java JJWT

最新推荐文章于 2024-09-07 00:12:51 发布
最新推荐文章于 2024-09-07 00:12:51 发布
阅读量1.2k 收藏 5
点赞数 3
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42778001/article/details/118725118
版权
本文详细介绍了JWT(JSON Web Token)的工作原理,包括其组成部分:头部、载荷和签名,以及如何在SpringBoot中生成和解析JWT。示例代码展示了如何设置JWT的过期时间、载荷信息,并使用HS256算法进行签名。此外,还提供了JWT的签名算法选择和一个完整的JWT token生成及解析的Demo。
摘要由CSDN通过智能技术生成

实际上就是一个字符串:

由三部分组成

(1)头部 - header:

描述该JWT的最基本的信息,如:类型(即JWT)以及签名所用算法

{
    "alg": "HS256",
    "typ": "JWT"
}

typ:类型
alg:签名的算法,上边使用的算法是HS256

会对头部进行 BASE64编码,编码格式如下:

dsHHKLjklljLKJ678jklHJKjhJK657hjk

(2)载荷 - payload

存放有效信息的地方。

分三部分

        标准声明:

iss:    该JWT的签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt过期时间,必须大于签发时间
nbf:  定义在什么时间之前,该jwt是不可用的
iat:   jwt的签发时间

         公共声明:一般存放用户的信息。

        私有声明:提供者和消费者共同定义的声明。

(3)签名 - secret 保证jwt安全性的唯一部分

jwt的第三部分,是一个签证信息,这个签证信息有三部分组成:

1> header (base64后的header)
2> payload(base64后的payload)
3> secret (盐一定要保密)

三者组成之后进行加密,三部分以点分割。

注意:secret是保存在都服务器上的,jwt的签发生成也是在服务器上,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你的服务端的私钥,在任何场景下都不能泄露出去,一旦客户端得知这个secret那就意味着客户端也可以签单jwt了。

sringboot 使用jwt

生成token

第一步:安装依赖 

(提示:如果你的java版本为最新版本,使用jjwt旧版,在生成token是会抛出异常,大致错误找不到类,此时需要下载最新版jjwt)

<!--jwt依赖-->
<!--新版本-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.1</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.1</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
    <version>0.11.1</version>
    <scope>runtime</scope>
</dependency>

第二步: 构建jwt对象,生成token

public class TokenTest {
    public static void main(String[] args) {
        String userId = "18";
        // 生成 secret密钥
        // SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
        // String scretString = Encoders.BASE64.encode(key.getEncoded());
        String scretString = "WAGFd+7X2q1evBcU2p+IEDzuR39SXyoNn0UlnntpnLg=";
        System.out.println("1:"+scretString);
        // 构建jwt
        JwtBuilder jwtBuilder = Jwts.builder()
                // jti
                .setId(userId)
                // sub 签发给谁
                .setSubject("rose")
                // iat 签发时间
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, scretString); // 签名
        // 根据对象生成 令牌 token
        String token = jwtBuilder.compact();
        System.out.println(token);
    }
}

 结果如下:

 关于签名算法,很多种:

一个完整的token 生成及解析demo:

package com.lxc.springboot.controller;

import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.*;
import io.jsonwebtoken.io.DeserializationException;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;


public class TokenTest {
    static Logger log = LoggerFactory.getLogger(TokenTest.class);
    public static void main(String[] args) {

        String token = "eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoi5ZCV5pif6L6wIiwiYWdlIjoyMywiaWF0IjoxNjI2MjUxOTg5LCJqdGkiOiIxMCIsInN1YiI6InJvc2UiLCJleHAiOjE2MjY4NTY3ODl9.z3dO5x2r0xjBNgboAOncUQ7-acrl4cucd2JziFVQUB0";
        // 解析token
        parseToken(token);

        // 生成token
        // System.out.println(generateToken());
    }

    /**
     * 生成token
     * @return void
     */
    static public String generateToken() {
        // 有效期默认7天
        Long time = 1000 * 60 * 60 * 24 * 7L;
        // 用户的id
        String userId = "10";
        // 存储的用户的信息 - 不建议把用户信息全部存到token里。
        Map<String, Object> userInfo = new HashMap<>();
        userInfo.put("name", "吕星辰");
        userInfo.put("age", 23);
        return generateToken(userId, userInfo, time);
    }


    /**
     * 生成token
     * @param userId
     * @param claims
     * @param time
     * @return string
     */
    static public String generateToken(String userId, Map<String, Object> claims, Long time) {
        // 生成 secret密钥
        // SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
        // String scretString = Encoders.BASE64.encode(key.getEncoded());

        // 这里其实就是new一个JwtBuilder,设置jwt的body
        JwtBuilder jwtBuilder = Jwts.builder()
                // 自定义用户的一些信息, 必须放最前面,不然后面设置的东西都会没有:如setExpiration会没有时间 !!!
                .setClaims(claims)
                // iat 签发时间
                .setIssuedAt(getIssuedAt())
                // 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setId(userId)
                // sub 签发给谁
                .setSubject("rose")
                // 设置过期时间
                .setExpiration(getExpiration(time))
                .signWith(SignatureAlgorithm.HS256, getSecretKey()); // 签名

        // 根据对象生成 令牌 token
        return jwtBuilder.compact();
    }


    /**
     * 解析token
     * @param token
     */
    static public void parseToken(String token) throws DeserializationException {
        String msg = null;
        try{
            Claims claims = Jwts.parserBuilder()
                    .setSigningKey(getSecretKey()) // 拿到签名时的秘钥
                    .build()
                    .parseClaimsJws(token)
                    .getBody();

            // claims就是一个map
            // {"name":"吕星辰","age":23,"iat":1626251989,"jti":"10","sub":"rose","exp":1626856789}
            System.out.println(JSONObject.toJSONString(claims));
            System.out.println(claims.getId()); // 获取id
            System.out.println(claims.getIssuedAt()); // 获取签发时间
            System.out.println(claims.getSubject()); // 获取签收人
            System.out.println(claims.getExpiration()); // 获取过期时间
            System.out.println(claims.get("name")); // 获取用户 name
            System.out.println(claims.get("age")); // 获取用户 age
        }catch (SignatureException se) {
            msg = "密钥错误";
            log.error(msg, se);
        }catch (MalformedJwtException me) {
            msg = "密钥算法,或者密钥转换错误,或者token不正确";
            log.error(msg, me);

        }catch (MissingClaimException mce) {
            msg = "密钥缺少校验数据";
            log.error(msg, mce);

        }catch (ExpiredJwtException mce) {
            msg = "token已过期";
            log.error(msg, mce);

        }catch (JwtException jwte) {
            msg = "密钥解析错误";
            log.error(msg, jwte);
        }
    }


    /**
     * 获取密钥 这个可以在资源配置文件中定义
     * @return string
     */
    static private String getSecretKey() {
        return "WAGFd+7X2q1evBcU2p+IEDzuR39SXyoNn0UlnntpnLg=";
    }


    /**
     * 设置过期时间
     * @param time
     * @return Date
     */
    static private Date getExpiration(Long time) {
        // 把时间戳转化为Date时间格式
        // System.currentTimeMillis() + time 【当前时间 + 传进来的时间 = 过期时间】
        return new Date(System.currentTimeMillis() + time);
    }


    /**
     * 签发时间 - 默认为当前时间
     * @return date
     */
    static private Date getIssuedAt() {
        return getIssuedAt(new Date());
    }
    static private Date getIssuedAt(Date date) {
        return date;
    }
}

@红@旗下的小兵
关注
专栏目录
使用JJWT库的Java JWT令牌教程
04-11
总的来说,本教程的"Java-JWT-Token-Tutorial-using-JJWT-Library.pdf"应该会详细讲解这些概念,并提供实践示例。"jwttest.zip"可能包含了一个演示项目,让你能够亲手实践JWT的创建和验证过程。通过学习这些内容,你...
javajjwt的使用笔记
hjh15827475896的博客
06-01 382
在springboot 项目中使用了 jjwt 的包 ,出现了一些未知的问题最开始我引入的包是这样的</</</</只要引入以上这个包就可以了, 我在有的项目中引入了这个包也确实没有问题, 但有时候, 当你在代码中使用 Keys.secretKeyFor(SignatureAlgorithm.HS256) 生成一个密钥时, 居然显示, 没有 Keys 这个类, Keys 是 io.jsonwebtoken.security包下的类, 当然也找不到 这个包了。
JWT快速入门及所需依赖
hhhhhh的博客
12-16 5908
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Java】基于JWT+Token实现完整登入功能(原理+实操图解)
最新发布
麻辣香蝈蝈的博客
09-07 1145
简洁登入模块,实操JWT+Token实现登入
JWT基础
qq_55137734的博客
08-24 1469
JWT基础
Java使用JJWT令牌
qq_33880925的博客
10-19 418
最近在B站大学学习Java开发,刚好学到登入验证,在使用JJWT令牌时踩了一些坑,在这里把代码和依赖给出,希望后来者得以借鉴。
JJWT使用完全指南
oscar999的专栏
08-23 4116
JJWT,是一款适用于 Java 和 Android 的 JSON Web Token(JWT)库。 JJWT, 也称为Java JWT ,全称是 Java JSON Web Token。 JJWT完全基于 JWT、JWS、JWE、JWK 和 JWA RFC 规范以及 Apache 2.0 许可条款下的开源。该库由 Okta 的高级架构师 Les Hazlewood 创建,由一个贡献者社区支持和维护。
jjwt-0.9.1.zip
10-25
标签"jjwt"进一步确认了这个压缩包与jjwt库相关,该库是Java开发者用来处理JWT的主要工具。jjwt库提供了API,使得开发者可以方便地创建JWT,这些JWT包含了声明(claims),如用户ID、角色等,然后可以被服务器验证以...
jjwt-0.11.5 jackson-2.13.3
06-24
JJWTJava JSON Token)是一个开源库,专门用于生成、解析和验证JWT。它依赖于Jackson库来处理JSON数据。压缩包中的JJWT相关文件如下: 1. **jjwt-impl-0.11.5.jar**:这是JJWT的实现模块,包含JWT的生成、解析...
jjwt-api-0.10.5.jar
07-27
Java Web Token 之 JJWT 使用
jjwt-0.9.1.jar
12-22
jjwt的jar包
JWT依赖
Pan_Yang___的博客
09-04 3697
JWT所需的maven依赖(1.8及以上)
现代Java开发:使用jjwt实现JWT认证
栉风沐雪的博客
07-26 1163
**jjwt 库** 是一个流行的 Java 库,用于创建和解析 JWT。我在学习spring security 的过程中看到了很多关于jwt的教程,其中最流行的就是使用jjwt实现jwt认证,但是教程之中依然使用的旧版的jjwt库,许多的类与方法已经标记弃用或者是已经被删除了,新版 jjwt 增加了许多新特性和改进,使得生成和验证 JWT 更加方便,故写此文以作记忆。
JJWT工具类和相关依赖
weixin_57089279的博客
01-15 1024
JJWT工具类和相关依赖(新手上路)
Java中JWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2965
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
Java中详细使用JWT(JJWT
热门推荐
zhangshaopeng的博客
12-12 1万+
目录 1.什么是JWT 2.JWT什么时候去使用,有什么好处 3 JWT问题和趋势 4JWT的组成 头部 有效载荷 签名 4.java中使用 1.什么是JWT JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。...
JWT工具类,SpringBoot整合Jwt-Token使用
weixin_43992507的博客
08-22 966
JWT工具类,SpringBoot整合Jwt-Token使用
JWT——jjwt使用
码鹿的记录
10-23 648
使用 JWT 的人可以随意定义这些声明( 可以自己声明一些有效信息如用户的id,name等,但是不要设置一些敏感信息,如密码 )。但是为了避免冲突,应该在 JWT注册表中定义它们,或者将它们定义为包含抗冲突名称空间的 URI。这样可以简化用户在不同应用程序之间的登录流程,提高用户体验。对于已签名的Token,这些信息虽然受到保护,不会被篡改,但任何人都可以阅读。这些是创建用于在同意使用它们的各方之间共享信息的习惯声明,既不是注册声明,也不是公开声明( 私人声明是提供者和消费者所共同定义的声明 )。
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 791
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
java jjwtjava.lang.IllegalStateException: Impossible modulus [1]
06-11
这个错误通常是由于在使用 jjwt 库的时候,传入的公钥存在问题导致的。具体来说,这个错误通常是因为传入的公钥的模数(modulus)为 1,而这是不可能存在的。 为了解决这个问题,你需要检查一下你的公钥是否正确。你可以尝试使用其他工具或库来读取你的公钥,以确认它是否有效。如果你确定公钥无误,那么你可能需要检查一下 jjwt 库的使用方式,确保你正确地传入了公钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值