JWT入门,jwt可以解密吗?

已于 2023-08-07 20:47:32 修改
阅读量530 收藏
点赞数
文章标签: jwt
于 2023-08-07 20:37:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w8y56f/article/details/132154222
版权

JWT

什么是 JWT

JSON Web Token,通过数字签名的方式,以 JSON 对象为载体,在不同的服务终端之间安全地传输信息

  • 官网:https://jwt.io/
  • SDK: https://jwt.io/libraries (含Java和各种语言)
  • Java SDK(上面的SDK链接得到): https://github.com/auth0/java-jwt (java sdk也有很多种,这是其中一种)
  • 可以根据自己的喜好选择 SDK,不同的SDK的API设计有差异,那自然会有好坏
  • 本项目种使用的 SDK 也是官方推荐的其中一种(选官方的比来路不明的好)

JWT 有什么用?

JWT 最常见的场景就是授权认证,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都要先进行 JWT 安全校验,通过之后再进行处理。

JWT 的组成

JWT 由 3 部分组成,用 . 拼接

格式是 Header.Payload.Signature

  • Header(头信息)
{
  'typ': 'JWT',
  'alg': 'HS256'
}

包含类型typ和算法alg,类型写死 JWT,算法可以自己决定,这里用HS256举例

  • Payload
实际的有效数据,你要传的业务数据,例如:
  • Signature
Signature是这么算出来的?

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'your_secret');

说明:
1、header和payload先用base64加密用点链接起来,再用header里alg所指定的算法计算摘要
2、your_secret 就是秘钥,加密方和解密方共同知道的,解密的时候要用

补充

当你拿到一段jwt字符串的时候(就是三段式的那串),你能知道什么?

对于 xxx.yyy.zzz,你可以知道

  • xxx,可以用base64解密xxx
  • yyy,本以为base64不能解密,结果可以,另外,我也遇到过不能解密的,可能是自己额外加密了
  • zzz,不能base64解密

注意:不要整段粘贴进去用base64解密,要分段,否则可能会出现解密不了的情况。

例子

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0ZWFjaGVyIjp7Im5hbWUiOiJNaXNzIExlZSJ9LCJzZXgiOnRydWUsIm5hbWUiOiJTdG9uZSIsImNvdXJzZUxpc3QiOlt7Im5hbWUiOiJNYXRoIiwiY3JlZGl0cyI6NH0seyJuYW1lIjoiRW5nbGlzaCIsImNyZWRpdHMiOjN9XSwiZXhwIjoxNjkxNDExMzcyLCJhZ2UiOjIwfQ.C2LJfyeeS2E0tpS12o-MnQWvn3B7ecK_ul3kudpiAPE

注意一定要分段粘贴进去进行base64解密,不要一整个整体,本例子没有问题,有些别的例子会出现yyy部分不能解密的情况!!!

base64解密第一段:{"typ":"JWT","alg":"HS256"}
base64解密第一段:{"teacher":{"name":"Miss Lee"},"sex":true,"name":"Stone","courseList":[{"name":"Math","credits":4},{"name":"English","credits":3}],"exp":1691411372,"age":20}
base64解密第一段:(乱码,看来是解密不了)

Java 例子

其实实际的使用过程,Java 作为后端仅仅需要写解析jwt的,对于封装,这是前端要干的事情。

package com.wyf.test.jwt;

import io.jsonwebtoken.*;

import java.lang.reflect.Field;
import java.text.SimpleDateFormat;
import java.util.*;

public class JWTTest {
    private static final String MY_SECRET = "xAy23hz23YK";// 加解密用的秘钥

    public static void main(String[] args) throws InterruptedException {
        String jwtString = testGetJwtString();
        //Thread.sleep(4*1000);// 模拟超市的情况是否能检查出来
        System.out.println("\n-------------------\n");
        testParseJwtString(jwtString);
    }

    // 得到加密的字符串,这个一般来说不是Java写的,肯定是前端人员写的,JS(react/vue等)
    public static String testGetJwtString() {
        /*
         格式:Header.Payload.Signature
         header的格式是:
         {
         'typ': 'JWT',
         'alg': 'HS256'
         }
         其中类型typ写死,alg可选,这里选HS256算法

         Payload 是实际的数据
         Signature的计算方式如下(参考如下用JS写的伪代码):
         var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
         var signature = HMACSHA256(encodedString, 'your_secret');

         其中 your_secret 就是秘钥,加密方和解密方共同知道的,解密的时候要用
         */

        // 设置 token 有效期
        long tokenLifespan = 3 * 1000; // 30 秒
        Date expireDateTime = new Date(System.currentTimeMillis() + tokenLifespan);

        // 用 Java 中引入的 JWT 包里的 API
        JwtBuilder jwtBuilder = Jwts.builder();
        String jwtString = jwtBuilder
                // header
                .setHeaderParam("typ", "JWT").setHeaderParam("alg", "HS256")
                // payload (claim 其实就是payload的意思,就是你要传的数据)
                .setClaims(prepareMapPayloadData())
                // 可选,设置 token 有效期
                .setExpiration(expireDateTime)
                // signature (解密的时候用的secret不对的话会抛出signature无法匹配的异常:io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature.)
                .signWith(SignatureAlgorithm.HS256, MY_SECRET)
                // 用点连接起来
                .compact();

        System.out.println("jwtString:" + jwtString);
        System.out.println("token duration(Sec):" + (tokenLifespan / 1000));
        SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSSZ");
        simpleDateFormat.setTimeZone(TimeZone.getTimeZone("GMT+8"));
        System.out.println("expireDateTime:" + simpleDateFormat.format(expireDateTime));
        return jwtString;
    }

    // 我在想这个方法根本就不需要返回payload里的值,如果使用JWT,仅仅是validate一下signature是不是正确的、达到鉴权效果就可以了
    public static Object testParseJwtString(String jwtString) {
        JwtParser jwtParser = Jwts.parser();
        // 设置解密用的秘钥(解密的时候用的secret不对的话会抛出signature无法匹配的异常)
        jwtParser.setSigningKey(MY_SECRET);

        // parse 的时候就会校验签名,不正确的时候会从这行抛出异常,也会校验token是否超时!如果超时爆出
        // Exception in thread "main" io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-07T18:59:42Z. Current time: 2023-08-07T18:59:44Z, a difference of 2416 milliseconds.  Allowed clock skew: 0 milliseconds.
        Jwt parse = jwtParser.parse(jwtString);
        Header header = parse.getHeader();
        Object body = parse.getBody();// 其API是设计成用Object接收的
        System.out.println("header: " + (header != null ? header.getClass().toString() + ", " + header : "null"));
        System.out.println("body: " + (body != null ? body.getClass().toString() + ", " + body : "null"));

        return body;
    }



    /**
     * method to convert object to a map
     * @param obj
     * @return
     * @throws IllegalAccessException
     */
    public static Map<String, Object> getObjectToMap(Object obj) throws IllegalAccessException {
        Map<String, Object> map = new HashMap<String, Object>();
        Class<?> cla = obj.getClass();
        Field[] fields = cla.getDeclaredFields();
        for (Field field : fields) {
            field.setAccessible(true);
            String keyName = field.getName();
            Object value = field.get(obj);
            if (value == null)
                value = "";
            map.put(keyName, value);
        }
        return map;
    }

    public static Map<String, Object> prepareMapPayloadData() {
        Map<String, Object> objectToMap;
        try {
            objectToMap = getObjectToMap(preparePayloadData());
        } catch (IllegalAccessException e) {
            throw new RuntimeException(e);
        }
        System.out.println("payload map: " + objectToMap);
        return objectToMap;
    }

    public static Student preparePayloadData() {
        List<Course> courseList = new ArrayList<Course>();
        Course course1 = new Course();
        course1.setName("Math");
        course1.setCredits(4);
        Course course2 = new Course();
        course2.setName("English");
        course2.setCredits(3);
        courseList.add(course1);
        courseList.add(course2);

        Teacher teacher = new Teacher();
        teacher.setName("Miss Lee");

        Student student = new Student();
        student.setName("Stone");
        student.setAge(20);
        student.setSex(true);
        student.setTeacher(teacher);
        student.setCourseList(courseList);

        return student;
    }
    public static class Student {
        private String name;
        private Integer age;
        private Boolean sex;

        private Teacher teacher;

        private List<Course> courseList;

        public String getName() {
            return name;
        }

        public void setName(String name) {
            this.name = name;
        }

        public Integer getAge() {
            return age;
        }

        public void setAge(Integer age) {
            this.age = age;
        }

        public Boolean getSex() {
            return sex;
        }

        public void setSex(Boolean sex) {
            this.sex = sex;
        }

        public Teacher getTeacher() {
            return teacher;
        }

        public void setTeacher(Teacher teacher) {
            this.teacher = teacher;
        }

        public List<Course> getCourseList() {
            return courseList;
        }

        public void setCourseList(List<Course> courseList) {
            this.courseList = courseList;
        }
    }

    public static class Teacher {
        private String name;

        public String getName() {
            return name;
        }

        public void setName(String name) {
            this.name = name;
        }
    }
    public static class Course {
        private String name;
        private Integer credits;

        public String getName() {
            return name;
        }

        public void setName(String name) {
            this.name = name;
        }

        public Integer getCredits() {
            return credits;
        }

        public void setCredits(Integer credits) {
            this.credits = credits;
        }
    }
}
石头wang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt在线解密网站,可用于jwt的解码
03-10
正在测试JWT鉴权或者学习JWT的,需要解码token的可以看看。
JWT公钥私钥操作工具类
03-10
JWT公钥私钥操作工具类
基于.net4.0实现IdentityServer4客户端JWT解密
01-03
情景:公司项目基于.net4.0,web客户端实现单点登录需要自己解密id_token,对于jwt解密,.net提供了IdentityModel类库,但是4.0中该类库不可用,所以自己实现了解密方法.. 使用了类库:链接地址 下面直接贴代码,直接调用DecodeJWT方法就行,参数为id_token,key默认为空字符串””, 代码 public static IDictionary<string> DecodeJWT(string jwttoken,string key) { //从/.well-known/openid-configuration路径获
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
oauth2.0核心加解密工具,里面有详细说明
JWT学习
GXY1551705593的博客
06-17 164
1.JWT简述 JWT:全称Jason Web Takoen。 定义:它是了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2.结构 JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是: ●Header ●Payload ●Signature 因此,一个典型的JWT看起来是这个样子的: xxxx...
JWT在线解密为什么不用提供密钥也可以】
qq_44832321的博客
01-04 5221
不知道大家在接触JWT的token后有没有想过为什么我用了各种加密方式加密后的token在不告诉在线解密工具密钥的时候他就能解密出来我token里面的信息。通过代码截图可以看出,默认传的tue导致是用的encodeUrlSafe,而不是encode所以导致我们解码时部分字符解不出来导致的。到这里就知道为什么解码失败了把,那么还会有个问题就是,我的信息在不用密钥的时候都已经暴露了,那怎么确定信息的安全呢?从上面图中的代码可以看出,我在不借助密钥的情况下,仅使用base64就已经获得的。
关于JWT的几个理解偏差问题
hints'blog
10-31 370
1.JWT的签名(signkey)并不是密钥,即使你对JWT加了签名,还是可以破解里面的内容 加上签名是为了防伪造,防篡改,即使你知道JWT的内容但是你并不知道签名是什么,无法形成一个正确的JWT 2.JWT的业务场景: JWT相比于普通token:JWT本身包含了用户的信息,且JWT访问资源时不需要经过认证服务器,不需要进行任何的库操作(真正意义的服务器无状态!) 问题思考:JWT不进行库操作,能否主动token失效呢?不可以 所以这里我们可以思考一下:JWT这种定时性包含用户信息的token适
JWT总结
m0_62422842的博客
05-25 4054
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
小程序、pc、h5端token的jwt解密解码(base64)
weixin_51220466的博客
09-28 2400
小程序、pc、h5端token的jwt解密解码(base64)获取数据
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
SpringBoot集成JWT快速入门Demo
最新发布
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
解密JWT(JSON Web Token):深入剖析与全面解读
m0_72410588的博客
07-25 2842
JWT是一种开放标准(RFC 7519),用于在各个应用之间安全地传输信息。它以简洁、自包含的方式在用户和服务器之间传递被声明的信息。JWT通常用于身份验证和信息交换,尤其在分布式系统中广泛使用。
JWT解密JWT:让您的Web应用程序更安全、更高效的神秘令牌
m0_74315688的博客
10-13 2782
JWT的强大,全在这一篇!!!!
jwt加密和解密
ch168321的博客
03-13 3012
首先需要导入jjwt.jar jackson-annotations jackson-core jackson-databind四个jar public class JWTUtil extends ActionSupport{ private static final long serialVersionUID = 1L; private static final String SECRET_K...
jwt_token的生成与解密
热门推荐
maqingbin8888的专栏
09-18 2万+
关键代码生成 认证token的合法性  认证token的合法性扩展 import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.JWT; import com.auth0.jwt.interfaces.Verification; import com.auth0.jwt.interfaces.DecodedJWT; vo...
jwt解密
神zhi殇的博客
11-02 6345
文章目录认识JWT什么是JWTJWT的原理HeaderPayloadSignatureJWT解码 认识JWT 什么是JWTJWT全称是JSON Web Token是一个开放标准(RFC 7519),目前最流行的跨域身份验证解决方案。 它定义了一种经过加密的格式,放在json对象在请求中传递,用于验证请求是否被允许访问。 JWT的原理 服务器经过认证以后,会生成加密串返回前台,结构如下图: JSON Web Token由三部分组成,它们之间用.连接。 * Header 头部 * Payload
jwt解析token HS256算法
大数据爱好者
11-07 1万+
package com.irootech.customercloud.common.util; import com.google.gson.Gson; import com.irootech.customercloud.bean.UserRegReporBean; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder;...
JWT工具类
houkai的博客
03-30 2万+
1.JWT 加密/解密工具类实现 import com.google.gson.Gson; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import jav...
JWT使用公钥解密
silenceyobbo的博客
07-15 8294
添加JWT工具包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.5</version> </dependency> <dependency> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值