介绍
JWT 全称:JSON Web Token
官网:https://jwt.io/
定义了一种简洁的、自包含的格式,用于在通信双方以 json 数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的
组成
第一部分:Header(头),记录令牌类型、签名算法等。例如:{“alg”:“HS256”,“type”:“JWT”}
第二部分:Payload(有效载荷),携带一些自定义信息、默认信息。例如:{“id”:“1”,“username”:“Tom”}
第三部分:Signature(签名),防止 Token 被篡改、确保安全性。将 header、payload,并加入指定密钥,通过指定签名算法计算而来
Base64:是一种基于64个可打印字符(A-Z a-z 0-9 + /)来表示二进制数据的编码方式
场景
用于登录认证
1)登陆成功后,生成令牌
2)后续每个请求,都要携带 JWT 令牌,系统在每次请求之前(在拦截器中实现),先校验令牌,通过后,再处理
生成 JWT 令牌
1)引入 JWT 依赖
Java 8 引入如下依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
高于 Java 8版本引入如下依赖
<dependency>
<groupId>javax.xml.bind</groupId>
<artifactId>jaxb-api</artifactId>
<version>2.3.1</version>
</dependency>
<dependency>
<groupId>org.glassfish.jaxb</groupId>
<artifactId>jaxb-runtime</artifactId>
<version>2.3.1</version>
</dependency>
2)创建 JWT 令牌
/**
* 生成 JWT
*/
@Test
void createJWT() {
Map<String, Object> claims = new HashMap<>();
claims.put("name","艾伦");
claims.put("age",18);
String jwtToken = Jwts.builder()
.signWith(SignatureAlgorithm.HS256, "allen") // 设置加密算法 和 签名密钥
.setClaims(claims) // 自定义内容(载荷)
.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) // 过期时间,自生成后一小时内有效
.compact();
System.out.println("jwtToken = " + jwtToken);
}
3)根据第三部分 解析 JWT
/**
* 解析 JWT
*/
@Test
void parseJWT() {
String jwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoi6Im-5LymIiwiZXhwIjoxNzEzMzc2MzE5LCJhZ2UiOjE4fQ.z6eGmGgJz9fju2duxrbopuBq1ugi_5103nIx-36IDSA";
Map<String, Object> map = Jwts.parser()
.setSigningKey("allen") // 设置签名密钥
.parseClaimsJws(jwtToken) // 解析 JWT
.getBody();
System.out.println("map = " + map);
}
第一部分和第二部分使用的 HS256 加密,这种加密是可以进行解密的,用对应的工具即可进行解密,而第三部分 采用的签名认证算法,在传输过程中无法进行解密,所以他是安全的
这里可以查看支持的加密算法
注意事项
- JWT 校验时使用的签名密钥,必须和生成 JWT 令牌时使用的密钥是配套的
- 如果 JWT 令牌解析校验时报错,则说明 JWT 令牌被篡改 或 失效了,令牌非法
封装为工具类
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* JWT 工具类
*/
public class JWTUtils {
private static final String JWT_SECRET = "allen";
private static final long EXPIRATION_TIME = 3600000;
/**
* 生成 JWT
*/
public static String createJWT(Map<String,Object> claims) {
return Jwts.builder()
.signWith(SignatureAlgorithm.HS256, JWT_SECRET) // 设置加密算法 和 签名密钥
.setClaims(claims) // 自定义内容(载荷)
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) // 过期时间,自生成后一小时内有效
.compact();
}
/**
* 解析 JWT
*/
public static Map<String, Object> parseJWT(String jwtToken) {
return Jwts.parser()
.setSigningKey(JWT_SECRET) // 设置签名密钥
.parseClaimsJws(jwtToken) // 解析 JWT
.getBody();
}
}