JWT生成以及校验(粗略版本,会持续改进)

最新推荐文章于 2024-07-16 23:02:55 发布
最新推荐文章于 2024-07-16 23:02:55 发布
阅读量77 收藏
点赞数
文章标签: json java 数据库
原文链接:http://www.cnblogs.com/powerwu/articles/9285252.html
版权

pom.xml文件

<!-- Base64编码时用到 -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.2.0</version>
</dependency>
<!-- 核心包 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.8.0</version>
</dependency>

粗略的实现类:

import java.util.Date;
 
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
 
import org.bouncycastle.util.encoders.Base64;
 
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.SignatureException;
 
 
public class JWTTest {
 
    public static final String JWT_SECERT = "b3d4e546a7a94da59cb193203116c06f3acff0e258054ea0a7bce8717e44b27a";
    
    /**
     * 创建key
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodeKey = Base64.decode(JWT_SECERT);
        SecretKey key = new SecretKeySpec(encodeKey, 0, encodeKey.length, "AES");
        return key;
    }
    
    /**
     * 签发JWT
     * 
     * @param jti jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
     * @param sub jwt所面向的用户
     * @param expiredTimeAt 过期时间(当前时间ms+要过期时间ms),单位ms
     * @return
     */
    public static String createJWT(String jti, String sub, long expiredTimeAt) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        Long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder()
                .claim("name", "xxxx") // 自定义声明(可以定义多个,也可以不定义)
                .setId(jti)
                .setSubject(sub)
                .setIssuedAt(now) // jwt的签发时间
                .signWith(signatureAlgorithm, secretKey);
        if (expiredTimeAt > 0) {
            Date expDate = new Date(expiredTimeAt);
            builder.setExpiration(expDate);
        }
        return builder.compact();
    }
    
    /**
     * 校验jwtStr
     * 
     * @param jwtStr
     * @return
     * @throws ExpiredJwtException,SignatureException,Exception token已过期,签名校验失败,其它错误
     */
    public static boolean validateJWT(String jwtStr) {
        boolean flag = false;
        try {
            parseJWT(jwtStr);
            flag = true;
        } catch (ExpiredJwtException e) {
            // TODO 可以用日志来记录错误信息
        } catch (SignatureException e) {
            // TODO 可以用日志来记录错误信息
        } catch (Exception e) {
            // TODO 可以用日志来记录错误信息
        }
        return flag;
    }
    
    /**
     * 
     * 解析JWT字符串
     * 
     * @param jwt
     * @return claims,包括公告声明,自定义声明
     * @throws ExpiredJwtException,SignatureException,Exception token已过期,签名校验失败,其它错误
     */
    public static Claims parseJWT(String jwt) throws ExpiredJwtException,SignatureException,Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
            .setSigningKey(secretKey)
            .parseClaimsJws(jwt)
            .getBody();
    }
    
    public static void main(String[] args){
        String jwtString = createJWT("1001", "huang", System.currentTimeMillis() + 10000);
        System.out.println(jwtString);
        
//        Claims claims = parseJWT(jwtString);
//        System.out.println(claims.getId());
//        System.out.println(claims.getSubject());
//        System.out.println(claims.get("name")); // 自定义的
        
        try {
            System.out.println(parseJWT(jwtString));
        } catch (ExpiredJwtException e) {
            System.out.println("token已过期");
        } catch (SignatureException e) {
            System.out.println("签名校验失败");
        } catch (Exception e) {
            System.out.println("其它错误");
        }
 
    }
 
}

在JWT创建过程中,以下部分属于payload(荷载)部分

 

.claim("name", "xxxx") // 自定义声明(可以定义多个,也可以不定义)
.setId(jti)
.setSubject(sub)
.setIssuedAt(now) // jwt的签发时间


其实这部分还有另外一种方式,payload应该是json的字符串形式,这个优先级别高于上面的设置方式。(本人未亲自测试过,我是看源码得出的猜测)

Jwts.builder().setPayload(payload)


以下是设置payload的一部分源码。出处DefaultJwtBuilder.class的compact()里大概303行

if (compressionCodec != null) {
 
    byte[] bytes;
    try {
        bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
    } catch (JsonProcessingException e) {
        throw new IllegalArgumentException("Unable to serialize claims object to json.");
    }
 
    base64UrlEncodedBody = TextCodec.BASE64URL.encode(compressionCodec.compress(bytes));
 
} else {
    base64UrlEncodedBody = this.payload != null ?
            TextCodec.BASE64URL.encode(this.payload) :
            base64UrlEncode(claims, "Unable to serialize claims object to json.");

 

 

重点是这句:bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);


上面的JWTTest.java类写的很粗糙,有时间再改进。

 

--------------------------------------------------------2017年12月11日修改--------------------------------------------------------

忘记补充了,jwt一旦签发出去,不到失效时间,该token会一直生效。

如果想要手动让其失效,可以将该token保存在数据库或者缓存中。
比如存放在redis中,并同时设置失效时间,请求接收到该token后,

与redis里的token进行匹配。

--------------------------------------------------------2017年12月26日修改--------------------------------------------------------

修改版链接:http://blog.csdn.net/h996666/article/details/78902545

让jwt失效还有一个办法就是更换密钥key,一旦更换会导致之前签发出去的所有jwt失效

转载于:https://www.cnblogs.com/powerwu/articles/9285252.html

weixin_30295091
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT生成以及校验(2017-12-26修改版)
LemonCake的博客
12-26 1152
JWT生成以及校验(2017-12-26修改版)
最新版 JJWT:0.12.3 版本使用案例
bigqiangwu的博客
11-29 2387
最新版 JJWT:0.12.3 版本使用案例
最新JJWT 0.12.6学习
最新发布
weixin_43443913的博客
07-16 1251
JJWTJava JWT)是Java平台上相当流行的用于生成Json Web Token的库,其更新速度非常快,导致网上许多教程在如今看来都已经过时。本文将对最新的JJWT官方github页进行中文解释,力求做到与官方同步。payload有效负载,是JWT中的主要数据,可以是你想要的任何数据。header标头。具有 名称/值 对的JSON对象,表示有关有效负载和消息本身的元数据。
JJWT最新版本0.12.x使用指南,实现登陆功能,JwtUtils
shenyunmomie的博客
06-19 1460
JWTJSON Web Token)令牌登录,是一种用于身份验证的开放标准。它是一个基于JSON格式的安全令牌,主要用于在网络上传输声明或者用户身份信息。JWT通常被用作API的认证方式,以及跨域身份验证。JWT令牌由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。Header:记录令牌类型,加密算法Payload:包含声明,声明是有关实体(通常是用户)和其他数据的语句。
版本jjwt快速使用工具类
weixin_58403235的博客
12-23 826
【代码】新版本jjwt快速使用工具类。
版本express-jwt和新版本express-jwt
m0_70542915的博客
03-02 558
笔记
springboot前后端分离接入cas技术方案及实现(一)
--雪飘时吻你--
11-27 4259
概述 之前也做过好几个系统的sso接入,都是基于ssm架构的项目,而且没有做前后端分离,接入相对简单,最近有一个基于springboot+shiro+jwt的前后端分离项目需要接入sso平台,大体过程是知道的,但是具体技术实现没有头绪,网上相关的资料也比较少,而且很粗略,经过几天的研究,踩了许多的地雷,终于完成了sso接入,现在就把完整的方案分享一下和具体实现以及源码都分享一下。 目标 ...
粗略翻译:Spring Oauth2 官方文档(OAuth 2 Developers Guide)
zcc7up的专栏
06-22 3810
粗略翻译:Spring Oauth2 官方文档(OAuth 2 Developers Guide),个人根据官方文档进行的简单粗浅的翻译。
shiro分布式控制登录状态_使用Shiro和token进行无状态登录
weixin_39661405的博客
12-21 1018
使用Shiro和token进行无状态登录使用Shiro和token进行无状态登录我们之前可以使用shiro实现登录,但这些都是基于session或是cookie实现的,这些只能用于单机部署的服务,或是分布式服务共享话,显然后者开销极大,所以JWT(JSON Web Token)应运而生,JWT是一套约定好的认证协议,通过请求携带令牌来访问那些需鉴权的接口。我们在这里使用token,原理类似,但是...
2021年PHP-Laravel面试题问卷题 答案记录
m0_55070913的博客
08-01 797
这里并不是,只用在具体调用类时才加载类,lazyloading的意思。可以参考。
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-jwt-1.0.10.RELEASE.pom; 包含翻译后的API文档:spring-security-jwt-1.0.10.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-jwt:1.0.10.RELEASE; 标签:spring、security、jwt、springframework、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
jwt:Java Web工具包
05-25
什么是JWtJWt是用于开发Web应用程序的Java库。 它提供了一种纯Java组件驱动的方法来构建Web应用程序,并使用Ajax或纯HTML进行呈现。 与JSF不同,它没有页面的概念,也没有在页面“视图”和可重用的“组件”之间进行拆分,从而使重用变得不切实际。 相反,所有内容都是一个小部件,可以在其他小部件中继续使用。 有关更多信息,请参阅。 依存关系 该库需要Servlet 2.5或3.0容器。 当部署在Servlet 3.0容器中时,它可以使用异步I / O功能来提高使用服务器推送功能时的可伸缩性。 如果要使用PDF渲染支持(WPdfImage和WPdfRenderer类),则还需要将PdfJet [ ]添加到项目中。 建造 它可以很简单: ant 演示,范例 主页包含。 玛文 ant构建文件有一个单独的目标来生成maven pom文件: ant mvn 要将这
JWT签名 0.12.3版本
weixin_45500120的博客
11-23 1283
JWT签名 , 在不需要头信息的情况下, 使用parseSignedClaims方法更加方便使用。
OAuth2和JWT - 如何设计安全的API?
2401_84264010的博客
04-28 664
转自:乐傻驴链接:www.jianshu.com/p/1f2d6e5126cb本文详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:你已经或者正在实现API;你正在考虑选择一个合适的方法保证API的安全性;要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。
JAVAJWT令牌生成和解析(库:jjwt 版本:0.12.3)
qq_45137726的博客
01-27 2112
JWT令牌的jjwt-root库,生成和解析jwt令牌的方法。下面的代码介绍了两种密钥设置的方法。方法一自定义密钥(需满足长度>=256 bits);方法二:使用HMAC-SHA 算法生成密钥。PS:不理解的,可以看一看它的源码中相关方法的注释,再结合官方文档,就很容易理解了。
JWT完全攻略版
qq_30108237的博客
05-31 471
JWT完全攻略一句话介绍JWT!啥时候用JWTJWT的组成部分实际项目中的应用分析总结一下优点缺点 想必大家对于JWT也是耳熟能详了,但是具体如何实现,就让我们一起来看一下吧。 一句话介绍JWT! 通俗来讲,JWT 是一个含签名并携带用户相关信息的加密串,页面请求校验登录接口时,请求头中携带 JWT 串到后端服务,后端通过签名加密串匹配校验,保证信息未被篡改。校验通过则认为是可靠的请求,将正常返回数据。 啥时候用JWT啊 授权!基本上遇到单点登录问题,JWT就完了!毕竟用起来轻便、开销小,而且服务端无
JWT基础
trouble is a friend
10-13 554
参考:JWT——概念、认证流程、结构、使用JWT_Guizy-CSDN博客 一、什么是JWT JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 二、JWT能做什么? 1、授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不.
前后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
weixin_45677046的博客
12-16 1349
前后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
生成一个JWT生成校验的代码
04-26
好的,我可以帮助你生成一个JWT生成校验的代码。 首先,你需要安装 JSON Web Token(JWT)的依赖。在 Node.js 中,你可以使用以下命令安装它: ``` npm install jsonwebtoken ``` 然后,你可以使用以下代码生成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值