JWT入门级,简单易用

最新推荐文章于 2024-04-27 16:34:56 发布
最新推荐文章于 2024-04-27 16:34:56 发布
阅读量479 收藏 2
点赞数
分类专栏: Java 文章标签: JWT Java 服务端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hejie1997/article/details/90081352
版权

作为一个新手,我认为第一步就是去看官方文档 jjwt 别管英语有多差,有道翻译或者网页翻译结果语义不尽相同,也要先看文档,尽管我也看不懂,但是能大概知道这是做什么的,拿来怎么使用,然后再根据博客和一些资料进行整理,我觉得这样能一个比较深刻的印象!

作用

官方文档上说,JWT(JSON Web Token) 是一种可以验证双方之间传递信息的手段,并且以JSON格式呈现,JWT是可签名的,变成JWS,或者加密,成为JWE。
这让使用JWT的用户增加了一层加验证性和安全性,例如,接收器通过验证签名对JWT没有被篡改具有高度的信心。
JWT字符串格式呈现:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJudWxsaiJ9.W8hfFfcMVgmlAhTRUl4GHNAq4tq_MWJGB1bv-r9wMCE

分为三部分,(header,payload)用Base64编码,都是以‘ . ’进行分隔开的:

	第一部分:Header:头部,记录了一些元数据,例如采用何种算法,令牌类型等。
	第二部分:Payload:负载,存储我们的关键信息。
	第三部分:签名,前两部分的签名,防止数据篡改。

我们主要关注 Payload,JWT 官方规定了 7 个供选择的字段:

	iss (issuer):签发人
	exp (expiration time):过期时间
	sub (subject):主题
	aud (audience):受众
	nbf (Not Before):生效时间
	iat (Issued At):签发时间
	jti (JWT ID):编号

说白一点,到底是用来干嘛的(个人理解):

一般在用户登陆成功,服务端便会返回一串 字符串(同上),可以用来作为唯一token使用,在某个时间段内失效,验证合法性,也可以使用 jwt 来做 restful api 的身份认证,其实它就是一个标识,是每个用户的身份证,你要做什么,例如:开房,就必须要使用身份证才能进行,而身份证得保证合法,正确,安全。身份证到期就得去再办一次身份证,不让就失效了,就不可以开房了 :)

java实现

第一步,我查看文档,jjwt框架,导入pom.xml

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.10.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.10.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.10.5</version>
    <scope>runtime</scope>
</dependency>

第二步创建 jwt Token创建,写个工具类,方便以后调用。
生成key在官网上也是有讲的,也给出例子,可以直接使用

  /**
     * 由字符串生成加密key
     *
     * @return
     */
    private static final String KEY1 = "somethinghereshouldbelong";
    public static Key generalKey() {
        try {
            // 一般服务端自定义一个KEY值,转换成byte[] 再转成SecretKey
            String stringKey = "UnWhVr6cKjw5gzwnR6j5FjYpox6kRoyHbvaTwcfexb11QrKrvVeoGGP3YD3cxlKvyJL6lrK0XX0oMGcA5nPIq7ucGeUFFZ7sIuR";
            byte[] encodedKey = Base64.decodeBase64(stringKey);
            SecretKey key = Keys.hmacShaKeyFor(encodedKey);

            //如果嫌麻烦,可以直接使用jjwt 提供key算法
//            SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256); //or HS384 or HS512
            return key;

        }catch (Exception e){
            e.printStackTrace();
        }
      return null;
    }
/**
     * 创建新token
     * @param userId
     * @return
     */
    public static   String createNewToken(String userId){
        //Header:头部,记录了一些元数据,例如采用何种算法,令牌类型等。
        //Payload:负载,存储我们的关键信息。
        //Signature:签名,前两部分的签名,防止数据篡改。

        //Payload 官方提供7个可选字段
        //iss:Issuer  jwt签发者
        //sub:Subject  面向的用户(jwt所面向的用户)
        //aud:Audience  接收jwt的一方
        //exp:Expiration  过期时间戳(jwt的过期时间,这个过期时间必须要大于签发时间)
        //nbf:Not Before 定义在什么时间之前,该jwt都是不可用的.
        //iat:Issued At jwt的签发时间
        //jti:JWT ID jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
        //setClaims:自定义字段信息
            Key secretKey = generalKey();
        //获取当前时间
        Date now = new Date(System.currentTimeMillis());
        Map<String,Object> map=new HashMap<>();
        map.put("name","河神");
        //过期时间
        Date expiration = new Date(now.getTime() + 72000);
            return Jwts
                    .builder()
                    .setClaims(map)
                    .setSubject("User")
                    .setIssuedAt(now)
                    .setAudience(userId)
                    .setIssuer("Login")
                    .setExpiration(expiration)
                    .signWith(secretKey,SignatureAlgorithm.HS512)
                    .compact();
    }

第三步,解密,当用户使用API时,我们需要验证此Token是否签名正确,才能进行服务端下一步

/**
     * 解密jwt
     * @param jwt 密钥
     * @return 主题
     * @throws Exception 如果发生 JwtException,说明该密钥无效
     */
    public static JwtParser parseJWT (String jwt)  {
        Key key = generalKey();
        try {
            JwtParser parser = Jwts.parser();
                    parser
                    .setSigningKey(key)
                    .parseClaimsJws(jwt)
                    .getBody()
                    .getSubject();
                    return parser;
        }catch (SignatureException signatureException){
            throw new BusiHandlerException("签名错误",10001);
        }catch (ExpiredJwtException ex){
            throw new BusiHandlerException("签名过期",10001);
        }catch (JwtException ex){
          throw new BusiHandlerException(ex.getMessage(),ex.getCause());
        }
    }

异常可以自己去定义,这样简单的使用方式就OK了,接下来就是拦截它。

我们或许要达到此类效果:
拦截是否传入token,附带查看是否有注解,是否需要去验证
根据网上的资料和博客,基本清一色的使用拦截器,这里我想试试AOP来达到此效果。
代码如下,不喜勿喷:

@Aspect
@Order(-1)
@Component
public class BusinessAspect {


    /**
     * 切入business
     */
    @Pointcut("execution(public * com.hj.project.controller.*.*(..))")
    public void pointCut() {
    }

    /**
     * around
     *
     * @param joinPoint
     * @return
     * @throws Throwable
     */
    @Around("pointCut()")
    public Object doAround(ProceedingJoinPoint joinPoint) throws Throwable {
        //获得request response
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        HttpServletResponse response = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getResponse();

        //获得自定义注解
        Method method = ((MethodSignature) joinPoint.getSignature()).getMethod();
        Token anno = method.getAnnotation(Token.class);
         //如果有@Token注解
       if (anno == null)
        {
            return joinPoint.proceed();
//            throw new RuntimeException("method->" + method.getName() + " PathAuth annotation required");
        }else{
           String token = request.getHeader("token");
           if(StringUtils.isBlank(token)){
               throw new BusiHandlerException("签名不能为空",10001);
           }
           TokenUtils.parseJWT(token);
           return joinPoint.proceed();
       }
    }


}

很简单,是给新手的一个入门,有更好的建议,希望不吝赐教

河神Time
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java jjwt-api使用,java jwt使用,java jwt 工具类
xiaochengxuyuan1的博客
01-08 2371
一、引入jjwt-api依赖 <properties> <!-- 构建时编码 --> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <!-- 输出时编码 --> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncodin
JWT使用
阿伟的博客
03-06 934
JWT(JSON WEB TOKEN)使用
配置 Spring Security 和 JWT(四)
qiuweifan的博客
03-29 1493
userDetail和生成和验证JWT的实用程序类详解
JWT快速上手(简单易懂)
最新发布
ljw_993013755的博客
04-27 436
快速上手 JWT,包含工具类封装。一文彻底学会 JWT
JWT初学-生成与解密
qq_34819372的博客
10-31 2582
JWT初学-简单了解一下 demo代码git地址 jwt的maven依赖 &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;...
【springboot系列】springboot整合jwt
Think_and_work的博客
05-31 579
概念 JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 组成 jwt由三部分组成,分别是头部,载荷以及签证。 然后这三部分进行加密,然后用“.”连接在一起 如: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7H
SpringBoot集成JWT快速入门Demo
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
jwt开发源码--入门级参考
09-22
本资源旨在提供给各大java程序员,作为jwt协议的开发,提供入门级指导代码
JWT入门指南2023-6-20
06-20
SpringBoot整合JWT
前后端接口安全技术JWT极速入门教程.pdf
11-20
[JWT]的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、...
jwt简单的介绍和了解
10-27
3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放...
MyBatis动态SQL
qq_40320015的博客
09-17 629
一、使用动态SQL完成多条件查询 动态SOL是MyBatis的一个强大的特性。在使用JDBC操作数据时,如果查询条件特别多,将条件串联成SQL字符串是一件痛苦的事情。通常的解决方法是写很多的if-else条件语句对字符丰进行拼接,并确保不能忘了空格或在字段的最后省略逗号。MyBatis使用一种强大的动态SOL语言来改善这种情形。动态SQL基于OGNL的表达式,可使我们方便地在SQL语句中实现某些逻...
Java jjwt
修也
06-04 330
// Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); String password = "12345678"; Key key = Keys.hmacShaKeyFor(JJwtUtil.data256Length(password)); // key = new SecretKeySpec(password.getBytes(StandardCharsets.UTF_8),"AES"); String jws = Jw..
JWT设置密钥长度
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
11-16 1万+
一、问题描述 我需要用调用这个系统本来就有的鉴权代码,然后让用户进行登录,但是在走JWT自动创建Token的时候,就开始报错了。报错信息如下: io.jsonwebtoken.security.WeakKeyException: The signing key's size is 40 bits which is not secure enough for the HS256 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2..
最详细的jjwt工具类
Flying_Fish_roe的博客
12-12 494
是生成、解析和校验Json Web Token(JWT)。JWT是一种用于身份验证的令牌,由三部分组成:头部、载荷和签名。使用JWT可以保护API端点,允许用户进行无状态身份验证。
JWT基础学习总结token基础功能全实现演示(神鸟篇)
Xmumu_的博客
10-14 470
学习后端这么久,认证机制无疑是非常重要的一个部分,而且缺一不可,你知道哪些常见的认证机制呢?它们实现的过程和优缺点又有哪些呢?
JWT初步了解
早上真起不来的博客
06-20 167
JWT 文章目录JWTJwt 底层组成部分:1、头部2、Payload 装载的数据3、验证签名JWT优缺点 1、Session 存放服务器端— Session ID 2、Token + Redis Session 缺点集群无法共享 — redis 中 Token 类似于 Session ID Token 依赖于 Redis 真实 token 存放 value 值 使用 Token 缺点:每次都需要根据 token查询真实的内容,对服务器端压力就非常大。 jwt 先学习 json、token (加密算法
http://95u.free.fr/index.php,Electronic Software Distribution Service
热门推荐
weixin_39603327的博客
03-19 31万+
Content-Type: multipart/related; start=; boundary=----------OH5LlQ9dynBJGqR8E2AiMRContent-Location: https://software.pitt.edu/software/software.aspSubject: =?utf-8?Q?Electronic=20Software=20Distributi...
JSON Web Token 入门教程
weixin_34067102的博客
07-24 919
2019独角兽企业重金招聘Python工程师标准>>> ...
springsecurity jwt
05-10
Spring Security JWT是基于Spring Security和JSON Web Token(JWT)技术的安全框架,用于管理和验证Web应用程序中的用户身份验证和授权。JWT是一种轻量级的身份验证和授权机制,其实现方式简单,可以跨语言和应用程序共享,并具有简化管理会话状态的优点。 Spring Security JWT架构基于Filter和Provider机制,可以按照需求定制不同的Filter和Provider,实现身份验证和授权的较为灵活的配置。其中Filter主要负责处理用户身份验证和授权的请求,Provider用于对JWT的解析和身份验证过程进行处理,检查用户的合法性、有效性和权限等。 Spring Security JWT提供了简单易用的API,包括token创建、解析,用户认证、授权等功能,同时也支持RESTful API、OAuth2和OpenID Connect等相关协议。与其他身份验证和授权机制相比,Spring Security JWT还提供了安全性和可扩展性的优势,如支持使用HTTPS协议、基于RSA加密的签名验证等。 但是,Spring Security JWT也存在一些限制和问题,如token的持久化和刷新、token过期时间管理、跨域请求的问题等。总之,使用Spring Security JWT需要充分了解其设计和实现机制,根据具体的应用场景进行技术选择和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值