JAVA使用JWT生成token

已于 2023-10-24 09:50:01 修改
阅读量1.2k 收藏 7
点赞数 1
文章标签: java 1024程序员节
于 2023-10-23 16:28:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ningmengbaby/article/details/133991141
版权

定义

JWT(JSON Web Token)简而言之,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任。一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。

验证流程

使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名和密码请求登录
  2. 服务端收到请求,去验证用户名和密码
  3. 验证成功后,服务端会签发一个Token,再把这个Token发送给客户端
  4. 客户端收到Token以后可以把它存储起来,比如放到Cookie里或者Local Storage里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的Token,如果验证成功,就向客户端返回请求的数据

组成部分

JWT 标准的 Token 由三个部分组成:header.payload.signature:

header(头部)
payload(数据)
signature(签名)

Header

头部数据,里面包含了使用的算法。

声明类型,这里是jwt
声明加密的算法 通常直接使用 HS256

{
  "alg": "HS256",
  "typ": "JWT"
}

在base64url编码之后变成

eyJhbGciOiJIUzI1NiJ9

playload

载荷是存放有效信息的地方。
iss: Issuer,发行者
sub: Subject,主题
aud: Audience,观众
exp: Expiration time 过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

可以自定义字段, 一个是 id ,还有一个是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "id": "aaa",
 "admin": true
}

使用 base64url 编码以后就变成了这个样子:

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

signature

一个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)

secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密。

const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
// 这里的 HMACSHA256() 就是我们在第一部分定义的加密算法。
HS256(encodedString, 'secret');

处理完像这样

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成并且要发送给客户端的 Token

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客户端收到这个 Token 以后把它存储下来,下回向服务端发送请求的时候就带着这个 Token。服务端收到这个 Token ,然后进行验证,通过以后就会返回给客户端想要的资源。

代码如下

相关依赖

	<dependency>
		<groupId>com.auth0</groupId>
		<artifactId>java-jwt</artifactId>
		<version>3.4.0</version>
	</dependency>
token生成和验证
public class TokenUtil {
    /**
     * token过期时间
     */
    private static final long EXPIRE_TIME = 30 * 60 * 1000;
    /**
     * token秘钥
     */
    private static final String SECRET = "demo_secret";


    /**
     * 生成签名,30分钟过期
     * @param username 用户名
     * @param loginTime 登录时间
     * @return 生成的token
     */
    public static String sign(String username, String loginTime) {
        try {
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            // 私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HS256");
            // 返回token字符串
            return JWT.create()
                    .withHeader(header)
                    .withClaim("loginName", username)
                    .withClaim("loginTime", loginTime)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    /**
     * 检验token是否正确
     * @param token 需要校验的token
     * @return 校验是否成功
     */
    public static boolean verify(String token){
        try {
            //设置签名的加密算法:HMAC256
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception e){
            return false;
        }
    }
}
登录
/**
     * 登录
     * @param loginVo 登录类
     * @return 返回类
     */
    @Override
    public R login(LoginVo loginVo) {
        User user = new User();
        user.setUserName(loginVo.getUserName());
        user.setPassword(loginVo.getPassword());
        List<User> users = userService.queryByUser(user);
        if(users.isEmpty()){
            return R.fail();
        }else{
            if(loginVo.getUserName() != null && loginVo.getLoginTime() != null) {
                String token = TokenUtil.sign(loginVo.getUserName(), loginVo.getLoginTime());
                loginVo.setToken(token);
                //断言token不为空,并以用户名作为key,存入redis(看需求是否要放到redis)
                assert token != null;
                redisTemplate.opsForValue().set(loginVo.getUserName(),token);
                return R.ok(loginVo);
            }else{
                return R.fail();
            }
        }
    }
添加拦截器类
@Component
public class TokenInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            return true;
        }

        response.setCharacterEncoding("utf-8");
        // header里面的字段名取决于前端放置的字段名
        String token = request.getHeader("Authorization");
        if (token != null) {
            boolean result = TokenUtil.verify(token);
            if (result) {
                System.out.println("通过拦截器");
                return true;
            }
        }
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = null;
        try {
            JSONObject json = new JSONObject();
            json.put("success", "false");
            json.put("msg", "认证失败,未通过拦截器");
            json.put("code", "500");
            response.getWriter().append(json.toJSONString());
            System.out.println("认证失败,未通过拦截器");
        } catch (Exception e) {
            e.printStackTrace();
            response.sendError(500);
            return false;
        }
        return false;

    }
}
添加配置拦截器的类

@Component
public class IntercepterConfig implements WebMvcConfigurer {

    private TokenInterceptor tokenInterceptor;

    //构造方法
    public IntercepterConfig(TokenInterceptor tokenInterceptor){
        this.tokenInterceptor = tokenInterceptor;
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry){
        List<String> excludePath = new ArrayList<>();
        //登录
        excludePath.add("/login/acount");
        registry.addInterceptor(tokenInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns(excludePath);
        //除了登陆接口其他所有接口都需要token验证
        WebMvcConfigurer.super.addInterceptors(registry);

    }

}

参考博客:

https://www.cnblogs.com/yuanchangliang/p/16373162.html

ningmengbaby
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Java实现Token登录验证(基于JWTtoken认证实现)
javaeEEse的博客
02-28 2万+
文章目录一、JWT是什么?二、使用步骤1.项目结构2.相关依赖3.数据库3.相关代码三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中
关于token使用jwt生成的util,加测试,
02-20
单点登录使用到的jwt使用公钥+私钥+salt,可以对信息进行base64编码, 随后解密,必须确定公钥+salt,调用方法,返回map,从token中获取到信息!!
Java JWT详解与实战应用
励志成为一名优秀的全能型软件开发工程师。
01-30 327
Java JWT是一种基于JSON的开放标准(RFC 7519),用于在网络环境中安全地传输信息。头部(Header)、有效载荷(Payload)和签名头部包含了令牌的类型和加密算法等信息;有效载荷包含了实际需要传递的数据,例如用户ID、过期时间等;签名则是对头部和有效载荷进行加密处理的结果,用于验证令牌的真实性和完整性。
Java简单快速入门JWTtoken生成与验证)
greatming666的博客
09-08 6121
java jwt简单了解并快速上手
Java使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT 生成Token及验证
01-22
JWT生成token及验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用
jwt生成token
m0_59806423的博客
04-03 1375
http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。
java jwt生成token并在网关设置全局过滤器进行token的校验并在给请求头设置参数及在微服务中解析参数
jjw_zyfx的博客
07-02 1919
java jwt生成token并在网关设置全局过滤器进行token的校验
java 实现JWT 验证token
weixin_42596246的博客
12-28 851
使用 Java 实现 JWT 验证 token,你需要以下步骤: 安装必要的依赖。JWT 通常使用第三方库来实现,例如 jjwt。你可以在项目中使用 Maven 或 Gradle 来安装这些依赖。 获取 token。在你的应用程序中,你需要从请求中获取 token。通常情况下,这个 token 会放在请求头中,例如 Authorization 头。 解码 token使用 JWT 库中的方...
jwt生成token与解析token
翎墨袅
11-06 4001
jwt token
jwttoken生成和解析
花自飘零水自流
07-18 1249
【代码】jwttoken生成和解析。
JWT 生成Token实战验证.pdf
10-22
丿wT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。丿T作为一个开放的标准(RFC7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁( compact):可以通过URL,POST参数或者在 Http header发送,因为数据量小,传输速度也很快自包含(Sel|f- contained)负载中包含了所有用户所需要的信息,避免了多次查询数据库,此文档为实战
JWT 生成Token实战验证
10-23
JWT 生成Token实战验证
TokenGenerator_java:生成令牌的代码
05-02
Token Generator 使用SDK访问好视通云通信平台服务需要使用Token,该项目提供生成TokenJava语言代码。 关于Token鉴权的具体细节,参考 使用方式 你应该在服务器程序中使用对应的代码生成Token,将Token下发给客户端登录好视通云通信平台。 使用示列代码: FspToken tokenBuilder = new FspToken(); tokenBuilder.setAppId(APP_ID); tokenBuilder.setSecretKey(APP_SECRETKEY); tokenBuilder.setGroupId(groupId); tokenBuilder.setUserId(userId); String tokenBuilder = tokenBuilder.build() 欢迎提交你的token生成代码 如果您对现有代码有任何改进建议,
java后台获取小程序用户信息和生成自定义token,并使用filter过滤header的token源码
08-12
java后台获取小程序用户信息和生成自定义token,并使用filter过滤header的token源码.
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。,需要的朋友可以参考下
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 319
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1434
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 594
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
java如何使用jwt生成token
08-18
Java中,可以使用com.auth0库来实现JWT生成和验证。首先,你需要在你的项目中添加该库的依赖: ```xml <!--JWT--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> ``` 接下来,你可以使用以下代码创建一个JWTtoken: ```java String token = JWTUtils.createToken(1L); ``` 请注意,在上面的例子中,我将token的过期时间设置为10秒。 接下来,如果你想验证token并获取其中的信息,你可以使用以下代码: ```java try { Map<String, Claim> stringClaimMap = JWTUtils.verifyToken(token); Long id = stringClaimMap.get("id").asLong(); System.err.println("用户id是:" + id); } catch (Exception e) { e.printStackTrace(); } ``` 上面的代码会尝试验证token,并从中获取id这个字段的值。如果token已经过期,会抛出TokenExpiredException异常。 为了处理token过期的情况,你可以使用以下代码: ```java try { // 上面的token被我设置成了10秒过期 Thread.sleep(11000L); JWTUtils.verifyToken(token); // 这里定向捕获登录过期异常 } catch (TokenExpiredException e) { // 写过期逻辑 System.err.println("登录过期"); } catch (Exception e) { e.printStackTrace(); } ``` 上面的代码会捕获TokenExpiredException异常,你可以在此处编写处理过期逻辑。 最后,你可以使用以下代码来验证token和获取其中的信息: ```java public static Map<String, Claim> verifyToken(String token) throws Exception { JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build(); DecodedJWT jwt = verifier.verify(token); return jwt.getClaims(); } ``` 上面的代码会使用之前设置的密钥来验证token,并返回包含token中所有声明的Map。 这样,你就可以在Java使用JWT生成token了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [JWT介绍及用JAVA使用JWT生成token](https://blog.csdn.net/weixin_43085439/article/details/105838751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值