java jwidnow_Json Web Token JWT的Java使用 (JJWT)

最新推荐文章于 2024-04-23 08:50:31 发布
最新推荐文章于 2024-04-23 08:50:31 发布
阅读量230 收藏
点赞数
文章标签: java jwidnow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39842237/article/details/114596333
版权

bc7fdfc03a181785f939cc7c3cabcadc.gif

什么是JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

jwt的组成Header: 标题包含了令牌的元数据,并且在最小包含签名和/或加密算法的类型

Claims: Claims包含您想要签署的任何信息

JSON Web Signature (JWS): 在header中指定的使用该算法的数字签名和声明

示例Header:

{

"alg": "HS256",

"typ": "JWT"

}

Claims:

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

Signature:

base64UrlEncode(Header) + "." + base64UrlEncode(Claims)

加密生成的token:

bc7fdfc03a181785f939cc7c3cabcadc.gif

JJWT

JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。JJWT的目标是最容易使用和理解用于在JVM上创建和验证JSON Web令牌(JWTs)的库。

JJWT是基于JWT、JWS、JWE、JWK和JWA RFC规范的Java实现。

JJWT还添加了一些不属于规范的便利扩展,比如JWT压缩和索赔强制。

JJWT 规范兼容创建和解析明文压缩JWTs

创建、解析和验证所有标准JWS算法的数字签名压缩JWTs(又称JWSs):

HS256:使用SHA-256的HMAC

HS384:使用SHA-384的HMAC

HS512:使用SHA-512的HMAC

RS256:使用SHA-256的RSASSA-PKCS-v1_5

RS384:使用SHA-384的RSASSA-PKCS-v1_5

RS512:使用SHA-512的RSASSA-PKCS-v1_5

PS256:使用SHA-256的RSASSA-PSS和使用SHA-256的MGF1

PS384:使用SHA-384的RSASSA-PSS和使用SHA-384的MGF1

PS512:使用SHA-512的RSASSA-PSS和使用SHA-512的MGF1

ES256:使用P-256和SHA-256的ECDSA

ES384:使用P-384和SHA-384的ECDSA

ES512:使用P-521和SHA-512的ECDSA

下面我们根据 https://github.com/jwtk/jjwt 上的demo,来介绍下 JJWT 的用法。

jjwt 安装

jjwt 提供了 Maven 和 Gradle 两种构建方式,Maven 配置如下即可使用 JJWT。

io.jsonwebtoken

jjwt

0.9.0 

Gradle 使用方式如下:dependencies { compile 'io.jsonwebtoken:jjwt:0.9.0' }

注意:JJWT依赖于Jackson 2.x. 如果您已经在您的应用程序中使用了旧版本的 Jackson 请升级相关配置。

示例代码

签发 JWTpublic static String createJWT() {

SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

SecretKey secretKey = generalKey();

JwtBuilder builder = Jwts.builder()

.setId(id)                                      // JWT_ID

.setAudience("")                                // 接受者

.setClaims(null)                                // 自定义属性

.setSubject("")                                 // 主题

.setIssuer("")                                  // 签发者

.setIssuedAt(new Date())                        // 签发时间

.setNotBefore(new Date())                       // 失效时间

.setExpiration(long)                                // 过期时间

.signWith(signatureAlgorithm, secretKey);           // 签名算法以及密匙

return builder.compact();

}

验证 JWTpublic static Claims parseJWT(String jwt) throws Exception {

SecretKey secretKey = generalKey();

return Jwts.parser()

.setSigningKey(secretKey)

.parseClaimsJws(jwt)

.getBody();

}

完整示例package com.tingfeng.demo;

import com.google.gson.Gson;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.apache.tomcat.util.codec.binary.Base64;

import javax.crypto.SecretKey;

import javax.crypto.spec.SecretKeySpec;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

public class JwtUtil {

/**

* 由字符串生成加密key

*

* @return

*/

public SecretKey generalKey() {

String stringKey = Constant.JWT_SECRET;

// 本地的密码解码

byte[] encodedKey = Base64.decodeBase64(stringKey);

// 根据给定的字节数组使用AES加密算法构造一个密钥

SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");

return key;

}

/**

* 创建jwt

* @param id

* @param issuer

* @param subject

* @param ttlMillis

* @return

* @throws Exception

*/

public String createJWT(String id, String issuer, String subject, long ttlMillis) throws Exception {

// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。

SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

// 生成JWT的时间

long nowMillis = System.currentTimeMillis();

Date now = new Date(nowMillis);

// 创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)

Map claims = new HashMap<>();

claims.put("uid", "123456");

claims.put("user_name", "admin");

claims.put("nick_name", "X-rapido");

// 生成签名的时候使用的秘钥secret,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。

// 一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

SecretKey key = generalKey();

// 下面就是在为payload添加各种标准声明和私有声明了

JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body

.setClaims(claims)          // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的

.setId(id)                  // 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。

.setIssuedAt(now)           // iat: jwt的签发时间

.setIssuer(issuer)          // issuer:jwt签发人

.setSubject(subject)        // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。

.signWith(signatureAlgorithm, key); // 设置签名使用的签名算法和签名使用的秘钥

// 设置过期时间

if (ttlMillis >= 0) {

long expMillis = nowMillis + ttlMillis;

Date exp = new Date(expMillis);

builder.setExpiration(exp);

}

return builder.compact();

}

/**

* 解密jwt

*

* @param jwt

* @return

* @throws Exception

*/

public Claims parseJWT(String jwt) throws Exception {

SecretKey key = generalKey();  //签名秘钥,和生成的签名的秘钥一模一样

Claims claims = Jwts.parser()  //得到DefaultJwtParser

.setSigningKey(key)                 //设置签名的秘钥

.parseClaimsJws(jwt).getBody();     //设置需要解析的jwt

return claims;

}

public static void main(String[] args) {

User user = new User("tingfeng", "bulingbuling", "1056856191");

String subject = new Gson().toJson(user);

try {

JwtUtil util = new JwtUtil();

String jwt = util.createJWT(Constant.JWT_ID, "Anson", subject, Constant.JWT_TTL);

System.out.println("JWT:" + jwt);

System.out.println("\n解密\n");

Claims c = util.parseJWT(jwt);

System.out.println(c.getId());

System.out.println(c.getIssuedAt());

System.out.println(c.getSubject());

System.out.println(c.getIssuer());

System.out.println(c.get("uid", String.class));

} catch (Exception e) {

e.printStackTrace();

}

}

}

Constant.javapackage com.tingfeng.demo;

import java.util.UUID;

public class Constant {

public static final String JWT_ID = UUID.randomUUID().toString();

/**

* 加密密文

*/

public static final String JWT_SECRET = "woyebuzhidaoxiediansha";

public static final int JWT_TTL = 60*60*1000;  //millisecond

}

输出示例JWT:eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiIxMjM0NTYiLCJzdWIiOiJ7XCJuaWNrbmFtZVwiOlwidGluZ2ZlbmdcIixcIndlY2hhdFwiOlwiYnVsaW5nYnVsaW5nXCIsXCJxcVwiOlwiMTA1Njg1NjE5MVwifSIsInVzZXJfbmFtZSI6ImFkbWluIiwibmlja19uYW1lIjoiWC1yYXBpZG8iLCJpc3MiOiJBbnNvbiIsImV4cCI6MTUyMjMxNDEyNCwiaWF0IjoxNTIyMzEwNTI0LCJqdGkiOiJhNGQ5MjA0Zi1kYjM3LTRhZGYtODE0NS1iZGNmMDAzMzFmZjYifQ.B5wdY3_W4MZLj9uBHSYalG6vmYwdpdTXg0otdwTmU4U

解密

a4d9204f-db37-4adf-8145-bdcf00331ff6

Thu Mar 29 16:02:04 CST 2018

{"nickname":"tingfeng","wechat":"bulingbuling","qq":"1056856191"}

Anson

123456

一般我们把验证操作作为中间件或者拦截器就行了,请求后端API接口时候,通过过滤器获取header中的token,验证是否正确、是否过期等。

参考文章

weixin_39842237
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全防护-JSON WEB TOKEN讲解与实战_jsonwebtoken 规范
m0_v648374的博客
04-12 806
然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
JWT(Json Web Token)Java实现jar
04-18
JSON Web TokenJWT)是一种广泛使用的轻量级身份验证和授权机制,主要应用于Web应用程序和服务之间的安全通信。JWT通过在客户端和服务器之间传递令牌来携带信息,这些信息经过签名,可以确保数据的完整性和不可...
javajjwt使用笔记
hjh15827475896的博客
06-01 330
在springboot 项目中使用jjwt 的包 ,出现了一些未知的问题最开始我引入的包是这样的</</</</只要引入以上这个包就可以了, 我在有的项目中引入了这个包也确实没有问题, 但有时候, 当你在代码中使用 Keys.secretKeyFor(SignatureAlgorithm.HS256) 生成一个密钥时, 居然显示, 没有 Keys 这个类, Keys 是 io.jsonwebtoken.security包下的类, 当然也找不到 这个包了。
关于JWTJson Web Token
04-11 495
/</</</
Java 整合JWT
最新发布
czxy_xingchen的博客
04-23 414
JWT,全称是JSON Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;Token需要加密,进行保护,采用RSA加密。
解锁互联网安全的新钥匙:JWTJSON Web Token
weixin_74268571的博客
10-13 1723
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理和JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. 问题解决
fengzheng1232的博客
08-11 1068
报错:io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. Current time: 2023-08-11T21:44:58Z, a difference of 83334559 milliseconds. Allowed clock skew: 0 milliseconds.(JWT于2023-08-10T22:36:04Z到期。当前时间:2023-08-11T21:44:58Z,相差83334559毫秒。
jwt-handbook.zip_JSON_JWT Handbook_jwt handbook_jwt hankbook_jw
09-23
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT广泛应用于认证和授权,例如...
Json Web Token 介绍与基本使用完整源码
02-16
Json Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
jjwtJava JWTJava和Android的JSON Web令牌
02-03
JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是一个纯Java实现,完全基于 , , , 和 RFC规范,并根据的条款开源。 该图书馆由高级建筑师创建,并由贡献者提供...
使用JJWT库的Java JWT令牌教程
04-11
Java JSON Web Token (JWT) 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。在Java开发中,JJTW(Java JWT)库提供了一个简单且直观的方式...
JSONWebToken(JWT)的Java实现
08-08
JSON Web Token (JWT)的Java实现
什么是 JWT -- JSON WEB TOKEN
zhoupenghui168的博客
02-10 229
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认
JWT讲解(一)
weixin_43114209的博客
06-18 1万+
JWTJSON Web Token)是一种用于在不同应用之间安全传输信息的开放标准(RFC 7519)。JWT通常用于Web应用程序和API中的身份验证和授权目的。JWT由三个部分组成:头部(header)、负载(payload)和签名(signature)。头部通常包含关于令牌类型和使用的签名算法的信息。负载包含有关用户或其他传输数据的声明或陈述。这些声明可以包括用户的身份、权限和其他元数据等信息。签名用于验证令牌的完整性,确保它没有被篡改。在这个示例中,令牌由三部分组成,以点号(‘.’)分隔。
JWTJava使用 (JJWT)
热门推荐
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWTJava中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWTJava中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
2021-09-30 JWTJJWT - yahya
yahya·小阳的博客
10-01 242
jwt 是什么 jwtJson web token)是json对象的编码表示,json对象由零个或多个名称/值对组成,其中名称是string,值为任意json值。 JWT有助于(例如在URL中)发送这样的信息,可以被信任为不可读(即加密的)、不可修改的(即签名)和URL - safe(即Base64编码的)。 jwt 的组成 Header: 标题包含了令牌的元数据,包含签名、加密算法的类型 Claims: Claims包含您想要签署的任何信息 JSON Web Signature (JWS): 在head
什么是JWT及在JAVA中如何使用
一切总会归于平淡
10-24 3949
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
JWT的学习和JJWT使用
qq_47948345的博客
09-15 1222
jwt令牌的学习和在java中的整合应用
jwt token(JSON Web Token)
weixin_43732943的博客
12-04 2954
pd-tools-jwt模块的定位是对于jwt令牌相关操作进行封装,为认证、鉴权提供支撑。 提供的功能:生成jwt token、解析jwt tokenHTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 、口令是 ,则拼接后的结果就是
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 然后,可以编写一个 `JwtUtil` 类来实现 JWT 的生成和解析: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtil { private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public static String generateToken(String subject, long expirationTimeMillis) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTimeMillis); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(key) .compact(); } public static String parseToken(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(key) .build() .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在上面的代码中,`generateToken` 方法用于生成 JWT,接受一个 `subject` 参数表示用户 ID,和一个 `expirationTimeMillis` 参数表示过期时间(以毫秒为单位)。`parseToken` 方法用于解析 JWT,返回其中的用户 ID。 接下来,可以编写一个简单的登录接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (authenticate(user)) { String token = JwtUtil.generateToken(user.getId(), 86400000); return ResponseEntity.ok(token); } else { return ResponseEntity.badRequest().build(); } } private boolean authenticate(User user) { // TODO: 实现验证逻辑 return true; } } ``` 在上面的代码中,`User` 是一个简单的 Java 类,包含一个字符串类型的 `id` 属性。`login` 方法接受一个 `User` 对象作为参数,调用 `authenticate` 方法进行验证。如果验证通过,则使用 `JwtUtil.generateToken` 方法生成 JWT 并返回;否则返回错误响应。 最后,可以编写一个使用 JWT 进行身份验证的接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { @GetMapping("/user") public ResponseEntity<String> getUser(@RequestHeader("Authorization") String authorizationHeader) { String token = authorizationHeader.substring(7); String userId = JwtUtil.parseToken(token); // TODO: 根据用户 ID 查询用户信息并返回 return ResponseEntity.ok("User ID: " + userId); } } ``` 在上面的代码中,`getUser` 方法接受一个名为 `Authorization` 的请求头,其中包含 JWT。首先从请求头中获取 JWT,并调用 `JwtUtil.parseToken` 方法解析其中的用户 ID。然后根据用户 ID 查询用户信息并返回。 注意,在实际应用中,需要对 JWT 进行安全性考虑,比如使用 HTTPS 协议传输、设置较短的过期时间、使用更复杂的密钥等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值