Java实现JWT

已于 2022-06-06 00:23:23 修改
阅读量2.4k 收藏 3
点赞数 1
分类专栏: Java EE 文章标签: java-ee
于 2021-10-19 11:08:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1673492580/article/details/113616858
版权

JWT(JSON Web Token)

        JWT在web环境中通常作为一种用户凭证,它是一个以.分隔,由heaer.payload.signature组成的字符串,其中每个部分都经过Base64编码。header包含token采用的算法、类型(JWT)、KeyId等信息,payload中包含token的发行人iss、过期时间exp、业务信息等(比如用户ID、昵称等),signature是对(header.payload)的Base64组合串用密钥加密得到的摘要,代表header.payload的签名结果。

JWT生成/验证流程

       生成:对header、payload分别进行Base64编码,得到两个base64串,以.拼接这两个串,将该串通过MD5/SHA/MAC等算法生成签名信息得到signature。再以.拼接header.payload.signature,得到token    
       验证:以.为分隔符拆分token串,得到三个子部分,将header.payload采用相同的算法生成新的签名,对比签名来判断token是否被修改、如果有设置过期时间,则进行过期检测(最终通常会从payload中提取信息存储到一个ThreadLocal对象中)。 (注意由于这些摘要算法是不可逆的,所以signature是不能解密的)

JWT代码实现

         实际开发中你可以自己实现,也可以采用第三方库,但通常都会采用Mac算法(Message Authentication Codes消息认证码算法), Mac兼容了MD5及SHA的特性,并且添加了密钥(这里也可称为盐值),能更好的降低碰撞机率,防止暴力破解。

         这里两份代码都贴一下,自己写的话,可以参考下面这份比较粗糙的代码,主要是为了说明流程。第三方库的底层实现流程也类似,通常也是采用javax.crypto.mac算法


import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Map;
import java.util.Objects;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;

import com.auth0.jwt.exceptions.SignatureGenerationException;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.JsonMappingException;
import com.fasterxml.jackson.databind.ObjectMapper;

public class JWTDemo {
	
	// 密钥(或者叫盐值)
	private String saltSecret = "saltSecret";
	
	// 算法
	private String algorithm = "HmacSHA256";
	
	public String sign(Map<String,Object> headerMap,Map<String,Object> payloadMap) throws SignatureGenerationException, JsonProcessingException, InvalidKeyException, NoSuchAlgorithmException {
		// 0、得到header.payload的Base64串
		ObjectMapper objMapper = new ObjectMapper();
		String headerJson = objMapper.writeValueAsString(headerMap);
		String payloadJson = objMapper.writeValueAsString(payloadMap);
        String headerB64 = Base64.encodeBase64URLSafeString(headerJson.getBytes(StandardCharsets.UTF_8));
        String payloadB64 = Base64.encodeBase64URLSafeString(payloadJson.getBytes(StandardCharsets.UTF_8));
        String content = String.format("%s.%s", headerB64, payloadB64);
        // 1、生成摘要信息
        byte[] signatureBytes = createSignature(algorithm,saltSecret.getBytes(StandardCharsets.UTF_8),content.getBytes(StandardCharsets.UTF_8));
        String signature = Base64.encodeBase64URLSafeString((signatureBytes));
        return String.format("%s.%s", content, signature);
    }
	
	private byte[] createSignature(String algorithm, byte[] secretBytes, byte[] contentBytes) throws NoSuchAlgorithmException, InvalidKeyException {
        final Mac mac = Mac.getInstance(algorithm);
        mac.init(new SecretKeySpec(secretBytes, algorithm));
        return mac.doFinal(contentBytes);
    }
	
	@SuppressWarnings("unchecked")
	public void verifySignature(String token) throws InvalidKeyException, NoSuchAlgorithmException, JsonMappingException, JsonProcessingException {
		// 0、解析token,得到header.payload的Base64串
		String[] parts = token.split("\\.");
		String headerB64 = parts[0];
        String payloadB64 = parts[1];
        String signatureB64 = parts[2];
        byte[] contentBytes = String.format("%s.%s", headerB64, payloadB64).getBytes(StandardCharsets.UTF_8);
        
        // 1、生成摘要,进行摘要对比
        byte[] signatureBytes = Base64.decodeBase64(signatureB64);
        boolean validResult = this.verifySignature(algorithm, saltSecret.getBytes(StandardCharsets.UTF_8), contentBytes, signatureBytes);
        if(!validResult) {
        	// ...验签失败
        }
        // 2、过期判断
        ObjectMapper objMapper = new ObjectMapper();
        String payloadJson = new String(Base64.decodeBase64(payloadB64),StandardCharsets.UTF_8);
        Map<String,Object> payloadMap = objMapper.readValue(payloadJson, Map.class);
        if(Objects.nonNull(payloadMap.get("exp"))){
        	long endTime = Long.parseLong(String.valueOf(payloadMap.get("exp")));
        	long currSecond = System.currentTimeMillis()/1000;
        	if(currSecond > endTime) {
        		// ...超时异常
        	}
        }
	}
    
    private boolean verifySignature(String algorithm, byte[] secretBytes, byte[] contentBytes, byte[] signatureBytes) throws NoSuchAlgorithmException, InvalidKeyException {
    	// 生成新的签名,对比签名
    	return MessageDigest.isEqual(createSignature(algorithm, secretBytes, contentBytes), signatureBytes);
    }
}

    关于第三方库可以使用,可以使用Java中比较推荐的JJWT(java-jwt)    

//gradle引入
implementation 'com.auth0:java-jwt:3.4.0'  

// maven引入
<dependency>
		<groupId>com.auth0</groupId>
		<artifactId>java-jwt</artifactId>
		<version>3.4.0</version>
</dependency>
public class JWTMaker {
	
	@Value("${xxxxx}")
    private String tokenSalt;
    
    private final String ISSUER_NAME = "xxxx";
    
    private final Integer JWT_EXPIRE_TIME = 8;
    
    public String sign(UserInfo user) {
        String token = null;
        try {
            Date expireAt = Date.from(LocalDateTime.now().plusHours(JWT_EXPIRE_TIME).atZone(ZoneId.systemDefault()).toInstant());
            token = JWT.create()
                    .withIssuer(ISSUER_NAME)
                    .withClaim("userId", user.getUserId())
                    .withClaim("name", user.getName())
                    .withExpiresAt(expireAt)
                    .sign(Algorithm.HMAC256(tokenSalt));
        } catch (Exception e) {
            log.error(e.getMessage(), e);
        }
        return token;
    }

    /**
     * 签名验证
     * @param token
     * @return
     */
    public boolean verify(String token) {
        try {
        	// 0、验签
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(tokenSalt)).withIssuer(ISSUER_NAME).build();
            DecodedJWT jwt = verifier.verify(token);
            
            // 1、提取信息
            UserInfo user = new UserInfo();
            user.setUserId(jwt.getClaim("userId").asString());
            user.setName(jwt.getClaim("name").asString());
            
            // 2、放入到ThreadLocal中,与当前线程绑定。
            // ...
            return true;
        } catch (Exception e) {
            log.error(e.getMessage(), e);
            return false;
        }
    }

}

代码Flying
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
解决java中Http请求头设置中文乱码问题
zsj777的专栏
04-13 3660
设置 String source = URLEncoder.encode("中文", "utf-8"); String result = URLDecoder.decode(source, "utf-8"); ServerHttpRequest mutableReq = null; try { mutableReq = exchange.getRequest().mutate() .header(CacheCo
java-jwt:JSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java实战:实现JWT刷新令牌机制
最新发布
oandy0的博客
02-25 1098
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
一文读懂JWT+JAVA的两种实现方式
时光、疏离了记忆づ童话的博客
11-23 1182
在上文一文读懂Cookie、Session、Token中,我们已经了解到了Token,本文中,我们将详细介绍JWT并进行实现。 文章目录1、JWT概述2、JWT组成2.1 Header2.2 Payload2.3 Signature三、JWT的应用四、JWT实现4.1 java-jwt实现4.2 采用JJWT实现: 1、JWT概述   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特.
java-jwt.jar
08-27
实现Java web token JWT所需的jar包,java-jwt.3.3.0.jar,可用于登录验证
King of Bots项目总结
Luffy的博客
01-22 1492
King of Bots项目总结
Java - JWT的简单介绍和使用
Zong_0915的博客
11-06 8491
目前自己在做一个云直播个人项目,后端架构是微服务,目前准备用JWT来做Token的校验。借此机会来复习和学习一遍JWT的相关知识。
Java使用JWT
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
Java简单快速入门JWT(token生成与验证)
greatming666的博客
09-08 6048
java jwt简单了解并快速上手
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2314
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
JWT(java web Token)
01-22
token 去访问实现jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
JDK11,8引入不同版本的jjwt异常问题
热门推荐
u010748421的博客
07-15 2万+
JJWT在JDK11,8及不同版本的处理问题 问题 原先在旧的项目中,用的是SpringCloudGateway2.0.4,对应的maven依赖是spring-cloud-starter-gateway:2.0.4.RELEASE,springboot的版本是2.0.6.RELEASE,jwt则直接是一个依赖全部引进来,如下所示 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
JavaWeb 学习
刘同学记录学习过程的博客
07-31 729
JavaWeb 基本概念 前言 web开发: web,网页的意思,比如:www.baidu.com,我们可以从网页上拿到资源 静态web html,css 提供给所有人看的数据始终不会发生变化 动态web 淘宝,几乎所有的网站 提供给所有人看的数据始终会发生变化,每个人在不同的时间,不同的地点看到的信息各不相同。 技术栈:Servlet/JSP,ASP,PHP 在Java中,动态web资源开发的技术统称为JavaWeb。 Web应用程序 web应用程序:可以提供浏览器访问的程序: a.ht
十次方第六天 密码加密与微服务鉴权 JWT
weixin_43664448的博客
05-15 135
jwt 用于登录(认证)功能 学习目标: 能够使用BCrypt密码加密+算法实现注册与登陆功能 能够说出常见的认证机制 能够说出JWT的组成部分,以及使用JWT的优点 能够使用 JWT 创建和解析token(令牌) 能够使用 JWT完成微服务鉴权 认证就是登录,说白了就是告诉系统你是谁,认证之后,则需要授权。 授权就是系统根据你当前登录用户的角色,给予对应的权限。分两步走:先认证,后授权。 BCrypt密码加密 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。 有很多标准的算
什么是JWT及在JAVA中如何使用?
一切总会归于平淡
10-24 3769
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
java使用jwt
Linlietao0587的博客
01-27 1660
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
java 实现jwt
08-19
Spring Cloud是一个基于Spring Boot的微服务框架,它提供了一系列的工具和组件,用于构建分布式系统。而Java-JWT是一个用于生成和验证JSON Web Token(JWT)的Java库。Instant则是Java 8中新增的时间API,用于处理日期和时间。这三者结合起来可以实现一个基于JWT的分布式系统,其中Instant可以用于处理JWT中的时间戳。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值