JWT&JJWT

最新推荐文章于 2024-03-29 17:14:40 发布
最新推荐文章于 2024-03-29 17:14:40 发布
阅读量541 收藏 1
点赞数
分类专栏: Java 文章标签: jwt
原文链接:https://github.com/jwtk/jjwt#jws-key-create-secret
版权

本文使用的JWT是比较新的,不是引入单个坐标那个,而且本文的用法有BUG,总是提示token过期,然后过期时间根本没到。我的解决办法是换成较老版本的引入单个坐标的JWT

一、JWT(JSON Web Token)

JWT为一个字符串,共有三部分:头部 + 载荷 + 签名。

1.1 头部(Header)

存放基本信息,例如类型以及算法

{"typ":"JWT","alg":"HS256"}

进行base64编码

JTdCJTIydHlwJTIyJTNBJTIySldUJTIyJTJDJTIyYWxnJTIyJTNBJTIySFMyNTYlMjIlN0Q=

JDK中有BASE64Encoder和BASE64Decoder可用于编码与解码

1.2 载荷(payload)

存放有效信息。有效信息包含三种声明(Claims

Claims是JWT的主体,包含JWT创建者希望提供给JWT接收者的信息。

(1)标准中注册是声明(Standard Claims)
iss:jwt签发者
sub:jwt所面向的用户
and:接收jwt的一方
exp:jwt的过期时间
nbf:定义在什么时间之前,该jwt都是不可用的
iat:jwt的签发时间
jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
(2)公共的声明

就是想声明什么写什么,但是该部分可解密。

(3)私有的声明

提供者与消费者共同定义的声明,不建议存放敏感信息。

定义一个payload

{"sub":"1234567890", "name":"John Doe", "admin", true}

进行Base64编码

JTdCJTIyc3ViJTIyJTNBJTIyMTIzNDU2Nzg5MCUyMiUyQyUyMCUyMm5hbWUlMjIlM0ElMjJKb2huJTIwRG9lJTIyJTJDJTIwJTIyYWRtaW4lMjIlMkMlMjB0cnVlJTdE

1.3 签证(signature)

存放签证信息。签证信息有三部分组成:

header(base64后的)+payload(base64后的)+secret

注意:secret泄露后token将没有意义

二、JJWT(Java JSON Web Token)

(1) 快速开始实例:

导入包:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.1</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.1</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
    <version>0.11.1</version>
    <scope>runtime</scope>
</dependency>

Test

@Test
public void createJwt() {
    Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    //key没重启一次服务器都会变得不同,jws就会不可信,所以这里用同一个key
    String jws = Jwts.builder()
        .setSubject("Joe")
        .signWith(key).compact();

    System.out.println(jws);
    Claims body = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jws).getBody();
    System.out.println(body.toString());
    assert body.getSubject().equals("Joe");
}

1.1 设置Header

不需要设置alg或zip标头参数,因为jjwt会根据前面算法

(1)setHeaderParam方法设置
String jws = Jwts.builder()
    .setHeaderParam("kid", "myKeyId")
    // ... etc ...
(2)header方法设置
Header header = Jwts.header();

populate(header); //implement me

String jws = Jwts.builder()
    .setHeader(header)
    // ... etc ...
(3)header Map设置header
Map<String,Object> header = getMyHeaderMap(); //implement me

String jws = Jwts.builder()
    .setHeader(header)
    // ... etc ...

1.2 设置载荷payload

(1)标准中注册是声明(建议但不强制使用)(Standard Claims)
setIssuer: sets the iss (Issuer) Claim
setSubject: sets the sub (Subject) Claim
setAudience: sets the aud (Audience) Claim
setExpiration: sets the exp (Expiration Time) Claim
setNotBefore: sets the nbf (Not Before) Claim
setIssuedAt: sets the iat (Issued At) Claim
setId: sets the jti (JWT ID) Claim

例子:

String jws = Jwts.builder()
    .setIssuer("me")
    .setSubject("Bob")
    .setAudience("you")
    .setExpiration(expiration) //a java.util.Date
    .setNotBefore(notBefore) //a java.util.Date 
    .setIssuedAt(new Date()) // for example, now
    .setId(UUID.randomUUID()) //just an example id
    /// ... etc ...
(2)Custom Claims

举个栗子:

String jws = Jwts.builder()
    .claim("hello", "world")
    // ... etc ...
(3)一次性设置claim
Claims claims = Jwts.claims();

populate(claims); //implement me

String jws = Jwts.builder()
    .setClaims(claims)
    // ... etc ...
(4)Map设置claim
Map<String,Object> claims = getMyClaimsMap(); //implement me

String jws = Jwts.builder()
    .setClaims(claims)
    
    // ... etc ...

1.3 设置key

Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
String jws = Jwts.builder()
   // ... etc ...
   .signWith(key) // <---
   .compact();
(1)将生成的key转换成字符串
SecretKey secretKey = Keys.secretKeyFor(SignatureAlgorithm.HS256);
String secretKeyString Encoders.BASE64.encode(secretKey.getEncoded())
不建议将secreKeystring直接存入数据库,Base64可被解码,不够安全
(2)将String等转换成Key

  • byte[]

    SecretKey key = Keys.hmacShaKeyFor(encodedKeyBytes);

  • Base64-encoded string:

    SecretKey key = Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretString));

  • Base64URL-encoded string:

    SecretKey key = Keys.hmacShaKeyFor(Decoders.BASE64URL.decode(secretString));

  • 未编码字符串

    SecretKey key = Keys.hmacShaKeyFor(secretString.getBytes(StandardCharsets.UTF_8));

1.4读取JWT

Jws<Claims> jws;

try {
    jws = Jwts.parserBuilder()  // (1)
    .setSigningKey(key)         // (2)
    .build()                    // (3)
    .parseClaimsJws(jwsString); // (4)
    
    // JWT可信
     
catch (JwtException ex) {       // (5)
    
    // JWT不可信
}

三、JWTUtil

package util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.io.Decoders;
import io.jsonwebtoken.io.Encoders;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;

import javax.crypto.SecretKey;
import java.util.Calendar;
import java.util.Date;
import java.util.Optional;
import java.util.concurrent.TimeUnit;

public class JwtUtil {

    @Autowired
    private RedisTemplate redisTemplate;

    private static Long ttl;

    static {
        ttl = 1000 * 60 * 60 * 24L;//一天
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @param roles
     * @return
     */
    public String createJWS(String id, String subject, String roles) {
        SecretKey secretKey = null;
        String secretKeyString = (String) redisTemplate.opsForValue().get("secretKey");

        if (secretKeyString == null) {
            secretKey = Keys.secretKeyFor(SignatureAlgorithm.HS256);
            String encode = parseSecretKeyToBase64(secretKey);
            //建议要这么操作的话还需要在加密一遍,Base64并不安全
            redisTemplate.opsForValue().set("secretKey", encode, 1, TimeUnit.DAYS);
        } else {
            secretKey = parseBase64ToSecretKey(secretKeyString);
        }

        Long timeMillis = System.currentTimeMillis();
        Calendar calendar = Calendar.getInstance();
        calendar.setTimeInMillis(timeMillis);
        Date now = calendar.getTime();

        JwtBuilder builder = Jwts.builder()
                .setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(secretKey)
                .claim("roles", roles);
        Optional.ofNullable(ttl)
                .filter(t -> t > 0)
                .ifPresent(t -> {
                    calendar.setTimeInMillis(timeMillis + t);
                    Date afterTtlTime = calendar.getTime();
                    builder.setExpiration(afterTtlTime);
                });
        return builder.compact();
    }

    /**
     * 解析JWT
     *
     * @param jws
     * @return
     */
    public Claims parseJWT(String jws) {
        String secretKey = String.valueOf(redisTemplate.opsForValue().get("secretKey"));
        return Jwts.parserBuilder()
                .setSigningKey(secretKey)
                .build()
                .parseClaimsJws(jws)
                .getBody();
    }

    public String parseSecretKeyToBase64(SecretKey secretKey) {
        return Encoders.BASE64.encode(secretKey.getEncoded());
    }

    public SecretKey parseBase64ToSecretKey(String encode) {
        return Keys.hmacShaKeyFor(Decoders.BASE64.decode(encode));
    }

}
汤同学丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用JJWT库的Java JWT令牌教程
04-11
本文是有关如何使用JJWT库,密钥库,私钥/公钥来加密和解密JWT令牌的介绍。
jjwt-0.11.5 jackson-2.13.3
06-24
最新版本 jjwt-0.11.5 jackson-2.13.3
jjwt-0.11.2.tar.gz
04-22
jjwt-0.11.2.tar.gz,使用jjwt开源框架生成JWT
JWT 完整使用详解
qq_36318234的博客
07-25 1094
本文是以 1.0.0-rc 为基准的。结合大家提出的问题和我近期新的理解,写了一篇新文章,讲的比较深,大家可以去看看JWT 超详细分析。https://blog.csdn.net/qq_36318234/article/details/97247438 JWT全称JSON Web Tokens,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的...
JWTJJWT,别再傻傻分不清了!,Java面试题及解析
最新发布
m0_61549984的博客
03-29 261
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、Spring、Spring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
jwt 私钥_什么是 JSON Web Token(JWT
weixin_33648352的博客
01-03 240
什么是 JSON Web Token(JWT)?JSON Web Token (JWT) 作为一个开放的标准 (RFC 7519) 定义了一种简洁自包含的方法用于通信双方之间以 JSON 对象的形式安全的传递信息。因为有数字签名,所以这些通信的信息能够被校验和信任。JWT 可以使用秘钥(secret)进行签名 (使用 HMAC 算法) 或使用 RSA 或 ECDSA 算法的公钥/私钥对(publi...
还在直接用JWT做鉴权?JJWT真香
Java笔记虾
09-09 434
点击关注公众号,利用碎片时间学习jwt是什么?JWTs是JSON对象的编码表示。JSON对象由零或多个名称/值对组成,其中名称为字符串,值为任意JSON值。JWT有助于在clear(例如在...
JWT的学习和JJWT的使用
qq_47948345的博客
09-15 1203
jwt令牌的学习和在java中的整合应用
JJWT使用详解
热门推荐
qq_45332753的博客
02-17 2万+
JJWT使用详解 开始本文以前最好对JWT已经有一定的了解,这样会更方便您的阅读,本文仅仅对开源项目的使用文档进行汉化,更方便进行阅读和使用。 简介 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT) Maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId&gt
JWT的讲解以及JJWT的使用(另附JWT工具类)
枯木何日可逢春
09-03 8993
1. 什么是JWT JSON Web Token(JWT)是一个轻量级的认证规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其本质是一个token,是一种紧凑的URL安全方法,用于在网络通信的双方之间传递。 2. JWT的构成 一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名 2.1 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等 头部可以被表示成一个JSON对象 {"typ":"JWT","alg":"HS256"} 在
jjwt-0.11.2.zip
04-22
jjwt-0.11.2.zip,使用jjwt开源框架生成JWT
JJWTjjwt-0.11.5.tar.gz、jjwt-0.11.5.zip)
07-23
JJWT is a pure Java implementation based exclusively on the JWT, JWS, JWE, JWA, JWK, Octet JWK, JWK Thumbprint, and JWK Thumbprint URI RFC specifications and open source under the terms of the Apache ...
JWT加密解密工具使用示例
李昊轩的博客
03-01 2362
Maven 依赖 <!-- jjwt支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> ...
springboot base64_SpringBoot+JWT完成token验证
weixin_39521651的博客
11-07 323
什么是JWTJson Web Token(JWT):JSON网络令牌,是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准((RFC 7519)。JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式用于通信双方之间以 JSON 对象行使安全的传递信息。因为数字签名的存在,这些信息是可信的。广义上讲JWT是一个标准的名称;狭义上讲JWT指的就是用来传递的那个token字符串...
java中 jwt 的秘钥为什么要使用 base64格式存储 ,十六进制也可以存, 为什么不用十六进制存储秘钥
hjh15827475896的博客
06-28 490
上面的代码可以看到 secretKey 是得到一个 byte 数组,我们要把它变成可观看的数据, 直接就是 new String(byte[] ) 一下就可以了。明白了, 我们为什么要用 base64 或 16进制的数据来存储密钥, 现在来说一下, 为什么我们选用了 base64 而不是 16进制。譬如说GUID,通常是16个字节,用Hex表示就需要32个字节。二进制编码成文本的格式主要就两种:hex(十六进制)表示法和base64(可以认为就是一种64进制)我们把上面的 s 打印出来,
JWT解密Token报错解决
李家小二
04-24 2691
JWT SignatureException
JJWT三种算法的工具类实现
qq_39217714的博客
02-18 1448
JJWT三种签名算法的工具类实现
Spring Boot 中JWTJJWT的相关知识
qzs04923的博客
11-07 391
传统的Cookie、Session 验证方式存在跨域和扩展性的限制,Token验证方式成立一个很好的代替方式,而JWT(JSON Web Token)是一个不错的选择。总结:Spring Boot 和 JJWT 的集成使得在 Java 应用程序中使用 JWT 变得非常简单,不仅可以轻松创建和验证 JWT,还提供了多种加密和解密算法供选择。头部(Header):头部通常由两部分组成,一个是令牌的类型,即JWT,另一个是使用的签名算法,如HMAC、SHA256等。可以根据需要选择适合的算法来创建和验证JWT
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
java-jwtjjwt
07-29
Java-JWTJJWT 都是用于处理 JSON Web Tokens (JWT) 的 Java 库。 Java-JWT 是一个开源的 Java 库,它提供了一套简单易用的 API,用于生成、解析和验证 JWT。它遵循 JWT 规范,并提供了一些便捷的方法来处理 JWT 的创建和验证过程。Java-JWT 支持对 JWT 进行签名和加密,并提供了多种算法和密钥管理选项。你可以在 Maven 中央仓库中找到 Java-JWT 的最新版本。 JJWT (Java JSON Web Token) 是一个基于 Java-JWT 的库,它提供了更加简化的 API,用于生成、解析和验证 JWTJJWT 在 Java-JWT 的基础上进行了封装和扩展,使得使用 JWT 变得更加方便。JJWT 提供了一些额外的功能,如支持链式编程、自定义声明、过期时间检查等。你可以通过 Maven 或 Gradle 引入 JJWT。 总结来说,Java-JWT 是一个功能丰富的 JWT 处理库,而JJWT 则是对 Java-JWT 进行封装和扩展,提供了更简化的 API 和额外的功能。你可以根据自己的需求选择使用其中之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值