验
JJWT实现token创建和解析的JwtUtil工具类。
qq_45533598的博客
03-15 801
package com.*.util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.Map; /** * ConfigurationProperties注解:在 Spring Boot 项目中
JAVA开发(JWTUtil工具类实现token源码赏析)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 3283
那么如何处理token: 1、解决安全问题,就需要加密,和有效期 2、解决信任问题,就要生产包含用户账号,密码相关的信息 3、解决唯一性问题,就要用到签名 4、解决体验问题,就要使用到自动刷新。
JWT的工具类Java代码(任务流)
qq_14945327的博客
07-26 412
JWT的工具类Java代码(任务流)
jwtTokenUtil
dudaidai的博客
04-15 432
@param oldTokentokenHead的token。* @param token 客户端传入的token。//如果token在30分钟之内刚刷新过,返回原token。* 判断token在指定时间内是否刚刚刷新过。* 当原来的token没过期时是可以刷新的。* @param tokentoken。* 解析request中的token信息。* 解析request中的token信息。* 从token中获取JWT中的负载。* 从token中获取过期时间。
利用JWT创建token
Rsun2018的博客
02-26 314
1、添加pom文件 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.5.8</version> </dependency> <!--Token生成与解析--> <dependency> <groupId>io.jsonweb
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农UP2U

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值