使用 Spring Boot 实现 JWT 生成与验证的自定义类

于 2024-09-29 10:37:17 发布
阅读量721 收藏 5
点赞数 13
分类专栏: SpringBoot java 笔记 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waiter456/article/details/142629844
版权
java 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
SpringBoot
18 篇文章 0 订阅
订阅专栏
笔记
15 篇文章 0 订阅
订阅专栏

在现代 web 应用中,JWT(JSON Web Tokens)被广泛用于用户身份验证。本文将展示如何创建一个自定义的 JWT 生成与验证类 JwtPlus,该类使用对称加密算法,并支持灵活的配置选项。我们将通过以下步骤实现这个功能:

1. 背景介绍

JWT 的结构通常包含三个部分:头部(Header)、载体(Payload)和签名(Signature)。通过对这三个部分进行编码和加密,JWT 能够安全地传递用户信息。有效的 JWT 需要在客户端和服务器之间传递,因此确保它们的安全性是至关重要的。

2. 主要功能需求

  • 生成 JWT:支持自定义 Header 和 Claims,并使用对称加密算法生成签名。
  • 验证 JWT:能够验证签名的有效性,并提取载体部分的数据。
  • 支持自定义算法:允许开发者使用不同的加密算法。

3. 实现步骤

3.1. 创建 Algorithm

该类用于定义加密算法及其密钥:

public class Algorithm {
    private String name;
    private String key;

    public Algorithm(String name, String key) {
        this.name = name;
        this.key = key;
    }

    public String getName() {
        return name;
    }

    public String getKey() {
        return key;
    }
}

3.2. 创建 JwtPlus

这是我们主要的 JWT 处理类,包含生成和验证的逻辑。

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

public class JwtPlus {

    private Map<String, String> header;
    private Map<String, String> claims;
    private Algorithm algorithm;

    // 私有构造函数,防止直接实例化private JwtPlus(Builder builder) {
        this.header = builder.header;
        this.claims = builder.claims;
        this.algorithm = builder.algorithm;
    }

    // 静态方法,用于获取 Builder 实例public static Builder builder() {
        return new Builder();
    }

    // 静态方法,用于获取 JwtVerifier 实例public static JwtVerifier require() {
        return new JwtVerifier();
    }

    // 生成 Token 方法public String sign() {
        if (header == null || header.isEmpty()) {
            header = new HashMap<>();
            header.put("alg", algorithm.getName());
            header.put("typ", "JWT");
        }

        String headerEncoded = encodeBase64(mapToString(header));
        String claimsEncoded = encodeBase64(mapToString(claims));

        String signature = generateSignature(headerEncoded, claimsEncoded);

        return headerEncoded + "." + claimsEncoded + "." + signature;
    }

    // 生成签名private String generateSignature(String header, String claims) {
        try {
            String data = header + "." + claims;
            Mac mac = Mac.getInstance(algorithm.getName());
            SecretKeySpec secretKeySpec = new SecretKeySpec(algorithm.getKey().getBytes(StandardCharsets.UTF_8), algorithm.getName());
            mac.init(secretKeySpec);
            byte[] signatureBytes = mac.doFinal(data.getBytes(StandardCharsets.UTF_8));
            return encodeBase64(new String(signatureBytes, StandardCharsets.UTF_8));
        } catch (Exception e) {
            throw new RuntimeException("Error generating signature", e);
        }
    }

    // 内部类 JwtVerifierpublic static class JwtVerifier {
        private String secretKey;
        private Algorithm algorithm;

        public JwtVerifier secret(String secretKey) {
            this.secretKey = secretKey;
            return this;
        }

        public JwtVerifier algorithm(Algorithm algorithm) {
            this.algorithm = algorithm;
            return this;
        }

        public boolean verify(String token) {
            String[] parts = token.split("\\.");
            if (parts.length != 3) {
                return false;
            }

            String headerEncoded = parts[0];
            String claimsEncoded = parts[1];
            String signature = parts[2];

            String expectedSignature = JwtPlus.builder()
                    .claims(new HashMap<>()) // 空 claims 仅用于签名
                    .algorithm(algorithm)
                    .build()
                    .generateSignature(headerEncoded, claimsEncoded);

            return expectedSignature.equals(signature);
        }

        public Map<String, String> getClaims(String token) {
            String[] parts = token.split("\\.");
            if (parts.length != 3) {
                throw new IllegalArgumentException("Invalid Token format");
            }

            String claimsEncoded = parts[1];
            return stringToMap(decodeBase64(claimsEncoded));
        }
    }

    // 其他方法保持不变

    private static String encodeBase64(String data) {
        return Base64.getUrlEncoder().withoutPadding().encodeToString(data.getBytes(StandardCharsets.UTF_8));
    }

    private static String decodeBase64(String data) {
        return new String(Base64.getUrlDecoder().decode(data), StandardCharsets.UTF_8);
    }

    private static String mapToString(Map<String, String> map) {
        StringBuilder sb = new StringBuilder();
        for (Map.Entry<String, String> entry : map.entrySet()) {
            sb.append(entry.getKey()).append("=").append(entry.getValue()).append(";");
        }
        return sb.toString();
    }

    private static Map<String, String> stringToMap(String token) {
        Map<String, String> map = new HashMap<>();
        String[] pairs = token.split(";");
        for (String pair : pairs) {
            String[] keyValue = pair.split("=");
            if (keyValue.length == 2) {
                map.put(keyValue[0], keyValue[1]);
            }
        }
        return map;
    }

    // Builder 类public static class Builder {
        private Map<String, String> header = new HashMap<>();
        private Map<String, String> claims = new HashMap<>();
        private Algorithm algorithm = new Algorithm("HmacSHA256", "default_secret_key");

        public Builder withHeader(Map<String, String> header) {
            this.header.putAll(header);
            return this;
        }

        public Builder claim(String key, String value) {
            this.claims.put(key, value);
            return this;
        }

        public Builder claims(Map<String, String> claims) {
            this.claims.putAll(claims);
            return this;
        }

        public Builder algorithm(Algorithm algorithm) {
            this.algorithm = algorithm;
            return this;
        }

        public JwtPlus build() {
            return new JwtPlus(this);
        }
    }
}

4. 调用示例

以下是如何使用 JwtPlusJwtVerifier 的示例:

public class TokenExample {public static void main(String[] args) {
        // 使用 builder 模式生成 Token
        Algorithm algorithm = new Algorithm("HmacSHA256", "your_secret_key");

        String token = JwtPlus.builder()
                              .claim("userId", "12345")
                              .claim("role", "admin")
                              .algorithm(algorithm)
                              .build()
                              .sign();

        System.out.println("Generated Token: " + token);

        // 使用 JwtVerifier 验证 Token
        JwtPlus.JwtVerifier verifier = JwtPlus.require()
                                              .secret("your_secret_key")
                                              .algorithm(algorithm);

        boolean isValid = verifier.verify(token);
        System.out.println("Is Token valid? " + isValid);

        // 获取 Token 中的载体部分
        Map<String, String> claims = verifier.getClaims(token);
        System.out.println("Claims: " + claims);
    }
}

5. 实现原理与方法

  1. Token 结构:JWT 由三部分组成,分别为 Header、Payload 和 Signature。Header 指定了所使用的签名算法,Payload 存放用户信息,Signature 则是使用 Header 和 Payload 生成的。
  2. 生成 JWT:
  • 使用 Builder 模式构建 JWT 对象。
  • 编码 Header 和 Payload,并生成签名。
  • 最终将三个部分通过点(.)连接成一个字符串。
  1. 验证 JWT:
  • 使用 JwtVerifier 类来验证 JWT 的有效性。
  • 验证过程包括拆分 Token,重新生成签名,并与原始签名进行比较。
  1. 灵活性:通过 Algorithm 类,可以方便地实现对称加密算法的切换,使得代码更加灵活且易于扩展。

结论

本文展示了如何使用 Java 创建一个自定义的 JWT 生成与验证类,具有灵活的算法选择和安全的签名生成。这种方法为开发现代 web 应用提供了可靠的身份验证机制,同时保持了代码的可维护性和扩展性。希望这能帮助你在项目中实现 JWT 认证!

微特尔普拉斯
关注
专栏目录
使用Spring-boot集成JWT生成token验证
weixin_64632563的博客
06-24 1785
使用springboot框架集成JWT实现登录token验证
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
接下来,我们将步骤化讲解如何在Spring Boot 3.x与Spring Security的集成中使用JWT: 1. **项目初始化**: - 创建一个新的Spring Boot项目,选择Spring Web和Spring Security starter。 - 添加JWT相关的依赖,如`...
使用Spring BootJWT实现安全认证
技术研究中心
07-12 933
JSON Web Token(JWT)是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。在Web开发中,JWT通常用于跨域认证和授权,特别适合于分布式系统的身份验证。通过集成Spring Security和自定义JwtTokenProvider,我们可以实现基于JWT的用户身份验证和访问控制功能,提升了系统的安全性和可扩展性。在Spring Boot项目中,我们可以通过集成Spring Security和引入JWT库来实现安全认证功能。
Spring Boot 实现 JWT
云胡
06-21 7757
Web 网站离不开用户认证,这边我们不用 ,而直接使用JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程JWT 由三个部分组成:在 中添加 配置信息。 2.2 新建 JwtUtil 工具 新建 目录,在 目录下新建 。将当前 注入到 容器中。,匹配 配置文件的前缀,然后将配置文件里面的数据加载到当前。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料
spring boot集成JWT实现token验证
weixin_45084986的博客
03-25 1451
JWT的主要应用场景 身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。 优点 1.简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数
Spring Boot | Spring Boot使用JWT实现单点登录
jonssonyan
09-15 4726
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们.
Spring Boot项目中集成JWT进行身份验证
最新发布
m0_56131422的博客
09-05 1482
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境中安全地传递信息。它主要用于在客户端和服务器之间传递经过签名的 JSON 数据,以确保数据的完整性和真实性。
SpringSecurity实现Jwt自定义登录
qq_45537574的博客
01-20 5580
文章目录一、SpringSecurity的工作流程二、springboot+springsecurity+jwt1、项目准备2、编写过滤器AuthenticationLoginFilter3、编写登录成功/失败处理器1、登录成功处理器LoginAuthenticationSuccessHandler2、登录失败处理器LoginAuthenticationFailureHandler4、实现UserDetailsService5、权限不足和未登录访问资源处理器1、权限不足处理器RequestAccessDen
Spring Boot+Spring Security + JWT + Redis实现登录验证
qq_41158525的博客
07-15 2424
springboot版本:2.4.3 创建项目啥的我就不说了,大家都看这个了,相信创建项目都轻而易举了,直接进入正题; 1:添加JWTSpring Security依赖,多添加一个validation校验和lombok <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
Spring boot Security Jwt
何xiao树
05-31 1539
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,Spring Security会被配置为使用JWT进行身份验证。首先,我们需要创建一个自定义的`AuthenticationProvider`,负责验证用户的凭证。接着,当用户成功登录后,我们将在`AuthenticationSuccessHandler`中...
myeclipse导入项目报错解决:import sun.misc.BASE64Decoder无法找到
服务员的博客
04-08 9229
一直以来Base64算法的加密解密都是使用sun.misc包下的BASE64Encoder及BASE64Decoder来进行的。但是这个是sun公司的内部方法,并没有在Java API中公开过,不属于JDK标准库范畴,但在JDK中包含了该,可以直接使用。但是在Eclipse和MyEclipse中直接使用,却找不到该。 问题描述如下图: 第一种方法:解决方案: 第一步:在使用sun.mi...
视频格式转换工具,用到ws.schild.jave,之前是用的it.sauronsoftware.jave,作者已经不维护了
服务员的博客
12-11 8985
package com.maike.common.util; import java.io.File; import java.io.FileInputStream; import java.io.IOException; import java.nio.channels.FileChannel; import java.util.ArrayList; import java.util.List; import org.slf4j.Logger; import org.slf4j.LoggerFact.
关于excel多层级(树形)数据结构,提取成树形结构数据并导出到数据库
服务员的博客
12-23 7399
在开发中遇到一个问题,就是有一张excel表中的数据时多层级的,不是普通一行一行的,而是,一行对应多行,多行之中的每一行在对应多行数据。形成树形结构: 如上图所示:我遇到的excel表的结构: 导入到数据库中,是有多个表组成的!我要实现把这些数据提取出来西港城一个树形而机构的List,然后转为json,导入数据库。 献上我的核心代码: // 获取Excel内容 public static List<?> getContent(Sheet sheet) { List&lt
关于Java堆栈的理解与说明
服务员的博客
10-28 4189
说到java的堆和栈就想起来了,java内存中的分配结构。作为一个Java的程序员,我们肯定知道Java的程序是运行在java虚拟机上的,也就是平时所说的JVM。程序中所有的方法、变量、常量、实例、静态存储都是由JVM在内存中进行分配的。 1.寄存器:JVM中运行最快的,JVM内部的虚拟的存储器和CPU有关,我们无法控制。 2.堆栈(也就是平时所说的栈stack):用来存放基本数据型和引用数据型的实例的(也就是实例对象的在堆中的首地址,Person p = new Person; p...
Java中banner字符画,可生成各种图案
服务员的博客
11-26 3673
http://patorjk.com/software/taag http://www.network-science.de/ascii/ http://www.degraeve.com/img2txt.ph http://patorjk.com/software/taag http://www.network-science.de/ascii/ http://www.degraeve.com/img2txt.php
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值