JWT通用版,JAVA、PHP、JS均可使用

最新推荐文章于 2024-05-30 10:25:53 发布
最新推荐文章于 2024-05-30 10:25:53 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu19930613/article/details/118269672
版权

最近想记录一下过往的内容,顺带记录一下通用JWT写法。网上有许多内容重叠并且说不上重点,还有部分内容错误,本人做一下整理。

JWT的原理不想多说,网上一大推。https://jwt.io/  这个网站可以做校验

Java版

pom.xml 先上依赖

        <!-- JWT依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

工具类

package com.xxxx.config;

import io.jsonwebtoken.*;
import org.springframework.stereotype.Component;
import java.util.Date;

@Component
public class JwtTokenUtil {

    //荷载claim的名称
    private static final String CLAIM_KEY_USERNAME = "sub";
    //荷载的创建时间
    private static final String CLAIM_KEY_CREATED = "created";
    //jwt令牌的秘钥
    private static final String secret = "admin";
    //jwt的失效时间
    private static final long expiration = 1000*60*60*24;


    //生成token
    public static String createToken(String admin){

        return Jwts.builder()
                //header
                .setHeaderParam("typ","JWT")
                .setHeaderParam("alg","HS256")
                //payload
                .claim(CLAIM_KEY_USERNAME,admin)
                .claim(CLAIM_KEY_CREATED,new Date())
                .setExpiration(new Date(System.currentTimeMillis() + expiration))
                //signature
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }


    //解析token
    public static Claims paresToken(String token){
        JwtParser jwtParser = Jwts.parser();
        Jws<Claims> claimsJws = jwtParser.setSigningKey(secret).parseClaimsJws(token);
        Claims claims = claimsJws.getBody();
        return claims;
    }

    public static void main(String[] args) {
        String token = JwtTokenUtil.createToken("admin_name");
        System.out.println(token);
        System.out.println(JwtTokenUtil.paresToken(token));

    }


}

结果如下:

token:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbl9uYW1lIiwiY3JlYXRlZCI6MTYyNDc2NDE3Mjc0NiwiZXhwIjoxNjI0ODUwNTcyfQ.6XADYWKDkyfUAZjjZac91cPJIxLYR9RhWhbDH0Mp9Fs

claims:

{sub=admin_name, created=1624764172746, exp=1624850572}

https://jwt.io/ 上校验一下

从这里发现了几个问题,

一是java代码的设置过期时间本质就是秒级时间戳,

二是用上述代码产生的token是需要勾选  秘钥为base64加密后的字符。

三补充部分:文件切记使用UTF-8格式。

这里产生了三端通用jwt的注意点。java要想产生(秘钥为非base64加密后)的字符,需要做一些修改。

//createToken方法块中,修改为下述语句

//signature
.signWith(SignatureAlgorithm.HS256, secret.getBytes())
.compact();


//paresToken方法块中,修改为下述语句
Jws<Claims> claimsJws = jwtParser.setSigningKey(secret.getBytes()).parseClaimsJws(token);

修改后的结果:

token:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbl9uYW1lIiwiY3JlYXRlZCI6MTYyNDc2NDk2MzYzMiwiZXhwIjoxNjI0ODUxMzYzfQ.18bHhkf3P8RsoZkNQsjU9DCOrvH5NkR9WZEI8YzJKYc

claims:

{sub=admin_name, created=1624764963632, exp=1624851363}

https://jwt.io/ 上校验一下,勾选后,校验失败

取消后,校验ok

以上是java部分,后续是PHP与js部分

部分网上的教程,用MD5加密来代替加密算法,其实也可以。不过在遇到多系统打通的情况下,需要使用真正指定的加密函数,同时需要注意一些坑。

以秘钥为非base64加密为例的jwt:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbl9uYW1lIiwiY3JlYXRlZCI6MTYyNDc2NDk2MzYzMiwiZXhwIjoxNjI0ODUxMzYzfQ.18bHhkf3P8RsoZkNQsjU9DCOrvH5NkR9WZEI8YzJKYc

HEADER:

{
  "typ": "JWT",
  "alg": "HS256"
}

PAYLOAD:

{
  "sub": "admin_name",
  "created": 1624764963632,
  "exp": 1624851363
}

秘钥:admin

<?php
/**
 * PHP实现jwt
 */
class JwtAuth {

  //头部
  private static $header=array(
      'typ'=>'JWT',   //类型
      'alg'=>'HS256', //生成signature的算法
  );

  //使用HMAC生成信息摘要时所使用的密钥
  private static $key="admin";


  /**
   * 获取jwt token
   * @param array $payload jwt载荷  格式如下非必须
   * [
   * 'iss'=>'jwt_admin', //该JWT的签发者
   * 'iat'=>time(), //签发时间
   * 'exp'=>time()+7200, //过期时间
   * 'nbf'=>time()+60, //该时间之前不接收处理该Token
   * 'sub'=>'www.mano100.cn', //面向的用户
   * 'jti'=>md5(uniqid('JWT').time()) //该Token唯一标识
   * ]
   * @return bool|string
   */
  public static function getToken(array $payload)
  {
    if(is_array($payload))
    {
      $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
      $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
      $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
      return $token;
    }else{
      return false;
    }
  }


  /**
   * 验证token是否有效,默认验证exp,nbf,iat时间
   * @param string $Token 需要验证的token
   * @return bool|string
   */
  public static function verifyToken( $Token)
  {
    $tokens = explode('.', $Token);
    if (count($tokens) != 3)
      return false;

    list($base64header, $base64payload, $sign) = $tokens;

    //获取jwt算法
    $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
    if (empty($base64decodeheader['alg']))
      return false;

    //签名验证
    if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
      return false;

    $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

    //签发时间大于当前服务器时间验证失败
    if (isset($payload['iat']) && $payload['iat'] > time())
      return false;

    //过期时间小宇当前服务器时间验证失败
    if (isset($payload['exp']) && $payload['exp'] < time())
      return false;

    //该nbf时间之前不接收处理该Token
    if (isset($payload['nbf']) && $payload['nbf'] > time())
      return false;

    return $payload;
  }

  /**
   * base64UrlEncode  https://jwt.io/ 中base64UrlEncode编码实现
   * @param string $input 需要编码的字符串
   * @return string
   */
  private static function base64UrlEncode( $input)
  {
    return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
  }

  /**
   * base64UrlEncode https://jwt.io/ 中base64UrlEncode解码实现
   * @param string $input 需要解码的字符串
   * @return bool|string
   */
  private static function base64UrlDecode( $input)
  {
    $remainder = strlen($input) % 4;
    if ($remainder) {
      $addlen = 4 - $remainder;
      $input .= str_repeat('=', $addlen);
    }
    return base64_decode(strtr($input, '-_', '+/'));
  }

  /**
   * HMACSHA256签名  https://jwt.io/ 中HMACSHA256签名实现
   * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
   * @param string $key
   * @param string $alg  算法方式
   * @return mixed
   */
  private static function signature( $input,  $key,  $alg = 'HS256')
  {
    $alg_config=array(
      'HS256'=>'sha256'
    );
    return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
  }
}

php 测试代码

//测试和官网是否匹配begin
$payload    = array(
    'sub'     =>'admin_name',
    'created' =>1624764963632,
    'exp'     =>1624851363
);
$jwt=new JwtAuth();
$token=$jwt->getToken($payload);
echo "<pre>";
echo $token;

//对token进行验证签名
$getPayload=$jwt->verifyToken($token);
echo "<br><br>";
var_dump($getPayload);
echo "<br><br>";
//测试和官网是否匹配end

结果为:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbl9uYW1lIiwiY3JlYXRlZCI6MTYyNDc2NDk2MzYzMiwiZXhwIjoxNjI0ODUxMzYzfQ.18bHhkf3P8RsoZkNQsjU9DCOrvH5NkR9WZEI8YzJKYc

array(3) {
  ["sub"]=>
  string(10) "admin_name"
  ["created"]=>
  int(1624764963632)
  ["exp"]=>
  int(1624851363)
}

加密结果与   java 使用    secret.getBytes()   一致。

.signWith(SignatureAlgorithm.HS256, secret.getBytes())

Jws<Claims> claimsJws = jwtParser.setSigningKey(secret.getBytes()).parseClaimsJws(token);

如果java端使用的是如下

.signWith(SignatureAlgorithm.HS256, secret)

jwtParser.setSigningKey(secret.parseClaimsJws(token);

PHP 工具类对应的修改很简单

$key = self::base64UrlDecode($key);  //补上这一句

private static function signature( $input,  $key,  $alg = 'HS256')
  {
    $alg_config=array(
      'HS256'=>'sha256'
    );
    //加上这句话,表示秘钥需要先进行base64解密
    $key = self::base64UrlDecode($key);
    return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
  }

条件一样:

结果为

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbl9uYW1lIiwiY3JlYXRlZCI6MTYyNDc2NDk2MzYzMiwiZXhwIjoxNjI0ODUxMzYzfQ.Ennv1377qe4DTh-KiQcIwV3Kql20re9VZoHuX451Huc

array(3) {
  ["sub"]=>
  string(10) "admin_name"
  ["created"]=>
  int(1624764963632)
  ["exp"]=>
  int(1624851363)
}

 网站校验通过。同时与java一致。

同时PHP端的工具类也有部分需要注意事项:

base64UrlDecode、base64UrlEncode 为了与java一致,涉及到特殊字符转化所以做了特殊处理,同时文件的编码格式依然需要注意为UTF-8

下面开始JS端的代码


<!-- 引入三个js文件 -->
<script src="http://code.jquery.com/jquery-1.8.3.min.js"></script>
<script src="http://cdn.bootcss.com/crypto-js/3.1.9/crypto-js.js"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/jsrsasign/8.0.20/jsrsasign-all-min.js"></script>


<!-- 逻辑代码 -->

<script>

//和普通base64加密不一样
function base64UrlEncode(str) {
   var encodedSource = CryptoJS.enc.Base64.stringify(str);
   var reg = new RegExp('/', 'g');
   encodedSource = encodedSource.replace(/=+$/,'').replace(/\+/g,'-').replace(reg,'_');
   return encodedSource;
}

let header = JSON.stringify({
	"typ": "JWT",
	"alg": "HS256"
})

let payload =JSON.stringify({
  "sub": "admin_name",
  "created": 1624764963632,
  "exp": 1624851363
});

let secretSalt = "admin";

let before_sign = base64UrlEncode(CryptoJS.enc.Utf8.parse(header)) + '.' + base64UrlEncode(CryptoJS.enc.Utf8.parse(payload));

//secretSalt = base64UrlEncode(secretSalt);

let  signature =CryptoJS.HmacSHA256(before_sign, secretSalt);
 signature = base64UrlEncode(signature);
 
let final_sign = before_sign + '.' + signature;
console.log(final_sign);


</script>

结果为:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbl9uYW1lIiwiY3JlYXRlZCI6MTYyNDc2NDk2MzYzMiwiZXhwIjoxNjI0ODUxMzYzfQ.18bHhkf3P8RsoZkNQsjU9DCOrvH5NkR9WZEI8YzJKYc

网站校验结果: 当前为非勾选秘钥加密选项

hu19930613
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java使用JWT生成Token进行接口鉴权实现方法
08-25
Java使用JWT生成Token进行接口鉴权实现方法 Java使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT...
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
踩坑 JWT 签名验证失败,javaphp
wolf23151269的博客
04-19 1643
JWT 签名验证失败,java 生成 php解 //java 出错误版 JwtBuilder jwtBuilder = Jwts.builder(); String token = jwtBuilder .claim("access_key","6uVG1xmibb3EX7XhUV3g6jflPidNhNon") .claim("header","MARKETING_MALL") .s...
jwt phpjava互通
dw5235的博客
08-17 364
jwt
如何 实现PHPjavajwt token互通
最新发布
fuchto的博客
05-30 420
其实最简单的问题就是 你的拓展包 用错了。使用这两个包即可实现 互相加解密。
php 完全前后端分离使用jwt,SpringSecurity+JWT实现前后端分离的使用详解
weixin_31440053的博客
04-04 417
创建一个配置类 SecurityConfig 继承 WebSecurityConfigurerAdapterpackage top.ryzeyang.demo.common.config;import org.springframework.context.annotation.Bean;import org.springframework.security.access.hierarchical...
jwt问题记录
生而为人我很抱歉
08-02 1843
jjwt使用中各种问题汇总。
jwt 0.9.0(二)jwt官网资料总结
weixin_30808253的博客
06-17 211
1、JWT描述 Jwt token由Header、Payload、Signature三部分组成,这三部分之间以小数点”.”连接,JWT token长这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1...
java-jwt.jar
08-27
实现Java web token JWT所需的jar包,java-jwt.3.3.0.jar,可用于登录验证
php JWT在web端中的使用方法教程
10-18
标题中的“php JWT在web端中的使用方法教程”是指如何在Web开发中使用PHP实现JWTJSON Web Token)的身份验证机制。JWT是一种轻量级的身份验证标准,它允许客户端通过一个令牌(token)来安全地向服务器声明自己的...
javaphp通用的加密算法
02-04
javaphp通用的加密算法,可以互相加密和解密
sparkjava-jwt:sparkjava-jwt-示例SparkJava-JWT集成
05-10
auth / me 得到使用者详细资料的角色预定义的用户角色: 行政经理开发人员角色管理的端点: 终点HTTP方法参数描述/ auth /角色邮政JSON正文必填字段:userName,角色向用户添加新角色/ auth /角色删除JSON正文必填...
php使用jsonwebtoken,PHP JsonWebToken的实现
weixin_42349126的博客
03-13 129
废话不多说,上码(thinkphp环境)namespace app\index\controller;class Jwt{/*** @var array jwt头部*/private static $header = [//生成signature的算法'alg' => 'HS256',//类型'typ' => 'JWT'];/*** @var array jwt 载荷*/...
php后台跨域token,JSON Web Token(JWT)目前最流行的跨域身份验证解决方案(PHP)类...
weixin_30753697的博客
03-18 1096
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案,下面我自己封装了一个PHPJwt类,直接复制即可使用,无需composer安装包;常规的身份验证流程为:该方案的最大的短板在于如果要实现多站用户登录状态共享则需要一个统一的session数据库库来保存会话数据实现共享,这样负载衡下的每个服务器才可以正确的验证用户身份。如果实现了session共享依然有单点风险,sessi...
跨系统如何保持Session存活和Token共享问题
热门推荐
纸上得来终觉浅,绝知此事要躬行
07-28 1万+
WMS系统对监管仓进行访问(监管仓内嵌于WMS系统),但是需要登录监管仓系统才能看到引入WMS系统的界面,否则看不了监管仓。这里涉及到一个监管仓访问超时的问题:如果用户一直在WMS上操作,而对监管仓不闻不问,那么一般在30minutes 之后,再次点击监管仓页面就会发现打不开了;同理,如果用户一直停在监管仓操作,那么30minutes之后,回来再次访问WMS时session已超时。
laravel jwt同一个token在不同系统中验证
weixin_39651391的博客
02-25 933
laravel jwt token跨平台验证,用户中心
PHP实现JWT鉴权Token
程序猿的世界
03-15 4174
&lt;?php /** * PHP实现jwt */ class Jwt { //头部 private static $header=array( 'alg'=&gt;'HS256', //生成signature的算法 'typ'=&gt;'JWT' //类型 ); //使用HMAC生成信息摘要时所使用的密钥 ...
jwt最高java版本
03-08
目前,Java的最高版本是Java 17。然而,Java本身并没有提供JWTJSON Web Token)的官方实现。但是,你可以使用第三方库来实现JWT功能。以下是一些常用的Java JWT库: 1. jjwtJava JWT):这是一个简单易用的Java库,用于创建和验证JWT。它支持Java 8及更高版本。 2. Nimbus-JOSE-JWT:这是一个功能强大的Java库,提供了完整的JWT支持,包括创建、解析和验证JWT。它支持Java 7及更高版本。 3. Auth0 Java JWT:这是Auth0开发的Java库,用于处理JWT。它提供了创建、解析和验证JWT的功能,并支持Java 6及更高版本。 请注意,以上列出的库可能会有更新版本,建议根据你的具体需求和项目要求选择合适的版本和库。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值