Java使用JWT开源库

已于 2022-02-24 09:43:29 修改
阅读量3.5k 收藏 11
点赞数 3
分类专栏: 签名&加解密 # Spring Security 文章标签: JWT Token
于 2022-02-12 14:51:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42402854/article/details/122896137
版权

一、JWT简介

JWT官方文档:

1、什么是JWT

图片来自官方文档,解释的很清楚了。
在这里插入图片描述

通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个 Json字符串中,然后进行编码后得到一个JWT token,并且这个 JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为 Json对象传输。

2、JWT组成部分

在其紧凑的形式中,JWT由以点 ( .) 分隔的三部分组成,它们是:

  • 标头(Header)、
  • 有效载荷(Payload)
  • 签名(Signature)。

在输出时,会将 JWT的 各部分进行 Base64编码后用点 ( .) 进行连接形成最终传输的字符串。

JWTString=
Base64(Header).
Base64(Payload).
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

官方首页有查看 JWT Token字符串的解析内容。

2.1 Header

JWT标头是一个描述 JWT元数据的 JSON对象。
通常由两部分组成:令牌的类型,即 JWT,以及正在使用的签名算法,例如 HMAC SHA256 或 RSA。

  • alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);
  • typ属性表示令牌的类型,JWT令牌统一写为JWT。
    最后,使用 Base64 URL算法将上述 JSON对象转换为字符串保存,即形成 JWT 的第一部分。

比如:

{
  "alg": "HS256",
  "typ": "JWT"
}

2.2 Payload

有效载荷部分,是 JWT的主体内容部分,也是一个 JSON对象,包含需要传递的数据。
JWT指定七个默认字段供选择:

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

这些预定义的字段并不要求强制使用。除以上默认字段外,我们还可以自定义私有字段,一般会把包含用户信息的数据放到 payload中。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

最后,对有效负载进行 Base64Url编码以形成 JSON Web 令牌的第二部分。

请注意:对于已签名的令牌,此信息虽然受到保护以防篡改,但任何人都可以读取。除非已加密,否则请勿将机密信息放入 JWT 的有效负载或标头元素中。

2.3 Signature

签名部分是对上面两个部分数据进行哈希,需要使用 base64编码后的 header和 payload数据,通过指定的算法生成哈希签名,以确保数据不会被篡改。

  • 首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。
  • 然后,使用 header中指定的签名算法(默认情况下为 HMAC SHA256)根据以下公式生成签名。

例如,如果您想使用 HMAC SHA256 算法,签名将通过以下方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在此过程中没有被篡改,并且在使用私钥签名的令牌的情况下,它还可以验证 JWT 的发送者就是它所说的那个人。

JWT Token就是将 JWT的 3部分分别进行 Base64编码后用点 ( .) 进行连接形成最终传输的 Base64-URL 字符串。可以在 HTML 和 HTTP 环境中轻松传递,同时与基于 XML 的标准(如 SAML)相比更紧凑。

二、Java使用 JWT开源库

官网推荐了 6个 Java使用 JWT的开源库,其中比较推荐使用的是 java-jwt和 jjwt-root。

  • java-jwt
  • jose4j
  • nimbus-jose-jwt
  • jjwt-root
  • fusionauth-jwt
  • vertx-auth-jwt

通常根据使用的签名算法可以分为对称签名和非对称签名来生成 JWT Token,主要区别在于使用的算法。推荐使用非对称加密算法签名。

1、使用java-jwt

首先引入依赖:

      	<!--java-jwt-->  
		<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.2</version>
        </dependency>

1.1 对称签名

这里使用 HMAC256对称算法。

1.1.1 生成JWT Token
public class JavaJwtLearn1 {

    private static final String SECRET_KEY = "secret_salt";

    public static void main(String[] args) {
        // 指定token过期时间为10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 10);
        Date expiresDate = calendar.getTime();

        String jwtToken = genetatetJwtToken(expiresDate);
        System.out.println("生成 jwtToken=" + jwtToken);
    }

    /**
     * 生成token
     * @param expiresDate
     * @return
     */
    private static String genetatetJwtToken(Date expiresDate ) {

        String jwtToken = JWT.create()
                // Header
                .withHeader(new HashMap<>())
                // Payload
                .withClaim("userId", 21)
                .withClaim("userName", "admin")
                // 过期时间
                .withExpiresAt(expiresDate)
                // 签名用的secret
                .sign(Algorithm.HMAC256(SECRET_KEY));

        return jwtToken;
    }
}

在这里插入图片描述
注意:

  • 每次生成的 JWT Token字符串内容是不一样的,尽管我们的 payload信息没有变动。因为 JWT中携带了超时时间,所以每次生成的 JWT Token就会不一样。
  • Header和 Payload除了有默认值,我们也可以放置自定义的值。
1.1.2 解析JWT Token
public class JavaJwtLearn1 {

    private static final String SECRET_KEY = "secret_salt";

    public static void main(String[] args) {
        // 指定token过期时间为10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 10);
        Date expiresDate = calendar.getTime();

        String jwtToken = genetatetJwtToken(expiresDate);
        System.out.println("生成 jwtToken=" + jwtToken);

        resolveJwtToken(jwtToken);        
    }

    /**
     * 解析token
     * @param jwtToken
     */
    private static void resolveJwtToken(String jwtToken) {
        // 创建解析对象,使用的算法和secret要与创建token时保持一致
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET_KEY)).build();
        // 解析指定的token
        DecodedJWT decodedJWT = jwtVerifier.verify(jwtToken);
        // 获取解析后的token中的信息
        String header = decodedJWT.getHeader();
        System.out.println("header:" + header);
        Map<String, Claim> payloadMap = decodedJWT.getClaims();
        System.out.println("Payload:" + payloadMap);
        Date expires = decodedJWT.getExpiresAt();
        System.out.println("过期时间:" + expires);
        String signature = decodedJWT.getSignature();
        System.out.println("signature:" + signature);

    }
}

注意:

  • 如果在过期时间之内解析 JWT Token,则解析成功,否则就会报错。
  • 如果不是JWT Token字符串,也会报错。
    在这里插入图片描述
    所以,我们可以根据报错来校验 JWT Token的合法性。
1.1.3 判断 JWT Token是否存在与有效
    /**
     * 判断token是否存在与有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true,否则返回false
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) {
            return false;
        }
        try {
            JWT.require(Algorithm.HMAC256(SECRET_KEY)).build().verify(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

1.2 非对称签名

这里使用 RSA非对称加密算法。使用同上。

注意:

  • 提前准备好秘钥对(根据需要密钥(盐)生成)。私钥生成 JWT Token,公钥解析 JWT Token
  • Header和 Payload除了有默认值,我们也可以放置自定义的值。
/**
 * 使用 java-jwt开源库 非对称加密算法签名
 *
 */
public class JavaJwtLearn2 {

	private static final String RSA_PRIVATE_KEY = "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";

	private static final String RSA_PUBLIC_KEY = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCEeFvRCEeJjQa17unMsO54p7+JKE1Ex0pQfWwHL1KlXG0XytmVsqI4BDDY1HE0mF5lkuEcFkg3Fq9f2W2pLGPFDXCtnDZPNWLi9wh0ZeLTqAOWHygcA5/KusW1/24wzyuuYa/3hgVAr3VvGT2ylSybo6aBxHjNvMszIgr9CIIpPwIDAQAB";

	public static void main(String[] args) throws Exception {
		// 指定token过期时间为10秒
		Calendar calendar = Calendar.getInstance();
		calendar.add(Calendar.SECOND, 10);
		Date expiresDate = calendar.getTime();


		Map<String,String> payload = new HashMap<>();
		payload.put("userId", "21");
		payload.put("userName", "admin");
		payload.put("userName2", "admin2");
		payload.put("userName3", "admin3");
		String jwtToken = genetatetJwtToken(expiresDate, payload);
		System.out.println("生成 jwtToken=" + jwtToken);

		// jwtToken =
		// "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6ImFkbWluIiwiZXhwIjoxNjQ0NDc0MzY5LCJ1c2VySWQiOjIxfQ.2Tgvta3obNfyqUSlFuZPNuGGBs-stB7NeD-GU2R6Sn8";
		resolveJwtToken(jwtToken);
	}


	/**
	 * 生成token
	 * 
	 * @param expiresDate
	 * @return
	 */
	private static String genetatetJwtToken(Date expiresDate, Map<String,String> payload) throws Exception {

		JWTCreator.Builder builder = JWT.create();
		// Header
		Map<String,Object> a =  new HashMap<>(payload);
		builder.withHeader(a);
		// 构建payload
		payload.forEach((k,v) -> builder.withClaim(k,v));
		// 过期时间
		builder.withExpiresAt(expiresDate);


		// 获取RSA私钥
		RSAPrivateKey privateKey = (RSAPrivateKey) RsaUtils.getPrivateKey(RSA_PRIVATE_KEY);
		// 签名
		String jwtToken = builder.sign(Algorithm.RSA256(null, privateKey));

		return jwtToken;
	}

	/**
	 * 解析token
	 * 
	 * @param jwtToken
	 */
	private static void resolveJwtToken(String jwtToken) throws Exception {
		// 获取RSA公钥
		RSAPublicKey publicKey = (RSAPublicKey) RsaUtils.getPublicKey(RSA_PUBLIC_KEY);
		// 创建解析对象,使用的算法和secret要与创建token时保持一致
		JWTVerifier jwtVerifier = JWT.require(Algorithm.RSA256(publicKey, null)).build();
		// 解析指定的token
		DecodedJWT decodedJWT = jwtVerifier.verify(jwtToken);
		// 获取解析后的token中的信息
		String header = decodedJWT.getHeader();
		System.out.println("header:" + header);
		Map<String, Claim> payloadMap = decodedJWT.getClaims();
		System.out.println("Payload:" + payloadMap);
		Date expires = decodedJWT.getExpiresAt();
		System.out.println("过期时间:" + expires);
		String signature = decodedJWT.getSignature();
		System.out.println("signature:" + signature);

	}

}

2、使用jjwt-root

这里使用 0.11.1版本,引入依赖如下:

       <!--jjwt-root所需jar包-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.2</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>

注意:
jjwt-root在 0.10版本以后发生了较大变化,pom依赖和部分使用方法都有所变化,并且,0.10版本后强制要求 secretKey满足规范中的长度要求,否则生成 jws时会抛出异常。异常如下:
在这里插入图片描述

标准规范中对各种加密算法的 secretKey的长度有如下要求:
HS256:要求至少 256 bits (32 bytes)
HS384:要求至少384 bits (48 bytes)
HS512:要求至少512 bits (64 bytes)
RS256 and PS256:至少2048 bits
RS384 and PS384:至少3072 bits
RS512 and PS512:至少4096 bits
ES256:至少256 bits (32 bytes)
ES384:至少384 bits (48 bytes)
ES512:至少512 bits (64 bytes)

1.1 对称签名

这里使用 HS256对称算法。

public class JjwtRootLearn1 {

    private static final String SECRET_KEY = "secret_salt_aaaaaaaaaaaaaaa";
    //private static final String SECRET_KEY = "secret_salt_MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCEeFvRCEeJjQa17unMsO54p7+JKE1Ex0pQfWwHL1KlXG0XytmVsqI4BDDY1HE0mF5lkuEcFkg3Fq9f2W2pLGPFDXCtnDZPNWLi9wh0ZeLTqAOWHygcA5/KusW1/24wzyuuYa/3hgVAr3VvGT2ylSybo6aBxHjNvMszIgr9CIIpPwIDAQAB";

    public static void main(String[] args) {
        // 指定token过期时间为10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 30);
        Date expiresDate = calendar.getTime();

        String jwtToken = genetatetJwtToken(expiresDate);
        System.out.println("生成 jwtToken=" + jwtToken);

        resolveJwtToken(jwtToken);
        System.out.println(checkToken(jwtToken));
        jwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiIyMSIsInVzZXJOYW1lIjoiYWRtaW4iLCJqdGkiOiJZbVk1TkdOa1pUUXRZVGt4TnkwMFlXTmlMVGsyWTJVdE1EVXdPRFUzTlRVMFlqRTQiLCJleHAiOjE2NDQ0Nzk5ODZ9.5lcaBjsDUxmeNCZOt-LnjCPhAajQPK3b2HF_bAzo2Hk";
        System.out.println(checkToken(jwtToken));
    }

    /**
     * 生成token
     * @param expiresDate
     * @return
     */
    private static String genetatetJwtToken(Date expiresDate ) {

        String jwtToken = Jwts.builder()
                // Header
                .setHeader(new HashMap<>())
                // Payload
                .claim("userId", "21")
                .claim("userName", "admin")
                //.setId(new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes())))
                .setId("id----")
                // 过期时间
                .setExpiration(expiresDate)
                // 签名指定key
                .signWith(Keys.hmacShaKeyFor(SECRET_KEY.getBytes(StandardCharsets.UTF_8)), SignatureAlgorithm.HS256)
                .compact();

        return jwtToken;
    }

    /**
     * 解析token
     * @param jwtToken
     */
    private static void resolveJwtToken(String jwtToken) {

        // 创建解析对象,使用的算法和secret要与创建token时保持一致
        JwtParser jwtParser = Jwts.parserBuilder().setSigningKey(Keys.hmacShaKeyFor(SECRET_KEY.getBytes(StandardCharsets.UTF_8))).build();
        // 解析指定的token
        Jws<Claims> claimsJws = jwtParser.parseClaimsJws(jwtToken);
        // 获取解析后的token中的信息
        JwsHeader header = claimsJws.getHeader();
        System.out.println("header:" + header);
        Claims jwsBody = claimsJws.getBody();
        System.out.println("Payload:" + jwsBody);
        System.out.println("过期时间:" + jwsBody.getExpiration());
        String signature = claimsJws.getSignature();
        System.out.println("signature:" + signature);

    }

    /**
     * 判断token是否存在与有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true,否则返回false
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) {
            return false;
        }
        try {
            Jwts.parserBuilder().setSigningKey(Keys.hmacShaKeyFor(SECRET_KEY.getBytes(StandardCharsets.UTF_8))).build().parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }
}

1.2 非对称签名

这里使用 RSA非对称加密算法。使用同上。

public class JjwtRootLearn2 {

    private static final String RSA_PRIVATE_KEY = "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";

    private static final String RSA_PUBLIC_KEY = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmWRlnDz/M6zDQOqDYRUxgjtmxHiO7fbMms4WyLu53TjNOvIiOw/mvSqnT2QVXy0GnRf8BleNuGA2Ujt44fukiEK0xYcjmng1k3zKBKmmoaol+Em3FP/W35Ah1+DWoluBP/HoJ4J1avsf0IOkq2guQDgVi8epALFIYCoUiaajYoFYf5+BD3KuiEWtsmVnPhVGoZsQeI0yaN7O3sURgMrHl5gYvMz+J0/uPHi9o0nTKE5tCGwnspglObuhBwrjlpZ00r+2pF7M8CD7aYPiLmCIMaU/UNAiWaxBVj3Y3LedP8qlcmdRR0fq0dyOVrJH3SVVTUiO5td/QSq6w/Rra2sw4wIDAQAB";

    public static void main(String[] args) throws Exception {
        // 指定token过期时间为10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 10);
        Date expiresDate = calendar.getTime();

        String jwtToken = genetatetJwtToken(expiresDate);
        System.out.println("生成 jwtToken=" + jwtToken);

        //jwtToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6ImFkbWluIiwiZXhwIjoxNjQ0NDc0MzY5LCJ1c2VySWQiOjIxfQ.2Tgvta3obNfyqUSlFuZPNuGGBs-stB7NeD-GU2R6Sn8";
        resolveJwtToken(jwtToken);
    }

    /**
     * 生成token
     * @param expiresDate
     * @return
     */
    private static String genetatetJwtToken(Date expiresDate ) throws Exception {

        // 获取RSA私钥
        RSAPrivateKey privateKey = (RSAPrivateKey) RsaUtils.getPrivateKey(RSA_PRIVATE_KEY);

		// Header中自定义放点值
        Map<String,Object> payload = new HashMap<>();
        payload.put("userId", "21");
        payload.put("userName", "admin");

        String jwtToken = Jwts.builder()
                // Header
                .setHeader(payload)
                // Payload
                .claim("userId", "21")
                .claim("userName", "admin")
                .setId(new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes())))
                // 过期时间
                .setExpiration(expiresDate)
                // 签名指定私钥
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();

        return jwtToken;
    }

    /**
     * 解析token
     * @param jwtToken
     */
    private static void resolveJwtToken(String jwtToken) throws Exception {
        // 获取RSA公钥
        RSAPublicKey publicKey = (RSAPublicKey) RsaUtils.getPublicKey(RSA_PUBLIC_KEY);

        // 创建解析对象,使用的算法和secret要与创建token时保持一致
        JwtParser jwtParser = Jwts.parserBuilder().setSigningKey(publicKey).build();
        // 解析指定的token
        Jws<Claims> claimsJws = jwtParser.parseClaimsJws(jwtToken);
        // 获取解析后的token中的信息
        JwsHeader header = claimsJws.getHeader();
        System.out.println("header:" + header);
        Claims jwsBody = claimsJws.getBody();
        System.out.println("Payload:" + jwsBody);
        System.out.println("过期时间:" + jwsBody.getExpiration());
        String signature = claimsJws.getSignature();
        System.out.println("signature:" + signature);

    }
}

总结:

  • jjwt-root与 java-jwt对 JWT Token的生成和解析过程中的注意点都挺类似。
  • 请勿将机密信息放入 JWT 的有效负载或标头元素中。
  • 在实际开发中,对于 JWT Token中的 Payload信息,可以封装成对象来方便处理。也可以放入 key,把用户信息作为 value存入 Redis等等。

– 求知若饥,虚心若愚。

Charge8
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java jjwt-api使用java jwt使用java jwt 工具类
xiaochengxuyuan1的博客
01-08 2398
一、引入jjwt-api依赖 <properties> <!-- 构建时编码 --> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <!-- 输出时编码 --> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncodin
JWTJJWT,别再傻傻分不清了!,Java面试题及解析
m0_61549984的博客
03-29 301
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、Spring、Spring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
最详细的jjwt工具类
Flying_Fish_roe的博客
12-12 543
是生成、解析和校验Json Web TokenJWT)。JWT是一种用于身份验证的令牌,由三部分组成:头部、载荷和签名。使用JWT可以保护API端点,允许用户进行无状态身份验证。
2022年还在用jjwt操作jwt?,推荐你使用nimbus-jose-jwt,爽到飞起
最新发布
GSON的博客
06-13 43
nimbus-jose-jwt是基于Apache2.0开源协议的JWT开源,支持所有的签名(JWS)和加密(JWE)算法。对于JWT、JWS、JWE介绍接下来我们将使用对称加密(HMAC)和非对称加密(RSA)两种算法生成和解析JWT令牌。
什么是JWT及在JAVA中如何使用
一切总会归于平淡
10-24 3944
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
JWT的学习和JJWT使用
qq_47948345的博客
09-15 1221
jwt令牌的学习和在java中的整合应用
SpringBoot整合JWT
南风的博客
01-20 787
SpringBoot整合JWT 概述 有关jwt的的详细概述请参考阮一峰博客入门教程:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 整合 导包–采用 java-jwt jar包 <!-- jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</a
java-jwt-3.9.0.zip
12-12
Java JWT(JSON Web Token是用于在Java平台上创建、解析和验证JWT开源JWT是一种轻量级的身份认证和授权机制,广泛应用于API安全、单点登录(SSO)等场景。版本3.9.0是这个的一个稳定发布,提供了许多...
java面向互联网商户的开源支付系统
06-08
系统应遵循PCI DSS等安全标准,对敏感信息如信用卡号进行加密存储,并使用HMAC或JWT等机制验证通信的完整性。 7. **异常处理和错误恢复**:支付过程中可能会遇到各种网络问题或交易异常,系统需具备强大的错误处理...
jwt-demo.zip
09-01
Java中,我们通常使用开源jjwtJava JWT)来处理JWTJJWT提供了创建、解析和验证JWT的功能。在jwt-demo.zip中,可能包括了以下代码示例: 1. 创建JWT: - 首先,需要设置一个密钥(secret key)。 - 然后...
Java商城 免费 开源 CRMEB商城JAVA
03-26
【标题】"Java商城 免费 开源 CRMEB商城JAVA版" 提供的是一个基于Java编程语言的开源电子商务系统,名为CRMEB。CRMEB是一个集成CRM(客户关系管理)和EB(电子商务)功能的平台,专为在线商店和商业网站设计。它的...
JavaWebToken相关jar包
11-24
Java后台,生成和校验JavaWebToken时,需要用到此jar。
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token
Token-based-authentication:使用JWT实现的基于令牌的身份验证(Java Web令牌)
05-20
Java Web中,我们可以使用开源如`jjwt`来处理JWT的创建、解析和验证。首先,我们需要在项目中引入jjwt,然后定义一个方法来生成JWT。这个方法需要用户的信息(如用户名、角色等)和一个秘密密钥,然后创建一个...
jwt java .jar_JWT (Json Web Token)教程
weixin_30500365的博客
02-17 185
JWT(Json Web Token)是实现token技术的一种解决方案,JWT由三部分组成: header(头)、 payload(载体)、 signature(签名)。头JWT第一部分是header,header主要包含两个部分,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。。{"typ": "JWT","alg": "HS256"}载体JWT...
解密jwt-django
m0_70015578的博客
06-13 96
需要在根目录下创建一个文件夹 里面写入代码 在配置项目
java decode jwt_JavaJwt
weixin_30487899的博客
02-16 1164
javajar包封装工具类public class jwtTool {public static final String secretKey = "askjdksadjkasdakjshdjkasdkAakjshdjasdjs";public String getJWTWithHMAC256(String subject, String secretKey){//指定JWT所使⽤用的签名算法Al...
Java JWT开源综述
chszs的专栏
12-17 2521
Java JWT开源综述
SpringBoot结合JWT访问API实现Token验证
wuhongyuxuexi的博客
09-15 635
SpringBoot结合JWT实现token验证
java-jwtjjwt
07-29
Java-JWTJJWT 都是用于处理 JSON Web Tokens (JWT) 的 Java Java-JWT 是一个开源Java ,它提供了一套简单易用的 API,用于生成、解析和验证 JWT。它遵循 JWT 规范,并提供了一些便捷的方法来处理 JWT 的创建和验证过程。Java-JWT 支持对 JWT 进行签名和加密,并提供了多种算法和密钥管理选项。你可以在 Maven 中央仓中找到 Java-JWT 的最新版本。 JJWT (Java JSON Web Token) 是一个基于 Java-JWT,它提供了更加简化的 API,用于生成、解析和验证 JWTJJWTJava-JWT 的基础上进行了封装和扩展,使得使用 JWT 变得更加方便。JJWT 提供了一些额外的功能,如支持链式编程、自定义声明、过期时间检查等。你可以通过 Maven 或 Gradle 引入 JJWT。 总结来说,Java-JWT 是一个功能丰富的 JWT 处理,而JJWT 则是对 Java-JWT 进行封装和扩展,提供了更简化的 API 和额外的功能。你可以根据自己的需求选择使用其中之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值