现代Java开发:使用jjwt实现JWT认证

已于 2024-07-26 22:11:25 修改
阅读量522 收藏 15
点赞数 24
文章标签: java 开发语言 spring boot json web安全
于 2024-07-26 22:06:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74447851/article/details/140725781
版权

前言

jjwt 库 是一个流行的 Java 库,用于创建和解析 JWT。我在学习spring security 的过程中看到了很多关于jwt的教程,其中最流行的就是使用jjwt实现jwt认证,但是教程之中依然使用的旧版的jjwt库,许多的类与方法已经标记弃用或者是已经被删除了,新版 jjwt 增加了许多新特性和改进,使得生成和验证 JWT 更加方便,故写此文以作记忆。

附上我的博客链接:现代Java开发:使用jjwt实现JWT认证

环境:

  • jjwt 0.12.5
  • jdk17+
  • Maven
  • Spring Boot 3.3.1

JWT的相关知识

JSON Web Token (JWT) 是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。由于这些信息是经过数字签名的,因此可以被验证和信任。

JWT 的结构

JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),这三部分用点 (.) 分隔。

  1. 头部(Header): 头部通常包括两部分:令牌的类型(JWT)和所使用的签名算法(如 HMAC SHA256 或 RSA)。

    {
  "alg": "HS256",
  "typ": "JWT"
}

    这部分会进行 Base64Url 编码,形成 JWT 的第一部分。

  2. 载荷(Payload): 载荷部分包含声明(Claims),声明是有关实体(通常是用户)和其他数据的声明。有三种类型的声明:注册声明(Registered claims)、公共声明(Public claims)和私有声明(Private claims)。

    例如:

    {
  "sub": "1234567890",
  "name": "zfmx",
  "iat": 1516239022
}

    这部分也会进行 Base64Url 编码,形成 JWT 的第二部分。

  3. 签名(Signature): 签名部分用于验证消息在传输过程中是否未被篡改。需要将编码后的头部和载荷用点 (.) 连接在一起,然后使用指定的签名算法(如 HMAC SHA256)和一个密钥对其进行签名。签名的结果是 JWT 的第三部分。

编写JWT工具

引入jjwt库

首先要做的就是把jjwt引入到项目之中

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.12.5</version>
</dependency>

写本文时最新的库应该是0.12.6,但是在引入过程中jjwt-jackson的坐标定位失败,故采用了0.12.5。

定义属性

这里有两个属性需要定义:

  • 有效时间:public static final Long JWT_TTL
  • 加密密钥:public static final String JWT_KEY

加密方法

传入subject、ttlMillis、uuid生成tooken。

hmacShaKeyFor 方法生成的密钥可以用于 JWT 的签名和验证。

currentTimeMillis 方法生成时间戳

Jwts类构建一个jwt构建器返回

 /**
 * 生成JWT
 * @param subject 用户信息 json格式
 * @param ttlMillis 有效时间
 * @param uuid 自定义uuid
 * @return JWT令牌
 */
private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid){
    SecretKey secretKey = Keys.hmacShaKeyFor(JwtUtil.JWT_KEY.getBytes(StandardCharsets.UTF_8));

    long nowMillis = System.currentTimeMillis();    // 当前时间戳
    Date now = new Date(nowMillis);                 // 当前时间
    if(ttlMillis == null){
        ttlMillis = JwtUtil.JWT_TTL;
    }
    long expMillis = nowMillis + ttlMillis;     // 过期时间戳
    Date exp = new Date(expMillis);             // 过期时间
    return Jwts.builder()
            .id(uuid)
            .subject(subject)
            .issuer("zfmx")
            .issuedAt(now)
            .signWith(secretKey)
            .expiration(exp);
}

值得注意的是,原本的setId、setSubject等方法已经在新版jjwt中废弃,这里采用的是新版的写法

生成token

注意这里的getUUID为自己实现的生成uuid方法,重载createJWT方法来适应多种应用情况

/**
 * 生成JWT
 * @param subject 用户信息 json格式
 * @return JWT令牌
 */
public static String createJWT(String subject){
    JwtBuilder jwtBuilder = getJwtBuilder(subject, null, getUUID());
    return jwtBuilder.compact();
}

/**
 * 生成JWT
 * @param subject 用户信息 json格式
 * @param ttlMillis 有效时间
 * @return JWT令牌
 */
public static String createJWT(String subject, Long ttlMillis){
    JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());
    return builder.compact();
}

/**
 * 生成JWT
 * @param id 自定义uuid
 * @param subject 用户信息 json格式
 * @param ttlMillis 有效时间
 * @return JWT令牌
 */
public static String createJWT(String id,String subject,Long ttlMillis){
    JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);
    return builder.compact();
}

// 生成uuid
public static String getUUID(){
    return UUID.randomUUID().toString().replaceAll("-","");
}

解码方法

/**
 * 解析JWT
 * @param jwt JWT令牌
 * @return Claims
 * @throws Exception 解析异常
 */
public static Claims parseJWT(String jwt) throws Exception{
    SecretKey secretKey = Keys.hmacShaKeyFor(JwtUtil.JWT_KEY.getBytes());
    return Jwts.parser()
            .verifyWith(secretKey)
            .build()
            .parseSignedClaims(jwt)
            .getPayload();
}

这里的parser()\parseSignedClaims()等方法都是新版的使用方法。

浅浅测试一下吧

public static void main(String[] args) throws Exception {
    var token = createJWT("{'name':'zhangsan','age':18}");
    Claims claims = parseJWT(token);
    System.out.println(claims);
}

result

参考

JSON Web 令牌 - 维基百科 — JSON Web Token - Wikipedia

JJWT最新版本0.12.x使用指南,实现登陆功能,JwtUtils_jjwt 0.12-CSDN博客

jjwt/CHANGELOG.md at master · jwtk/jjwt (github.com)

SpringSecurity-从入门到精通-三更草堂 - 起跑线小言 - 博客园 (cnblogs.com)

栉风沐雪
关注
  • 24
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring-Boot-Java:使用PostgreSQL和JWT的REST API
03-26
然后,在`SecurityConfig`中配置Spring Security,允许JWT认证: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
java jwt 统一认证
11-08
Java JWTJSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份...无论是初学者还是经验丰富的开发者,都能从中受益,快速地将JWT认证集成到自己的应用中。
Token-based-authentication:使用JWT实现的基于令牌的身份验证(Java Web令牌)
05-20
现代Web开发中,安全性和用户认证是至关重要的。基于令牌的身份验证已经成为一种流行的方法,它替代了传统的Cookie和Session管理方式,提高了系统的可扩展性和安全性。其中,JSON Web Token (JWT) 是一种广泛采用...
SpringAuth:使用JWT身份验证进行Spring授权的示例项目
03-07
SpringAuth项目是一个基于Java开发的示例应用,它展示了如何在Spring框架中集成JWTJSON Web Token)进行用户身份验证和授权。JWT是一种轻量级的身份验证机制,它允许服务端在客户端之间安全地传递信息,而无需在...
auth-jwt-springboot:实用utilizando jwt
02-15
标题 "auth-jwt-springboot:实用utilizando jwt" 指的是一个使用Java开发Spring Boot项目,专门用于实现JWTJSON Web Tokens)身份验证。JWT是一种安全的身份验证机制,广泛应用于现代Web应用程序,特别是在单页...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1209
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Java-Lambda
lizhiwei21的博客
07-21 502
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 800
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件
weixin_43561432的博客
07-24 275
【代码】Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件。
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 2166
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
Java实现拼图小游戏
Aishangyuwen的博客
07-22 1354
Java实现拼图小游戏
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 1006
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
Java代码基础算法练习-数的特性-2024.07.25
Sakurapaid的博客
07-25 269
小A喜欢两种性质都成立的数字,小B喜欢至少符合一种性质的数字,小C喜欢不符合这两种性质的 数字。给出一个数字,请输出三个人是否喜欢这个数字。如果喜欢输出1,否则输出0,用空格分隔。输入数字 num,先定义三个整型代表三个人的喜欢与否,先默认设为 0。之后判断num对于性质1、2的条件,分别用 boolen 类型标识。对于每个整型进行判断,是否改为 1 代表喜欢。性质2:大于4且不大于12;
Java并发编程之美 | 第三篇】Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
踢桃的成长之路
07-21 860
Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
学习笔记---java篇(0723)
m0_70630166的博客
07-23 772
java、数据类型、循环、选择等
4.Jmeter接口性能测试
weixin_43444329的博客
07-23 727
系统用户数:软件系统注册的用户总数(要注意初始化环境)在线用户数:某段视角内访问用户数,这些用户只是咋先,不一定同时做某一件事情。(初始化环境(warm up热机:让系统接近运行的系统,让系统运行更快 磁盘->内存))并发用户数:某一个时间同时向系统提交请求的用户数,场景不一定是同一个。:测试web系统的性能,支持多少并发?在确定并发用户数之前,必须先对用户的业务进行分解,分析出其中的典型业务场景(用户最常用、最关注的业务操作)然后基于场景获得其并发用户数。
c++ 智能指针shared_ptr与make_shared
Txwtech笛克特科
07-25 206
shared_ptr是C++11引入的一种智能指针,‌它允许多个shared_ptr实例共享同一个对象,‌通过引用计数来管理对象的生命周期。‌当最后一个持有对象的shared_ptr被销毁时,‌它会自动删除所指向的对象。‌这种智能指针主要用于解决资源管理问题,‌避免内存泄漏。make_shared是C++标准库中的一个函数,‌用于创建一个shared_ptr智能指针,‌它接受一个或多个参数来构造一个对象,‌并返回一个指向该对象的shared_ptr。类SerialModbus的成员指针。
19.jdk源码阅读之FutureTask
最新发布
前端、移动端、后端源码级底层原理分享
07-25 547
FutureTask 是 Java 并发包中的一个重要类,它实现了 RunnableFuture 接口,结合了 Future 和 Runnable 的特性。FutureTask 通常用于异步任务的执行和结果的获取。
Java的集合框架(Collection Framework)中的Iterator接口详解
m0_49013185的博客
07-22 630
Java中,将Iterator定义为接口是一种设计上的选择,目的是提供一个统一的迭代机制,使不同类型的集合都能以一致的方式进行遍历。以下是将Iterator以下是IteratorE next();将Iterator定义为接口的主要目的是提供一个统一、灵活且可扩展的迭代机制。通过这种方式,Java集合框架能够支持多种类型的集合,并且客户端代码能够以一致的方式使用这些集合。这种设计不仅简化了集合的使用,还提高了代码的可维护性和可扩展性。
java-jwtjjwt
07-29
Java-JWTJJWT 都是用于处理 JSON Web Tokens (JWT) 的 Java 库。 Java-JWT 是一个开源的 Java 库,它提供了一套简单易用的 API,用于生成、解析和验证 JWT。它遵循 JWT 规范,并提供了一些便捷的方法来处理 JWT 的创建和验证过程。Java-JWT 支持对 JWT 进行签名和加密,并提供了多种算法和密钥管理选项。你可以在 Maven 中央仓库中找到 Java-JWT 的最新版本。 JJWT (Java JSON Web Token) 是一个基于 Java-JWT 的库,它提供了更加简化的 API,用于生成、解析和验证 JWTJJWTJava-JWT 的基础上进行了封装和扩展,使得使用 JWT 变得更加方便。JJWT 提供了一些额外的功能,如支持链式编程、自定义声明、过期时间检查等。你可以通过 Maven 或 Gradle 引入 JJWT。 总结来说,Java-JWT 是一个功能丰富的 JWT 处理库,而JJWT 则是对 Java-JWT 进行封装和扩展,提供了更简化的 API 和额外的功能。你可以根据自己的需求选择使用其中之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

栉风沐雪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值