Java手动生成JWT

最新推荐文章于 2024-07-26 14:59:39 发布
最新推荐文章于 2024-07-26 14:59:39 发布
阅读量967 收藏 1
点赞数
文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjrguxing/article/details/115709881
版权

头部

首先我们需要一个Json

{
	"alg":"HS256"
}

接着我们需要将其在Java中展示出来

        String header = "{\n" +
                "\t\"alg\":\"HS256\"\n" +
                "}";

之后要去除所有空格

        String header = "{"alg":"HS256"}";

报错了,很明显是有问题的,接着用转义字符将“正常展示出来

        String header = "{\"alg\":\"HS256\"}";

此时我们将这个字符串用Base64URL进行编码,这里使用基于Commons Codec的URLBase64编码

        <!--Commons Codec依赖-->
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
            <version>1.15</version>
        </dependency>

        byte[] encodeHeaderBytes = Base64.encodeBase64URLSafe(header.getBytes("UTF-8"));

然后把byte数组转为字符串

		String encodeHeader = new String(encodeHeaderBytes);

此时可以尝试输出此字符串,理论上应当如下,这也是此JWT的头部

		eyJhbGciOiJIUzI1NiJ9

JWT官网调试器调试无误,可以正常解析JWT标头
在这里插入图片描述

载荷

首先随便来个有内容的JSON,如下

{
	"sub":"可达鸭"
}

之后和头部做同样的处理,最终输出的内容应当如下

eyJzdWIiOiLlj6_ovr7puK0ifQ

然后将头部和载荷用.拼接,如下

        String s = encodeHeader+"."+encodeClaims;
        //输出结果eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLlj6_ovr7puK0ifQ

JWT官网调试器调试无误,可以正常解析JWT标头及载荷
在这里插入图片描述

签名

首先我们需要一个自己生成的密钥,或者说加密盐,他可以只是一个简单的123456,也可以是经过复杂处理的字符串

        String secret = "123456";//普通密钥

之后用HmacSHA256对之前拼接好的字符串加密,并用Base64URL进行编码

        String message = encodeHeader + "." + encodeClaims;
        Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
        SecretKeySpec secret_key = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
        sha256_HMAC.init(secret_key);
        String verifySignature = new String(Base64.encodeBase64URLSafe(sha256_HMAC.doFinal(message.getBytes())));

最终将标头和载荷、签名通过.进行拼接,就得到了以下字符串

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLlj6_ovr7puK0ifQ.2AHwp9OhaBwj2uNlXTGSzyaIfym7hrA2_ubRx4E9xd4

将其放入JWT官网,验证通过并且解析无误
在这里插入图片描述

答疑

这里是本人在进行手动生成JWT时遇到的问题
1.Base64编码头部和官方编码结果有较小差距
解决:
官方使用的是Base64URL编码,并不是Base64编码
Base64URL编码对比Base64编码增强了对浏览器的适应性,Base64编码时编码为+的转为-(减法符号),编码为/的转为_(下划线)并且去掉末尾的=(等号)
2.使用Base64URL编码后数据依然有出入
解决:
模拟的JSON数据双引号使用’进行替代了,替换为"转义就可以了
3.签名字符完全错误
解决:
原本的做法是对HmacSHA256加密后的签名直接进行toHexString的方式将其显示出来(HmacSHA256加密的byte数组正常无法显示),后来发现官方的做法是对此byte数组进行Base64URL编码,修改后无错
4.官方调试器下的secret base64 encode(此问题浪费了我2小时的生命)
解决:
从始至终我都认为这个选项勾选上的意思是,这个选项的意思是
原本我的secret(盐)值为123456,勾选上后会将123456进行base64编码再作为secret进行HmacSHA256(你所选择的签名加密方式)加密,相信大部分人都是这么认为的。
但是我在代码上重现了这一操作后发现和官方得到的JWT签名完全是不同的。
于是我有了另一个猜想,勾选此选项后是否不再对最后得到的byte数组进行base64URL编码,后经过验证,猜想错误。
之后又尝试了将很多不正常的想法,花费了大量的时间,在我快准备放弃的时候,我想起了百度,于是我百度了一下,JWT官网的secret base64 encode是什么意思,以下是得到的答案:
JWT官网的secret base64 encode意思是将secret视为经过base64编码产生的,先对其进行base64decode(解码)操作,再将其作为secret进行HmacSHA256加密,测试无误。

        Base64 base64 = new Base64();
        byte[] secret = new Base64().encode("123456".getBytes("UTF-8"));//复杂密钥
        System.out.println("Base64编码盐:" + new String(secret));
        //Base64加密盐:MTIzNDU2

        String message = encodeHeader + "." + encodeClaims;
        Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
        SecretKeySpec secret_key = new SecretKeySpec(secret, "HmacSHA256");
        sha256_HMAC.init(secret_key);
        String verifySignature = new String(Base64.encodeBase64URLSafe(sha256_HMAC.doFinal(message.getBytes())));
        System.out.println("Base64编码盐最终签名:" + verifySignature);
        //Base64加密盐最终签名:V7TXJxLIij3gduj6b_8oGQ6K_RmA3kd43S8RrOB554s
        
        secret_key = new SecretKeySpec("123456".getBytes("UTF-8"),"HmacSHA256");
        sha256_HMAC.init(secret_key);
        verifySignature = new String(Base64.encodeBase64URLSafe(sha256_HMAC.doFinal(message.getBytes())));
        System.out.println("123456编码盐最终签名:" + verifySignature);
        //123456加密盐最终签名:2AHwp9OhaBwj2uNlXTGSzyaIfym7hrA2_ubRx4E9xd4

在这里插入图片描述
在这里插入图片描述
最后更新于2021年4月17日
原创不易,如果该文章对你有所帮助,望左上角点击关注~如有任何技术相关问题,可通过评论联系我讨论,我会在力所能及之内进行相应回复以及开单章解决该问题.

该文章如有任何错误请在评论中指出,感激不尽,转载请附出处!
*个人博客首页:https://blog.csdn.net/yjrguxing ——您的每个关注和评论都对我意义重大

永寂如孤星
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
教程:用Java创建和验证JWT
最佳 Java 编程
06-12 589
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 JavaJWT(JSON Web令牌)的支持过去需要进行大量工作:广泛的自定义,花费数小时来解决依赖项,以及仅用于组装简单JWT的代码页。 不再! 本教程将向您展示如何使用现有的JWT库做两件事: 生成一个J...
如何生成JWTjava版)
孤寂的游魂的博客
12-27 1819
项目中用到了JWT作为验证方式,故在此记录下JWT生成和解析的方式 前提,导入jar <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 生成token /** * 加密生成token * @param k
java部署jwt
最新发布
qq_60707246的博客
07-26 275
java部署jwt
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java简单快速入门JWT(token生成与验证)
greatming666的博客
09-08 8871
java jwt简单了解并快速上手
Java实现JWT
天涯明月
10-19 2563
JWT(JSON Web Token) JWT在web环境中通常作为一种用户凭证,它是一个以.分隔,由heaer.payload.signature组成的字符串,其中每个部分都经过Base64编码。header包含token采用的算法、类型(JWT)、KeyId等信息,payload中包含token的发行人iss、过期时间exp、业务信息等(比如用户ID、昵称等),signature是对(header.payload)的Base64组合串用密钥加密得到的摘要,代表header.payloa....
JAVA生成JWT(JSON WEB TOKEN)工具类的编写模板
weixin_51916557的博客
11-09 991
JAVA生成JWT(JSON WEB TOKEN)工具类的编写模板
JWT 生成
梦想导航
09-05 913
jwt Token生成 JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户 一、快速入门 搭建SpringBoot环境 pom.xml 中添加 java-jwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> &l
JWT生成
weixin_46883635的博客
01-13 1866
文章目录什么是 JWT (JSON WEB TOKEN)JWT的构成headerplayloadsignature代码测试 JWT生成 什么是 JWT (JSON WEB TOKEN) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一
手动生成token_如何生成token(JWT的Token)
weixin_39770592的博客
12-19 1194
主要代码1 //JWT 默认过期时间,3600L,单位秒2 Long expireSecond = 3600L;3 //盐值4 String newSalt = 666;5 String token =JwtUtil.generateToken(user.getUsername(), newSalt,6 ...
手动生成token_Java实现token的生成与验证-登录功能
weixin_34338504的博客
12-29 472
一、token与cookie相比较的优势1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session;3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我...
java jwt刷新_关于Java:Spring Security JWT刷新令牌未过期
weixin_29743373的博客
02-27 589
我是Spring的新手,并且我正在使用Spring Security开发Spring Boot REST,目前我实现了JWT令牌。 我有一些问题,但似乎找不到答案。 我尝试添加刷新令牌。起初,我以为我会将其与用户一起存储在数据库中,但是Spring Security会自动执行所有操作,而且我似乎找不到如何在表用户的给定字段中存储它。因此,继续前进,我决定我将尝试使用Spring Security自...
【第八篇】SpringSecurity基于JWT实现Token
筱白爱学习!的博客
06-14 645
SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理
JWT(二):使用 Java 实现 JWT
LHAT_7的专栏
12-17 426
JWT(一):认识 JSON WebToken JWT(二):使用 Java 实现 JWT 介绍 原理在上篇《JWT(一):认识 JSON Web Token》已经说过了,实现起来并不难,你可以自己写一个 jwt 工具类(如果你有兴趣的话) 当然了,重复造轮子不是程序员的风格,我们主张拿来主义! JWT 官网提供了多种语言的 JWT 库,详情可以参考 https://jwt.io/#debugg...
java生成、解析JWTjava-jwt
什么都干的派森
06-06 3396
JWT是token的一种,一个JWT字符串包含三个部分头部信息,一般不需要声明,默认为 HS256 签名算法和 JWT 令牌类型 2.Payload 包含一些默认字段,还可以自定义一些私有字段,但是不要放敏感信息 3.Signature 数据签名,对上面两部分进行数据签名,Header部分和Payload部分先进行base64Url编码,然后用英文句号拼接并加上一个自定义的secret字符串盐值进行HS256对称加密【也可以用其它算法或非对称加密】 4.组合 最后将 Header、Payload、Signa
java基础之JWT生成
qq_41613913的博客
10-04 693
import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Autowired; import javax.crypto.spec.Se...
Java实现JWT令牌技术
m0_67713667的博客
04-03 836
实现jwt
JAVA使用JWT最新库jjwt-api生成JWT(JDK17)
qq_45365516的博客
02-03 2549
使用JWT最新的库来生成token
SpringBoot全方位整合:模板、Swagger、Cors、JWT与代码生成
"SpringBoot整合了各种模板,包括maven构建工具、API文档生成工具Swagger、解决CORS跨域问题的配置、JSON Web Token (JWT)的身份验证机制、以及MyBatis-Plus的分页插件和代码生成器,旨在提高开发效率。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值