【Java系列】Hutool-JWT

最新推荐文章于 2024-12-25 20:45:49 发布
最新推荐文章于 2024-12-25 20:45:49 发布
阅读量4k 收藏 20
点赞数 31
分类专栏: Java 文章标签: java hutool JWT hutool-jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22097749/article/details/136378355
版权

温馨提示:本文 hutool 版本 大于 5.7.0

一、什么是 JWT

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 token 也可直接被用于认证,也可被加密。

二、JWT 长什么样?

JWT 是由三段信息构成的,将这三段信息文本用 . 链接在一起就构成了JWT 字符串。就像这样:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiIyWkRJS2hsR0NXYlhrNjdXZERvV1B3QmN3SnoiLCJleHAiOjE3MDkxOTg4NDYsIm5iZiI6MTcwOTE5NzA0MX0.UlqqAPZF1VUoRLgYO8VD4wKB81oEKS2Ipz1RDVec4nM

三、JWT 的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload,类似于飞机上承载的物品),第三部分是签证(signature)。

3.1 header

JWT 的头部承载两部分信息:

  • 声明类型,这里是 JWT
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的 JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行 base64 加密(该加密是可以对称解密的),构成了第一部分。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

3.2 playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用):

  • iss: JWT 签发者
  • sub: JWT 所面向的用户
  • aud: 接收 JWT 的一方
  • exp: JWT 的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该 JWT 都是不可用的
  • iat: JWT 的签发时间
  • jti: JWT 的唯一身份标识,主要用来作为一次性 token,从而回避重放攻击。

公共的声明:
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密

私有的声明:
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 base64 是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个 payload

{
  "iss": "ak",
  "exp": "Thu Feb 29 19:41:25 CST 2024",
  "nbf": "Thu Feb 29 19:11:20 CST 2024"
}

然后将其进行 base64 加密,得到 JWT 的第二部分。

eyJpc3MiOiIyWkRJS2hsR0NXYlhrNjdXZERvV1B3QmN3SnoiLCJleHAiOjE3MDkxOTg4NDYsIm5iZiI6MTcwOTE5NzA0MX0

3.3 signature

JWT 的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64 后的)
  • payload (base64 后的)
  • secret

这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 JWT 的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // UlqqAPZF1VUoRLgYO8VD4wKB81oEKS2Ipz1RDVec4nM

将这三部分用 . 连接成一个完整的字符串,构成了最终的 JWT:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiIyWkRJS2hsR0NXYlhrNjdXZERvV1B3QmN3SnoiLCJleHAiOjE3MDkxOTg4NDYsIm5iZiI6MTcwOTE5NzA0MX0.UlqqAPZF1VUoRLgYO8VD4wKB81oEKS2Ipz1RDVec4nM

注意:secret 是保存在服务器端的,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个 secret, 那就意味着客户端是可以自我签发 JWT 了。

四、如何应用

一般是在请求头里加入 Authorization,并加上 Bearer 标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

服务端会验证 token,如果验证通过就会返回相应的资源。

五、Hutool-JWT 使用

5.1 JWT 生成

1. HS265(HmacSHA256) 算法

public class JWTTest {

    static String ak = "2ZDIKhlGCWbXk67WdDoWPwBcwJz"; // 填写您的ak
    static String sk = "xxxxxx"; // 填写您的sk

    public static void main(String[] args) {
        String token = sign(ak, sk);
        System.out.println(token); // 打印生成的API_TOKEN
    }
    static String sign(String ak,String sk) {
        try {
            Date expiredAt = new Date(System.currentTimeMillis() + 1800*1000);
            Date notBefore = new Date(System.currentTimeMillis() - 5*1000);
            byte[] key = sk.getBytes();
            return JWT.create()
                    .setKey(key)
                    .setPayload("iss", ak)
                    .setPayload("exp", expiredAt)
                    .setPayload("nbf", notBefore)
                    .sign();
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

}

输出内容为:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiIyWkRJS2hsR0NXYlhrNjdXZERvV1B3QmN3SnoiLCJleHAiOjE3MDkyMDY4ODUsIm5iZiI6MTcwOTIwNTA4MH0.AmQxbpLRuMxoR3bM9Lbvavs6CBxCNt5x3GHqQo2SLAc

2. 不签名 JWT

// eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.
String token = JWT.create()
	.setPayload("sub", "1234567890")
	.setPayload("name", "looly")
	.setPayload("admin", true)
	.setSigner(JWTSignerUtil.none())
	.sign();

5.2 JWT 解析

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9." +
	"eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9." +
	"536690902d931d857d2f47d337ec81048ee09a8e71866bcc8404edbbcbf4cc40";

JWT jwt = JWT.of(rightToken);

// JWT
jwt.getHeader(JWTHeader.TYPE);
// HS256
jwt.getHeader(JWTHeader.ALGORITHM);

// 1234567890
jwt.getPayload("sub");
// looly
jwt.getPayload("name");
// true
jwt.getPayload("admin");

5.3 JWT 验证

1. 验证签名

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9." +
	"eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9." +
	"536690902d931d857d2f47d337ec81048ee09a8e71866bcc8404edbbcbf4cc40";

// 密钥
byte[] key = "1234567890".getBytes();

// 默认验证HS265的算法
JWT.of(rightToken).setKey(key).verify()

2. 验证 Token

使用方法如下:

String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJNb0xpIiwiZXhwIjoxNjI0OTU4MDk0NTI4LCJpYXQiOjE2MjQ5NTgwMzQ1MjAsInVzZXIiOiJ1c2VyIn0.L0uB38p9sZrivbmP0VlDe--j_11YUXTu3TfHhfQhRKc";

byte[] key = "1234567890".getBytes();
boolean validate = JWT.of(token).setKey(key).validate(0);

3. 验证算法

算法的验证包括两个方面

  1. 验证 header 中算法 ID 和提供的算法 ID 是否一致
  2. 调用 JWT.verify 验证 token 是否正确
// 创建JWT Token
final String token = JWT.create()
	.setNotBefore(DateUtil.date())
	.setKey("123456".getBytes())
	.sign();

// 验证算法
JWTValidator.of(token).validateAlgorithm(JWTSignerUtil.hs256("123456".getBytes()));

4. 验证时间

对于时间类载荷,有单独的验证方法,主要包括:

  • 生效时间(JWTPayload#NOT_BEFORE)不能晚于当前时间
  • 失效时间(JWTPayload#EXPIRES_AT)不能早于当前时间
  • 签发时间(JWTPayload#ISSUED_AT)不能晚于当前时间

一般时间线是:

(签发时间)---------(生效时间)---------(当前时间)---------(失效时间)

签发时间和生效时间一般没有前后要求,都早于当前时间即可。

final String token = JWT.create()
	// 设置签发时间
	.setIssuedAt(DateUtil.date())
	.setKey("123456".getBytes())
	.sign();

// 由于只定义了签发时间,因此只检查签发时间
JWTValidator.of(token).validateDate(DateUtil.date());

六、小结

使用 JWT 的优势:

  • 因为 json 的通用性,所以 JWT 是可以进行跨语言支持的,像 JAVA, JavaScript, NodeJS, Go 等很多语言都可以使用。
  • 因为有了 payload 部分,所以 JWT 可以在自身存储一些其他业务逻辑所必要的非敏感信息。
  • 便于传输,JWT 的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展。
07-根据Hutool工具的JWT实现单点登录功能
NikoChina的博客
06-10 1410
*** 盐值很重要,不能泄漏,且每个项目都应该不一样,可以放到配置文件中*//**** 使用JWT生成Token* @param id 需要再token中保存的用户主键id* @param mobile 需要再token中保存的用户手机号* @return 生成token*/// 当前时间// 设置有效期// 设置token中的Payload 载荷信息// 签发时间// 过期时间// 生效时间// 保存的内容// 生成token 使用key作为salt。
java jwt使用,springboot 整合java-jwtjava jwt工具类
蕃薯耀的博客
12-03 740
java jwt使用,springboot 整合java-jwtjava jwt工具类 ================================ ©Copyright 蕃薯耀2020-12-03 https://www.cnblogs.com/fanshuyao/ 一、引入java-jwt的maven依赖 <dependency> <groupId>...
HuTool工具箱验证JWT生成Token失败
pleaseprintf的博客
03-30 966
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
手动校验JWT
小林子的博客
01-11 522
手动校验JWT
Spring Boot对访问密钥加解密——HMAC-SHA256
最新发布
print_helloword的博客
12-25 1482
客户端准备;拼出(通常包含 method、path、timestamp、bodyHash 等);在 HTTP 请求头里带上signaturetimestamp;用 JSON 作为请求体时,别忘了和服务端在bodyHash算法上保持一致。服务端通过找到对应的;按同样规则构造;计算 HMAC-SHA256 并和客户端的signature对比;一致则通过,不一致则 401/403;可加时间戳nonce限流等加强安全性。优点不需要公钥/私钥,也不需要。
使用Hutool包下的JWTUtil工具类来生成和解析JWT令牌
2301_78755150的博客
07-28 1757
上面的jwt.setkey(key.getBytes()).verify()方法通过传入令牌的签名秘钥并对给定的令牌的签名秘钥进行一致性校验。最近在做jwt令牌校验的时候发现了hutool包也对jwt做了相应的工具类 ,昨天摸索了一下午也是简单使用了一下。在生成JWt令牌时这里我没有指定签名算法,默认使用的HS256签名算法。
使用 hutool包的jwt
laohu4521的博客
12-09 3438
jwt
hutool工具生成jwt使用示例
XiaYeTende的博客
07-08 418
需求说明 指定签名算法和密钥 指定payload 指定颁发时间和过期时间 定义密钥 byte[] key = "book".getBytes(StandardCharsets.UTF_8); 生成token DateTime signTime = DateUtil.date(); String token = JWT.create() .setIssuedAt(signTime) .setExpiresAt(DateTim
利用hutool生成和验证JWT
KobeSacre的博客
06-13 2967
【代码】利用hutool生成和验证JWT
Spring Boot 使用 Hutool-jwt 实现 token 验证
訾博(ZiBo)的博客
07-03 4287
在类中声明一个静态成员变量,作为默认对象的实例,并将其初始化为默认值。其他代码可以直接访问该静态成员变量来获取默认对象。在类中添加一个静态工厂方法,该方法返回默认对象的实例。静态工厂方法可以在内部创建并返回类的实例,根据需要设置默认的属性和状态。将默认对象的构造函数设置为公共的,并在其中设置默认的属性和状态。其他代码可以直接使用该构造函数来创建默认的对象实例。
java-jwt
ytrdgfdtr的专栏
03-03 300
1. jwt 每次解析的对象 import cn.hutool.core.util.IdUtil; import lombok.Data; /** * JwtPayLoad部分 * @date 2020/3/12 17:41 */ @Data public class JwtPayLoad { /** * 用户id */ private Long userId; /** * 账号 */ private String a
hutool官方文档
09-21
hutool工具类官方文档,集成该工具类的项目可以参考该文档,进行使用。
hutool工具类库介绍与学习
qq_39367410的博客
10-10 584
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。hutool-extra 扩展模块,对第三方封装(模板引擎、邮件、Servlet、二维码、Emoji、FTP、分词等)Hutool的目标是使用一个工具方法代替一段复杂代码,从而最大限度的避免“复制粘贴”代码的问题,彻底改变我们写代码的方式。hutool-socket 基于Java的NIO和AIO的Socket封装。
java jjwt-api使用,java jwt使用,java jwt 工具类
xiaochengxuyuan1的博客
01-08 2567
一、引入jjwt-api依赖 <properties> <!-- 构建时编码 --> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <!-- 输出时编码 --> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncodin
Hutool JWTUtil 简介
李长渊的博客
08-23 852
Hutool JWTUtil 简介
使用hutool工具类jwt生成token
weixin_45724648的博客
08-08 3851
使用hutool工具类jwt生成token
hutool工具使用JWT.verify进行token验证,解析token,JWTUtil.parseToken
热门推荐
weixin_44728473的博客
06-30 2万+
hutool工具使用JWT.verify进行token验证,解析token,JWTUtil.parseToken
SpringBoot中使用JWT令牌完成登录校验(hutool工具包)
m0_73043906的博客
05-10 1494
JWT(JSON Web Token)是一种基于JSON的加密令牌,可以用作于前端向后端发起请求时的身份凭证。(1)头部。指明了JWT使用的签名算法(例如HS256)和令牌类型(JWT),经过base64编码后形成令牌第一部分。(2)负载。"id" : 1(3)签名。该部分保证了JWT令牌的安全性。这里我们需要自定义一个密钥(简单来说就是一个自定义的字符串)。由header和payload经过base64编码后加上自定义密钥使用上文指定的HS256算法进行加密形成令牌的第三部分。
JAVA面试题分享五百二十四:使用 Spring Boot + Hutool 实现 JWT Token 生成及拦截功能
之乎者也·的博客
02-17 1115
这一系列课程将包含Spring Boot 许多关键的技术和工具,包括 Mybatis-Plus、Redis、Mongodb、MinIO、Kafka、MySQL、消息队列(MQ)、OAuth2 等相关内容。使用 Spring Boot + Hutool 实现 JWT Token 生成及拦截功能在使用 Spring Boot 和 Hutool 实现 JWT Token 生成及拦截功能时,首先需要在项目中配置相关的依赖和属性。
hutool jwt
08-12
Hutool是一个Java工具库,而JWT是一用于认证和授权的标准化方法。Hutool中提供了对JWT的支持,可以方便地进行JWT的生成、解析和验证操作。 要在Hutool中使用JWT,你需要添加Hutool的依赖包到你的项目中。具体使用方法如下: 1. 添加Maven依赖(如果你使用Maven构建项目): ```xml <dependency> ***</dependency> ``` 2. 创建JWT对象并设置相关参数: ```java // 密钥 String secret = "your_secret_key"; // 创建JWT对象 Jwt jwt = JwtUtil.createJwt() .setAlgorithm(JwtAlgorithm.HS256) // 设置算法 .setSecret(secret) // 设置密钥 .setPayload("your_payload") // 设置载荷(可以是一个JSON字符串) .setExpiresAt(DateUtil.offsetMinute(new Date(), 30)); // 设置过期时间 // 生成JWT字符串 String jwtStr = jwt.generate(); ``` 3. 解析和验证JWT: ```java // 解析JWT字符串 Jwt jwt = JwtUtil.parseJwt(jwtStr); // 获取载荷信息 String payload = jwt.getPayload(); // 验证JWT是否有效 boolean isValid = jwt.validate(); ``` 这样,你就可以在Hutool中使用JWT进行认证和授权操作了。希望能对你有所帮助!如果有更多问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hyatt1024

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值