jjwt令牌(Java JSON Web Token)

最新推荐文章于 2024-03-01 11:10:51 发布
VIP文章 最新推荐文章于 2024-03-01 11:10:51 发布
阅读量4.2k 收藏 1
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44773418/article/details/105567181
版权

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{"typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

(1)标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

(2)公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

定义一个payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

/**
 * Jwt实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
 *  头部(Header)(一般默认,不用写)
 *      {"typ":"JWT","alg":"HS256"}
 *  载荷(playload)
 *      标准中注册的声明(建议但不强制使用)
 *          iss: jwt签发者
 *          sub: jwt所面向的用户
 *          aud: 接收jwt的一方
 *          exp: jwt的过期时间,这个过期时间必须要大于签发时间
 *          nbf: 定义在什么时间之前,该jwt都是不可用的.
 *          iat: jwt的签发时间
 *          jti: jwt的唯一身份标识,主要用来作为一次性token。
 *       可以自定义一些载荷
 *   签证(signature)
 *       jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
 */
  JwtBuilder jwtBuilder = Jwts.builder()
          .setId(UUID.randomUUID().toString())   //设置唯一编号(令牌id)
          .setSubject("登陆")   //设置主题(可以写场景),可以是json数据
          .setIssuedAt(new Date())    //设置签发日期
          .claim("name","自定义")	//自定义一个私有的声明
        //.setClaims(Map<String,Object> map)  //自定义多个,
          .signWith(SignatureAlgorithm.HS256, "test");  //设置签名,使用HS256算法,并设置SecretKey(字符串)
        //构建并返回一个字符串
        String compact = jwtBuilder.compact();

JJWT签发与验证token

JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。

官方文档:

https://github.com/jwtk/jjwt

创建token

(1)新建项目中的pom.xml中添加依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

(2)创建测试类,代码如下

JwtBuilder builder= Jwts.builder()
		.setId("888")   //设置唯一编号
		.setSubject("小白")//设置主题  可以是JSON数据
		.setIssuedAt(new Date())//设置签发日期
		.signWith(SignatureAlgorithm.HS256,"test");//设置签名 使用HS256算法,并设置SecretKey(字符串)
//构建 并返回一个字符串 
System.out.println( builder.compact() );

运行打印结果:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y

再次运行,会发现每次运行的结果是不一样的,因为我们的载荷中包含了时间。

解析token

我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token 应该解析出token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。

    String compactJwt="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y";
    Claims claims = Jwts.parser().setSigningKey("test").parseClaimsJws(compactJwt).getBody();
    System.out.println(claims);

运行打印效果:

{jti=888, sub=小白, iat=1557904181}

试着将token或签名秘钥篡改一下,会发现运行时就会报错,所以解析token也就是验证token.

设置过期时间

有很多时候,我们并不希望签发的token是永久生效的,所以我们可以为token添加一个过期时间。

(1)创建token 并设置过期时间

long now=System.currentTimeMillis();
long exp=now+1000*30;//30秒过期
JwtBuilder jwtBuilder = Jwts.builder().setId( "888" )
		.setSubject( "小白" )
		.setIssuedAt( new Date() )//签发时间
		.setExpiration( new Date( exp ) )//过期时间
		.signWith( SignatureAlgorithm.HS256, "test" );
String token = jwtBuilder.compact();
System.out.println(token);

运行,打印效果如下:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0.4q5AaTyBRf8SB9B3Tl-I53PrILGyicJ
最低0.47元/天 解锁文章
咸鱼突击
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合jwt(Json Web Token) 令牌授权 demo代码
闲走天涯的博客
08-12 332
一、pom文件引入jwt依赖 <!--JWT 令牌token --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 二、用户表vo类 /** * 描述: * 用户表vo类 * @aut
使用 jjwttoken 认证
liu1shi的博客
03-16 387
  采用 springcloud 微服务。   创建父工程。 // pom.xml 部分代码 <packaging>pom</packaging> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <..
jwt ---- json web token
weixin_44235759的博客
09-09 1443
之后的请求都会携带cooKie和session。cookie 和 session的缺点。编写token工具类。
热榜排行爬虫详解
最新发布
Everly_的博客
03-01 1124
作为一个爬虫必须摸不一样的鱼,平时大家怎么看热榜,今天爬一个热榜数据,咱就在ied中读热榜。还是一个乌龙事件听我细细道来。1,话不多说,今天图也不看了直接进入主题,打开网站首页抓个包2,可见接口中有两个参数,第二个参数盲猜是请求时候的时间戳,第一个参数有点长不像是正常的时间戳,多翻几页发现第一个参数也是一个时间戳只是后面加了三个000,咱们就去掉三个零(这里多请求了几页没有发现翻页的变化规律)2.1,第二个参数转换发现就是请求时间没错。
JWT(JSON Web Token)
bjjx123456的博客
05-04 256
JWT的作用类似于cokkie,但1.不仅可以存储与cookie域也可以存储与本地存储空间。使用于没有cookie的后端开发,2.防止CSRF攻击,为什么呢?现在还不太懂,猜测应该是token本身与时间绑定,故可以每次请求都生成一次(猜测), 3.另外,只要修改一部分,整个字符就无法解析,防止篡改。第一部分为Header,主要记录令牌类型,签名算法等,第二部分是有效载荷,主要携带一些自定义,默认信息等。最后一个为通过签名算法形成的密匙。简单来讲,jwt是将一个字符串,分为三部分,中间用英文的.分割。
Json Web Token实战之封装通用方法
薛三岁
11-05 236
Json Web Token实战之封装通用方法 加入相关依赖 <!-- JWT相关 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> 封装生产t
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 4760
JSON Web Token (JWT)详解
JWT(JSON WEB TOKEN)
qq_45953233的博客
05-06 781
JSON WEB TOKEN简称JWT,是用于对应程序上的用户进行身份验证的标记。也就是说,使用JWTS的应用程序不再需要保存有关其用户的cookie和session数据。此特性便于可伸缩性,同时保证应用程序的安全。
JSON Web Token(JWT)基础概念详解(Java
DevNinja的博客
09-10 253
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在不同实体之间安全传输信息。它由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。其中,xxxxx代表Base64编码的头部,yyyyy代表Base64编码的载荷,zzzzz代表签名。
了解JWT(Json Web Token)
qq_65567681的博客
04-17 734
JWT全称为JSON Web Token,是目前最流行的跨域身份验证解决方案。JWT是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可被加密。jjwt是一个提供JWT创建和验证的Java库。
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌token
jjwtJava JWT:Java和Android的JSON Web令牌
02-03
Java JWT:适用于Java和Android的JSON Web令牌 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是一个纯Java实现,完全基于 , , , 和 RFC规范,并根据的条款开源...
Json web token
05-10
JWT工具包,开源的jwt工具包,方便开发者在使用过程中直接应用,
使用JJWT库的Java JWT令牌教程
04-11
本文是有关如何使用JJWT库,密钥库,私钥/公钥来加密和解密JWT令牌的介绍。
一个使用JSON Web令牌JSON Web签名的简单库-PHP开发
05-27
JJWT一个简单的库,可基于RFC 7519使用JSON Web令牌JSON Web签名。安装包:warning:稳定版的文档位于分支3.3。 JJWT一个简单的库,可用于基于RFC 7519的JSON Web令牌JSON Web签名。Packagist提供了安装包,您可以...
RSA非对称加密使用公钥加密和私钥加密的区别
weixin_44773418的博客
08-02 4410
1:公钥加密→私钥解密 用于防止密文被破解、被第三方得到明文; 2:私钥加密→公钥解密 用于防止明文被篡改,确保消息的完整性和正确的发送方。 3:那么既然为了防止明文被篡改,我们是不是直接都可以用公钥加密的方式呢,这样整串都是密文了, 其实当然也可以,只不过签名的效率要高的多,而非对称加解密很费时间,所有对于不值得加密的非关键性数据,还是用签名合适。 ...
BCrypt简单使用
weixin_44773418的博客
12-10 1343
BCrypt一般用于密码加密,相对来说,BCrypt比MD5更安全。 BCrypt 官网http://www.mindrot.org/projects/jBCrypt/ 将下面这个java类做为工具类放入项目中 import java.io.UnsupportedEncodingException; import java.security.SecureRandom; public class ...
JMeter压力测试
weixin_44773418的博客
02-02 946
结合jdk的jconsole.exe和Apache JMeter做一个简单的压力测试 jconsole jdk的bin目录下,打开jconsole.exe选择本地启动的项目 JMeter 下载地址:http://jmeter.apache.org/download_jmeter.cgi 选择Binaries下载解压,打开bin目录下的jmeter.bat 打开后如下图,cmd窗口不能关,里面的提示为:不要使用GUI(cmd窗口外的另一个窗口)运行压力测试,GUI仅用于压力测试的创建和调试;执行压力测试请
Java JWT和jjwt
08-31
Java JWT(JSON Web Token)是一种用于在网络应用间传递身份验证和授权信息的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常指定所使用的签名算法,载荷包含有关用户或其他相关信息,签名用于验证 token 的完整性和真实性。 jjwtJava JWT)是一个在 Java 平台上实现 JWT 标准的开源库。它提供了一套简单易用的 API,用于创建、解析和验证 JWT。jjwt 实现了 RFC 7519 规范,并支持使用不同的签名算法(如 HMAC、RSA、ECDSA)进行令牌签名和验证。 使用 jjwt,你可以轻松地生成 JWT,并在验证时验证其完整性和有效性。它还提供了一些方便的方法来读取和操作载荷中的数据。 以下是使用 jjwt 创建和验证 JWT 的简单示例: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JWTHelper { private static final String SECRET_KEY = "your-secret-key"; private static final long EXPIRATION_TIME = 3600000; // 1小时 public static String generateToken(String subject) { Date now = new Date(); Date expiration = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 你可以使用 `generateToken` 方法创建一个 JWT,传入主题(用户ID、角色等)并返回生成的令牌。`validateToken` 方法用于验证传入的 JWT 是否有效。 这只是一个简单的示例,你可以根据自己的需求进行进一步的扩展和定制。希望能对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值