什么是JWT
Json Web Token(JWT) 是一个开放标准(RFC 7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证和信任.因为它是数字签名的,jwt可以使用加密算法(使用HMAC 算法) 或使用RSA或ECDSA 的公钥/私钥进行签名.
通俗的讲:
JWT就是通过json格式作为Web应用程序中的令牌,用于在各方之间安全地将信息以JSON的形式传输,在数据传输过程中.还可以对数据进行加密,签名等相关处理.
JWT的Java实现
1.导入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
2.代码实现
@Test
public void testCreateToken(){
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND,90);
JwtBuilder builder = Jwts.builder().setId("888").setSubject("zhangsan")
.setIssuedAt(new Date())//设置签发时间
.signWith(SignatureAlgorithm.HS256, "feisi")//使用HS256生成token,签名秘钥 则是feisi,唯一密钥的话可以保存在服务端。
.setExpiration(instance.getTime());//设置过期时间
System.out.println(builder.compact());
}
生成的token内容:
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJ6aGFuZ3NhbiIsImlhdCI6MTY5MTI0NTMzMSwiZXhwIjoxNjkxMjQ1NDIxfQ._aKLZld6rlf-Vt6xkdihFFJLpptbW4exvPBAttA2g4I
再次运行,会发现每次运行的结果是不一样的,因为我们的载荷中包含了时间。
3.根据token和签名解析数据
我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token应该解析出token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。
@Test
public void testProcessToke(){
String token ="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJ6aGFuZ3NhbiIsImlhdCI6MTY5MTI0NTMzMSwiZXhwIjoxNjkxMjQ1NDIxfQ._aKLZld6rlf-Vt6xkdihFFJLpptbW4exvPBAttA2g4I";
Claims claims =
Jwts.parser().setSigningKey("feisi").parseClaimsJws(token).getBody();
System.out.println("id:"+claims.getId());
System.out.println("subject:"+claims.getSubject());
System.out.println("IssuedAt:"+claims.getIssuedAt());
System.out.println("expiration:"+claims.getExpiration());
}
4.通过修改密钥和签名信息,会出现以下常见的异常信息:
- ClaimJwtException:在验证JWT声明失败后抛出
- ExpiredJwtException:表示JWT在过期后被接受,必须被拒绝
- MalformedJwtException:当JWT未正确构造并且应该被拒绝时抛出
- PrematureJwtException:表示JWT在被允许访问之前被接受,必须被拒绝
- SignatureException:表示计算签名或验证JWT的现有签名失败
- UnsupportedJwtException:在接收到与应用程序预期格式不匹配的特定格式/配置的JWT时抛出。例如,如果在应用程序需要加密签名的声明JWS时解析无符号明文JWT,则会抛出此异常
- JJWT使用了许多其他Exception类。它们都可以在JJWT源代码中的io.jsonwebtoken包中找到。