JWT学习

最新推荐文章于 2023-10-13 18:50:56 发布
最新推荐文章于 2023-10-13 18:50:56 发布
阅读量512 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42112223/article/details/102060987
版权

JWT

1,JWT介绍

全名:Json W eb Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。
JWT一般放入是做头部一起进行请求Authorization ,所以跨域资源共(CORS)不会成为问题,因为它不使用cookie。

官网地址

2,JWT组成结构

一个JWT实际上就是一个字符串,由三部分组成头部,载荷,签名
通常情况下

xxxxx.yyyyy.zzzzz

1,头部(Header)

头部通常由两部分组成:令牌的类型(即JWT)和所使用的签名加密算法,例如HMAC SHA256或RSA。

{
  "alg": "HS256",
  "typ": "JWT"
}

然后此json被base64编码,形成JWT的第一部分(可解码)

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2,载荷(payload)

载荷就是存放有效信息的地方,这些有效信息包括三部分
1,Registered claims: 注册声明

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

2,Public claims: 公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

3,Private claims:私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息,这个指的就是自定义的claim

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

像admin:true就是自定义的claim,根据自己的验证规则,确定是否有用
然后进行base64编码(可解密),得到JWT的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

3,签名(signature)

要创建签名部分,您必须获取编码的Header,编码的payload,secret,然后用Header中指定的算法,三部分组成。
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐 secret(一般是放在服务端,可以理解为密钥) 组合加密,然后就构成了jwt的第三部分

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

形成

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的JWT

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I
kpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

3,Java实现JWT(JJWT)

JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache
License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。

3.1 引入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

3.2 生成不过期的token

1,创建类CreateJwtDemo.java

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * @Author : FuYu
 * @Despriotion : 生成不过期token
 */
public class CreateJwtDemo {
    public static void main(String[] args) {
        JwtBuilder builder= Jwts.builder().setId("123")
                .setSubject("小白")
                //签发时间
                .setIssuedAt(new Date())
                //签名密钥 (jjwt)加密
                .signWith(SignatureAlgorithm.HS256,"jjwt");
        System.out.println( builder.compact() );
    }
}

控制台

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxMjMiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NzAxNjIxODB9.txnBHKh7Hf0in0vNwPj8fwho4Ze31Z5lJ1GqUoV5ScM

再次运行,会发现每次运行的结果是不一样的,因为我们的载荷中包含了时间。

3.3 解析不过期的token

1,创建类ParseJwtDemo.java

/**
 * @Author : FuYu
 * @Despriotion : 解析不过期token
 */
public class ParseJwtDemo {
    public static void main(String[] args) {
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxMjMiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NzAxNjIxODB9.txnBHKh7Hf0in0vNwPj8fwho4Ze31Z5lJ1GqUoV5ScM";
        Claims claims = Jwts.parser().setSigningKey("jjwt").parseClaimsJws(token).getBody();
        System.out.println("id:" + claims.getId());
        System.out.println("subject:" + claims.getSubject());
        System.out.println("IssuedAt:" + claims.getIssuedAt());
    }
}

前提:要知道密钥,先前密钥是jjwt,所以这里用jjwt做密钥解密
控制台

id:123
subject:小白
IssuedAt:Fri Oct 04 12:09:40 CST 2019

试试把jjwt换成别的密钥,会发现报错

3.4 生成可过期token的

有很多时候,我们并不希望签发的token是永久生效的,所以我们可以为token添加一个过期时间
1,创建CreateJwtDemo2

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * @Author : FuYu
 * @Despriotion : 生成会过期的的token
 */
public class CreateJwtDemo2 {
    public static void main(String[] args) {
        //当前时间
        long now = System.currentTimeMillis();
        //过期时间为1分钟
        long exp = now + 1000 * 60;
        JwtBuilder builder = Jwts.builder().setId("123")
                .setSubject("小白")
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, "jjwt")
                //设置过期时间
                .setExpiration(new Date(exp));
        System.out.println(builder.compact());
    }
}

控制台

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxMjMiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NzAxNjI4OTksImV4cCI6MTU3MDE2Mjk1OX0.pqNSTcAMMiG2kSUFJTIQcu7GEZ9xaCTd18aW3cbQhXM

3.5 解析可过期的token

1,创建ParseJwtDemo2.java

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

import java.text.SimpleDateFormat;
import java.util.Date;

/**
 * @Author : FuYu
 * @Despriotion : 解析会过期token
 */
public class ParseJwtDemo2 {
    public static void main(String[] args) {
        String compactJws = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxMjMiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NzAxNjI4OTksImV4cCI6MTU3MDE2Mjk1OX0.pqNSTcAMMiG2kSUFJTIQcu7GEZ9xaCTd18aW3cbQhXM";
        Claims claims = Jwts.parser().setSigningKey("jjwt").parseClaimsJws(compactJws).getBody();
        System.out.println("id:" + claims.getId());
        System.out.println("subject:" + claims.getSubject());
        SimpleDateFormat sdf = new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");
        System.out.println("签发时间:" + sdf.format(claims.getIssuedAt()));
        System.out.println("过期时 间:"+sdf.format(claims.getExpiration()));
        System.out.println("当前时间:" + sdf.format(new Date()));
    }
}

控制台

id:123
subject:小白
签发时间:2019‐10‐04 12:21:39
过期时 间:2019‐10‐04 12:22:39
当前时间:2019‐10‐04 12:22:18

但是等一分钟后再运行,会发现控制台报错,jwt过期报错

Exception in thread "main" io.jsonwebtoken.ExpiredJwtException: JWT expired at 2019-10-04T12:22:39Z. Current time: 2019-10-04T12:23:01Z, a difference of 22250 milliseconds.  Allowed clock skew: 0 milliseconds.
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:385)
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:481)
	at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:541)
	at com.fy.ParseJwtDemo2.main(ParseJwDemo2.java:16)

3.6 生成自定义claims的token

1,创建CreateJwtDemo3.java

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * @Author : FuYu
 * @Despriotion : 自定义claims
 */
public class CreateJwtDemo3 {
    public static void main(String[] args) {
        //当前时间
        long now = System.currentTimeMillis();
        //过期时间为1分钟
        long exp = now + 1000 * 60;
        JwtBuilder builder = Jwts.builder().setId("123")
                .setSubject("小白")
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, "jjwt")
                .setExpiration(new Date(exp))
                //自定义claim
                .claim("roles", "admin")
                .claim("logo", "logo.png");
        System.out.println(builder.compact());
    }
}

控制台

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxMjMiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NzAxNjMyMDgsImV4cCI6MTU3MDE2MzI2OCwicm9sZXMiOiJhZG1pbiIsImxvZ28iOiJsb2dvLnBuZyJ9._8YdsqBQSW1ctNmoXVTVpGWyYm8wsF-6Pt2ZKbXfyrk

3.7 解析自定义claims的token

1,创建ParseJwtDemo3.java

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

import java.text.SimpleDateFormat;
import java.util.Date;

/**
 * @Author : FuYu
 * @Despriotion : 解析自定义的claims token
 */
public class ParseJwtDemo3 {
    public static void main(String[] args) {
        String compactJws="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxMjMiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NzAxNjMyMDgsImV4cCI6MTU3MDE2MzI2OCwicm9sZXMiOiJhZG1pbiIsImxvZ28iOiJsb2dvLnBuZyJ9._8YdsqBQSW1ctNmoXVTVpGWyYm8wsF-6Pt2ZKbXfyrk";
        Claims claims = Jwts.parser().setSigningKey("jjwt").parseClaimsJws(compactJws).getBody();
        System.out.println("id:"+claims.getId());
        System.out.println("subject:"+claims.getSubject());
        System.out.println("roles:"+claims.get("roles"));
        System.out.println("logo:"+claims.get("logo"));
        SimpleDateFormat sdf=new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");
        System.out.println("签发时间:"+sdf.format(claims.getIssuedAt()));
        System.out.println("过期时间:"+sdf.format(claims.getExpiration()));
        System.out.println("当前时间:"+sdf.format(new Date()) );
    }
}

控制台

id:123
subject:小白
roles:admin
logo:logo.png
签发时间:2019‐10‐04 12:26:48
过期时间:2019‐10‐04 12:27:48
当前时间:2019‐10‐04 12:27:47

注意:如果claim中没有要取得值,会返回null,而不是报错

JWT工具类

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * jwt工具类
 *
 * @author FuYu
 */
public class JwtUtil {
	//密钥
    private String key;

    /**
     * 一个小时
     */
    private long ttl;

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key);
        if (ttl > 0) {
            builder.setExpiration(new Date(nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     *
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr) {
        return Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
}

总结:jwt用了很长一段时间得,但是一直没有写笔记,总觉得很简单,事实上也确实是很简单。

网上找资料,自己写demo,会有进步的

痴情小小宇
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt令牌中token过期如何处理?
Black_penis的博客
07-31 1916
苍穹外卖token过期bug
在SPA中如何使用jwt
LIN_17970的博客
08-17 348
Jwt简介1. JWT是什么2. 为什么使用JWT3. JWT的工作原理4. JWT组成HeaderPayload(负荷)signature5. JWT的验证过程6. JWT令牌刷新思路CorsFilter.javaJwtFilter.javaJwtUtils.java 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 传统开发对资源的访问限制利...
学习JWT
qq_34638435的博客
04-28 257
学习JWT:https://www.jianshu.com/p/576dbf44b2ae
Jwt过期时间
qq_63918780的博客
06-14 2661
然后,它比较当前时间与允许的时钟偏差之后的最大时间是否在 JWT 过期时间之前。最后,如果 JWT 已过期,代码会生成一条错误消息,其中包括 JWT 的过期时间、当前时间以及它们之间的时间差。如果 JWT 的时间戳在允许的偏差范围内,那么该 JWT 就被认为是有效的。在使用 JWT 进行认证时,需要检查当前时间是否在 JWT 的有效期内,如果超过了有效期,则认证失败。是否大于 0,如果是,则表示允许 JWT 的时间戳与当前时间存在一定的偏差。,以及当前时间是否在有效期内,才能确定 JWT 是否有效。
一篇文章让你了解“JWT
最新发布
ChatYU的博客
10-13 390
JWT (JSON Web Token) 是一种用于在网络上安全传输信息的开放标准(RFC 7519)。它是一种紧凑且自包含的方式,用于在不同组件之间传递信息,通常用于身份验证和授权目的。JWT 是以 JSON 格式编码的令牌,它包含了声明(claims),并使用数字签名或加密来验证其完整性
Token防篡改机制-JWT
Zz1366的博客
05-20 1325
jwt
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
jwt学习Spring-security
01-18
jwt学习Spring-security Spring Security 是一个广泛使用的 Java 认证和授权框架,用于保护基于 Java 的 web 应用程序。它提供了一个灵活的安全机制来保护 web 应用程序免受未经授权的访问。Spring Security 提供...
JWT学习资料.zip
11-18
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过深入学习和实践,你可以掌握使用JWT和Spring Boot构建安全、可扩展的微服务系统的技能。
JWT学习1
08-08
JSON Web Token(JWT)是一种广泛使用的身份验证和信息交换的标准,尤其在Web应用程序中。JWT允许客户端和服务器之间安全地传递信息,而无需在每个请求中携带完整的认证信息。JWT的结构由三个部分组成:头部(Header...
devise-jwt:具有devise和rails的JWT令牌认证
02-05
设计:: JWT devise-jwt是一个扩展,它使用令牌进行用户身份验证。 它遵循原则。 当无法使用Cookie时,此gem只是它们的替代品。 作为cookie,以devise-jwt过期的令牌将强制具有过期时间。 如果您需要用户永不注销,那么使用刷新令牌(例如OAuth2的某些实现)的解决方案会更好。 您可以在以下系列文章中了解有关此库考虑了哪些安全问题以及有关JWT通用安全用法的信息: devise-jwt只是之上的 ,可将其配置为与和Rails一起使用。 升级说明 v0.7.0 从v0.7.0版开始, Blacklist撤销策略已重命名为“ Denylist而Whiteli
java-jwt:3.7.0备份
03-12
java-jwt 3.7.0的jar包备份,由于用maven下载还多一道工序,因此直接编译成jar包方便简单导入。 用于教学和试用。 https://github.com/auth0/java-jwt
JWT学习笔记1
08-03
本文主要围绕JWT(JSON Web Token)这一流行的认证机制进行讲解,首先介绍传统的Session验证方式,然后详细解析JWT的工作原理、组成部分及使用方法,并探讨JWT在实际项目中的应用及其优势。 一、Session验证方式 ...
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. 问题解决
fengzheng1232的博客
08-11 1175
报错:io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. Current time: 2023-08-11T21:44:58Z, a difference of 83334559 milliseconds. Allowed clock skew: 0 milliseconds.(JWT于2023-08-10T22:36:04Z到期。当前时间:2023-08-11T21:44:58Z,相差83334559毫秒。
JWT学习(2)
qq_71012549的博客
02-01 280
第一步:我们现在配置系统中配置一个名为JWT的节点,并在节点下创建一个SingingKey、ExpireSeconds两个配置项,分别代表JWT的密钥和过期时间单位为秒。我们在创建一个对应JWT节点的配置类JWTOption,类中包含SingingKey、ExpireSeconds这两个属性。第三步:编写代码对JWT进行配置,把下面的代码添加到Program.cs的builder.Build之前。点击图片左上角的图标-》然后出现下边的画面-》在框中加入Bearer空格+JWT令牌然后就可以访问了。
jwt的封装与使用
小先生编程
01-28 889
jwt封装代码如下 package util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.boot.contex...
JWT 完整使用详解
曾沂宏的博客
05-29 9509
JWT全称JSON Web Tokens,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。 一、安装之前 资料 先摆出几个参考资料,可以把连接都打开,方便查阅: 项目 Wiki 公众号 coding01,JWT 安装及简单例子 官方安装指导文档 JWT 的介绍 二、安装及基础配置 Larave...
jwt认证入门并整合shiro
xrMrwhile的博客
12-09 1474
目录 什么是JWT 为什么使用JWT 基于token的鉴权机制 JWT的结构 JWT令牌的有点 jwt的签发和验证(jwt的入门) SpringBoot下Shiro整合JWT实现权限校验 配置shiro 配置JWT 用postman测试工具测试程序 总结 参考文章 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于J...
JWT生成Token
风雨过后的博客
01-23 6182
什么是JWT       Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
微服务开发v1.0-密码加密与微服务鉴权JWT学习目标
本文主要介绍了《十次方微服务开发v1.0》...总之,《十次方微服务开发v1.0》第6章的内容涵盖了密码加密与微服务鉴权JWT的相关知识,通过学习这部分内容,可以帮助我们提升微服务开发的水平,保障系统的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值