JWT令牌的创建以及解析

最新推荐文章于 2024-07-26 12:00:00 发布
最新推荐文章于 2024-07-26 12:00:00 发布
阅读量1.6k 收藏 22
点赞数 27
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuban10403/article/details/138257725
版权

要使用jwt令牌首先得引入相关依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

为了方便后面使用,我们直接创建一个JwtUtil

完整的JtwUtil工具类

package com.sky.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;

public class JwtUtil {
    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);
//      builder.compact()的返回值是String类型
        return builder.compact();
    }

    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

生成jwt令牌的方法

再生成jwt令牌时需要用到4个参数,一个参数是claims,通常使用 Map<String, Object> 来表示。通过设置自定义声明,你可以将自定义数据嵌入到 JWT 中,用于传递关于用户或业务上下文的额外信息。

  .setClaims(claims)

第二个参数是使用的签名算法,这个代码比较固定

 // 指定签名的时候使用的签名算法,也就是header那部分
 SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

这里用的是HS256,除了这个,还有其他很多可供选择

第三个参数是签名使用的秘钥,这个是自定义的字符串,后面解析jwt令牌的时候也要需要用到

// 设置签名使用的签名算法和签名使用的秘钥
.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))

第四个参数是过期时间

.setExpiration(exp);

生成jwt的方法是Jwts.builder(),设置好对应参数后,进行.compact()完成创建并返回String类型的jwt令牌

解析jwt令牌的方法

 public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

解析jwt令牌使用的是Jwts.parser(),用到的参数包括之前提供的秘钥第二个是需要解析的jwt令牌,也就是这里的token

重点说一下.parseClaimsJws(token)

.parseClaimsJws(token) 方法是用于解析 JWT 的方法,它会将给定的 JWT 字符串解析成一个 JwsJws对象代表了一个已签名的 JWT。一旦通过.parseClaimsJws(token)方法解析了 JWT,我们可以通过调用.getBody()方法获取到 JWT 的主体部分,即Claims` 对象。

Claims 对象包含了 JWT 的所有声明信息,比如用户ID、过期时间等。通过 .getBody() 方法获取到 Claims 对象后,你就可以进一步操作和使用其中的声明信息了。

jwt令牌的具体使用

jwt令牌的生成一般在登录操作之后,后端会生成一个jwt令牌,

客户端收到这个令牌后,通常会将其存储起来,之后,客户端每次向服务器发送请求时,都会将这个令牌作为请求头的一部分发送给服务器,服务器收到请求后,可以从请求头中提取出这个令牌,并进行验证,以确定请求是否合法以及请求的身份信息。我们会设置一个拦截器,一般用于拦截除登录外的其他方法,在调用这些方法是进行令牌的验证和解析

jwt令牌校验的拦截器

定义jwt令牌拦截器

package com.sky.interceptor;

import com.sky.constant.JwtClaimsConstant;
import com.sky.context.BaseContext;
import com.sky.properties.JwtProperties;
import com.sky.utils.JwtUtil;
import io.jsonwebtoken.Claims;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * jwt令牌校验的拦截器
 */
@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtProperties jwtProperties;

    /**
     * 校验jwt
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getAdminTokenName());

        //2、校验令牌
        try {
            log.info("jwt校验:{}", token);
            Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
            Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
            log.info("当前员工id:", empId);
            //3、通过,放行
            //将当前员工的id存储到该线程的存储空间中(客户端的一次请求对应一个线程)
//            这一步操作可以让后端自己获取empId
            BaseContext.setCurrentId(empId);
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }
}

jwt拦截器注册

package com.sky.config;

import com.sky.interceptor.JwtTokenAdminInterceptor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;




/**
 * 配置类,注册web层相关组件
 */
@Configuration
@Slf4j
public class WebMvcConfiguration extends WebMvcConfigurationSupport {

    @Autowired
    private JwtTokenAdminInterceptor jwtTokenAdminInterceptor;

    /**
     * 注册自定义拦截器
     *
     * @param registry
     */
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开始注册自定义拦截器...");
        registry.addInterceptor(jwtTokenAdminInterceptor)
                .addPathPatterns("/admin/**")
                .excludePathPatterns("/admin/employee/login");
    }
}

这里就指定了要拦截的相关路径的方法以及其中不需要拦截的例外。

在jwt拦截器中我们先从请求头中获取令牌

之后调用我们写好的工具类中的方法进行jwt令牌的解析

 Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);

 在这里进行jwt的校验并获取其中的claims,在之前创建jwt令牌时,我们在claims设置了 一个empId的信息,现在,我们可以将其解析并取出以便使用

参数分别是前面使用的秘钥以及需要解析的jwt,这里如果秘钥和对应的token没有错误,且token没有过期,那么该请求就会通过,否则将被拦截。

该拦截器中还有一个方法

BaseContext.setCurrentId(empId);

这个方法是将当前员工的id存储到该线程的存储空间中(客户端的一次请求对应一个线程),这一步操作可以让后端自己获取empId

BaseContext

package com.sky.context;

public class BaseContext {

    public static ThreadLocal<Long> threadLocal = new ThreadLocal<>();

    public static void setCurrentId(Long id) {
        threadLocal.set(id);
    }

    public static Long getCurrentId() {
        return threadLocal.get();
    }

    public static void removeCurrentId() {
        threadLocal.remove();
    }

}

这段代码定义了一个名为 BaseContext 的类,用于管理当前线程的上下文信息。具体来说,它包含以下几个元素:

  1. threadLocal:这是一个静态的 ThreadLocal 对象,用于存储当前线程的上下文信息。在多线程环境下,ThreadLocal 可以让每个线程都拥有自己的数据副本,从而实现线程封闭的效果,避免线程间数据共享带来的并发问题。
  2. setCurrentId(Long id):这是一个静态方法,用于设置当前线程的上下文信息,即当前线程的ID。它接受一个 Long 类型的参数 id,将其设置到当前线程的 threadLocal 中。
  3. getCurrentId():这是一个静态方法,用于获取当前线程的上下文信息,即当前线程的ID。它从当前线程的 threadLocal 中获取值并返回。
  4. removeCurrentId():这是一个静态方法,用于移除当前线程的上下文信息。它会清除当前线程的 threadLocal 中存储的值。

通过这些方法,您可以在应用程序中方便地设置和获取当前线程的上下文信息,例如用户ID、会话ID等。

yuban10403
关注
vue12Jwt详解+JWT组成+JWT的验证过程+JWT令牌刷新思路+代码
全栈
11-05 7296
签名是把header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。算法不同,签名结果不同。以alg: HS256为例来说明前面的签名如何来得到。按照前面alg可用值的说明,HS256其实包含的是两种算法:HMAC算法和SHA256算法,前者用于生成摘要,后者用于对摘要进行数字签名。这两个算法也可以用HMACSHA256来统称5. JWT的验证过程。
会话跟踪技术——JWT令牌
cl的博客
01-18 1015
服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。我们使用就是要。
jwthelper:JWT令牌生成
02-24
JWT令牌生成生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 安装 您可以克隆此存储库并手动构建它。 cd jwthelper docker build -t fonoster/jwthelper:%%VERSION%% . 否则,您可以从泊坞窗索引中拉出该映像。 docker pull fonoster/jwthelper:latest:%%VERSION%% 使用范例 以下是使用此图像的最小示例。 sudo docker run -it \ -v $( pwd ) :/home/fonos/access \ -e PRINT_ACCESS_INFO=
使用JWT生成Token令牌
qq_42341467的博客
10-31 2878
使用JWT生成Token令牌 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT能做什么? 授权 这是使用JWT的最常见的方案,一旦用户登陆,
深入解析Spring Boot中的JWT令牌校验:安全身份验证与授权实践
最新发布
A_991128a的博客
07-26 1092
JWT是一种基于JSON的开放标准(RFC 7519),用于在用户和服务器之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和使用的加密算法,载荷包含要传输的信息(如用户ID、角色等),签名用于验证令牌的真实性。通过本文的介绍,我们深入了解了Spring Boot中JWT令牌校验的实现方法及其相关的技术细节。JWT令牌是一种安全传输信息的开放标准,通过在用户和服务器之间传递被声明的对象来安全地传输信息。
生成JWT令牌
又要搬砖了
04-08 542
生成JWT令牌一、JWT是什么?二、使用步骤1.引入库2.封装JWT工具类2.1 定义一个密钥用于加密解密2.2 生成token2.3 根据生成的token获取载荷信息2.4 校验token是否过期 一、JWT是什么? JWT介绍 二、使用步骤 1.引入库 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <ve
20-JWT令牌生成
yangcan741147的博客
04-12 388
JWT令牌生成 什么时间生成令牌? 答案:登录成功的时候 完成登录业务 1、创建micro-permission-server库 SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for admin_info -- ---------------------------- DROP TABLE IF EXISTS `admin_info`; CREATE TABLE `admin_info` (
通过 JWT(JSON Web Token)实现令牌
q322359的博客
02-01 1625
令牌本质就是⼀个字符串,它的实现⽅式有很多,我们采⽤⼀个 JWT 令牌来实现.JWT全称:JSON Web Token官⽹:JSON Web Token(JWT)是⼀个开放的⾏业标准(RFC 7519),⽤于客户端和服务器之间传递安全可靠的信息.其本质是⼀个 token(令牌),是⼀种紧凑的 URL 安全⽅法.
laravel-jwt-example:Laravel与JWT令牌创建API服务器
05-17
8. **教程与文档**:完整的教程可能涵盖了如何设置环境、安装依赖、配置 JWT创建 API 路由、处理身份验证以及测试 API 的步骤,对初学者特别有帮助。 这个项目是学习如何在 Laravel 中使用 JWT 构建安全 API 的...
JWTjwt令牌研究
BASK2312的博客
12-24 286
在介绍JWT之前先看一下传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根据令牌获取用户的相关信息,性能低下。为什么会说性能低下呢?原因就是用户(客户端)请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,要明确一来一回的请求和响应都是需要消耗时间的哦。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
创建JWT令牌通常在用户成功登录后进行。我们需要一个`AuthenticationManager`来处理用户的登录尝试,然后根据认证结果生成JWT并返回给客户端。 ```java @PostMapping("/authenticate") public ResponseEntity<?> ...
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
JWT令牌
Herman _java开发
02-27 1212
全称:JSON Web Token1、JWT令牌由三部分组成,这三部分通过.连接在一起:头部(Header):包含了令牌类型(typ),通常是 "JWT"。加密算法(alg),例如 "HS256"、"RS256" 等,表明了用于生成签名的算法。2、载荷(Payload):载荷包含了实际要传递的信息或声明(claims)。声明可以是预定义的标准声明(如iss-发行人、exp-过期时间、sub-主题、aud-受众等),也可以是自定义声明。
登录生成Jwt令牌
m0_71853142的博客
08-05 186
要注册后才能使用,并且拦截范围较小,只包含hander。拦截器:拦截器只拦截会 拦截包含 hander。此处的 " /** "过滤器:过滤器拦截范围包含全部。两种拦截Jwt令牌方式。两种方式的运行原理图。
登录校验-JWT令牌-生成和校验
weixin_64939936的博客
08-26 436
【代码】登录校验-JWT令牌-生成和校验。
JWT令牌构建
没伞的孩子努力奔跑
08-27 293
一构建令牌配置对象 package com.jt.auth.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.secur.
身份认证1_ 整合jjwt生成jwt令牌
grow_的博客
04-25 378
了解jwt,jjwt 什么是jwt JSON Web Token( JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用 户和服务器之间传递安全可靠的信息。其中 JWT 中可以包含用户信息。 什么是jjwt JJWT 是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。可以使用jjwt实现jwt. jjwt快速入门 1.pom包中引入依赖 (查看自己电脑jdk版本,8版本不需要下面的依赖8中包含EE,..
java解析jwt令牌
09-05
Java解析JWT令牌可以使用jjwt库。jjwt是一个提供JWT创建和验证的Java库,它是免费和开源的(Apache License, Version 2.0)。使用jjwt非常容易理解和使用。你可以通过在Maven中添加jjwt的依赖来使用它,具体的Maven坐标如下: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 一旦你添加了jjwt的依赖,你可以使用Jwts.builder()来创建一个JWT令牌,并通过添加一些简单的用户信息来定制令牌。你还可以选择一个加密算法来创建令牌。要解析JWT令牌,你可以使用Jwts.parser()方法。详细的JWT入门案例和Spring Boot集成JWT实现令牌鉴权的教学视频可以参考相关文档和教程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Java权限认证机制之JWT令牌生成解析以及SpringMVC参数解析器](https://blog.csdn.net/baidu_39378193/article/details/126619014)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [jwt](https://download.csdn.net/download/weixin_42131728/15345005)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值