关于使用Java-JWT的笔记

Token的组成规则

一个token分三部分,按顺序为:头部(header),载荷(payload),签证(signature) 由三部分生成token ,三部分之间用"."号做分隔。

例如:"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhdXRoMCJ9.MT8JrEvIB69bH5W9RUR2ap-H3e69fM7LEQCiZF-7FbI"。

  1. 头部:Jwt的头部承载两部分信息,声明类型 (例如:typ=jwt)和 加密算法(例如 : alg=HS526)
  2. 载荷:载荷存放有效的信息 ,分为两种:① 标准中注册的声明的数据部分 ② 自定义数据部分 。这两部分使用base64加密,然后存入到JWT的claim中 (使用withClaim("key":"value"))。

标准载荷:

text 复制代码
iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

自定义载荷:自定义载荷就是将自己需要的一些 key=>value数据放入到载荷中.

java 复制代码
// 下面的 name=>zhangsan , role=>admin 就是自定义载荷数据
String token = JWT.create()
                .withIssuer("auth0")  // issuer 签发者
                .withExpiresAt(new Date(System.currentTimeMillis()+7200*1000)) // token过期时间 2H
                .withClaim("name","zhangsan") // 自定义存储的数据
                .withClaim("role","admin")
                .sign(Algorithm.HMAC256("secret")); // token加签加密
  1. 签证(计算过程):HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), signature) ,即需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加密钥secret组合加密,然后就构成了jwt的第三部分。

导入POM依赖

xml 复制代码
 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>4.4.0</version>
 </dependency>

生成token

我的这个例子就通过普通的maven项目来生成token,并不从web项目方面构建,但原理是一致的。

java 复制代码
/**
 * 生成token
 * @return
 */
public static String genToken(){
    try {
        Algorithm algorithm = Algorithm.HMAC256("secret"); // 使用HMAC256加密算法
        String token = JWT.create()
                .withIssuer("auth0")  // issuer 签发者
                .withIssuedAt(new Date(System.currentTimeMillis()))
                .withExpiresAt(new Date(System.currentTimeMillis()+7200*1000)) // token过期时间 2H
                .withAudience("app") // 校验jwt的一方
                .withClaim("name","zhangsan") // 自定义存储的数据
                .withClaim("role","admin")
                .sign(algorithm); // token加签加密
        return token;
    } catch (JWTCreationException exception){
        return "";
    }
}

在生成token的方法中,设置了issuer签发者,签发时间,token过期时间,校验token方,以及一些自定义数据载荷,签证加密算法使用 HMAC256。

① 签发时间必须小于过期时间
② 签发时间和过期时间都是使用秒来计算
③ 载荷都可以通过 withClaim 方法来添加,同时JWT也提供了标准载荷的方法,功能是一样的

验证token

java 复制代码
/**
 * 校验token是否正确
 * @param token
 * @return
 */
public static DecodedJWT verifyToken(String token){
    return  JWT.require(Algorithm.HMAC256("secret")).build().verify(token);
}

/**
 * 校验token,捕获异常并返回错误信息
 * @param token
 * @return
 */
public static String  checkToken(String token){
   try {
       verifyToken(token);
       return "token正确";
   }catch (SignatureVerificationException e){
       return "无效签名";
   }catch (TokenExpiredException e){
       return "token过期";
   }catch (AlgorithmMismatchException e){
       return "token算法不一致";
   }catch (Exception e){
       return "token无效";
   }
}

完整代码

java 复制代码
package jwt_test;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.*;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;

/**
 * 使用 java-jwt 生成token 以及 token 验证
 */
public class JwtUtils {


    /*
    token: header(头部) + payload(载荷) + signature(签名)
    载荷就是存放有效信息的地方。基本上填2种类型数据
        -标准中注册的声明的数据
        -自定义数据
    (1) eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
    (2) eyJpc3MiOiJhdXRoMCJ9.
    (3) MT8JrEvIB69bH5W9RUR2ap-H3e69fM7LEQCiZF-7FbI
     */

    /**
     * 生成token
     * @return
     */
    public static String genToken(){
        try {
            Algorithm algorithm = Algorithm.HMAC256("secret"); // 使用HMAC256加密算法
            String token = JWT.create()
                    .withIssuer("auth0")  // issuer 签发者
                    .withIssuedAt(new Date(System.currentTimeMillis()))
                    .withExpiresAt(new Date(System.currentTimeMillis()+7200*1000)) // token过期时间 2H
                    .withAudience("app") // 校验jwt的一方
                    .withClaim("name","zhangsan") // 自定义存储的数据
                    .withClaim("role","admin")
                    .sign(algorithm); // token加签加密
            return token;
        } catch (JWTCreationException exception){
            // Invalid Signing configuration / Couldn't convert Claims.
            return "";
        }
    }


    /**
     * 校验token,捕获异常并返回错误信息
     * @param token
     * @return
     */
    public static String  checkToken(String token){
       try {
           verifyToken(token);
           return "token正确";
       }catch (SignatureVerificationException e){
           return "无效签名";
       }catch (TokenExpiredException e){
           return "token过期";
       }catch (AlgorithmMismatchException e){
           return "token算法不一致";
       }catch (Exception e){
           return "token无效";
       }
    }


    /**
     * 校验token是否正确
     * @param token
     * @return
     */
    public static DecodedJWT verifyToken(String token){
        return  JWT.require(Algorithm.HMAC256("secret")).build().verify(token);
    }

    public static void main(String[] args) {
        String token = genToken();
        System.out.println(token);
        String res = checkToken(token);
        System.out.println(res);
    }
}

Token解析测试

https://config.net.cn/tools/Jwt.html

text 复制代码
[说明]
 iss: jwt签发者.    
 sub: jwt针对的用户
 aud: 校验jwt的一方
 exp: jwt的过期时间,过期时间需大于签发时间
 nbf: 定义在什么时间之前该jwt是不可用的.
 iat: jwt的签发时间
 jti: jwt的唯一身份标识,作一次性token,防重放攻击。

相关推荐
我星期八休息19 分钟前
C++智能指针全面解析:原理、使用场景与最佳实践
java·大数据·开发语言·jvm·c++·人工智能·python
摇滚侠19 分钟前
Spring Boot 3零基础教程,WEB 开发 整合 Thymeleaf 笔记36
java·spring boot·笔记
来生硬件工程师23 分钟前
【STM32笔记】:P04 断言的使用
c语言·笔记·stm32·单片机·嵌入式硬件·硬件架构·硬件设计
大猫会长24 分钟前
docker安装php+apache
java·开发语言
野生技术架构师26 分钟前
JAVA 架构师面试题含答案:JVM+spring+ 分布式 + 并发编程
java·jvm·spring
Cathy Bryant35 分钟前
大模型推理(九):采样温度
笔记·神经网络·机器学习·数学建模·transformer
瑞士卷@38 分钟前
MyBatis入门到精通(Mybatis学习笔记)
java·数据库·后端·mybatis
阳光宅男@李光熠39 分钟前
【质量管理】构建供应链韧性的第一道防线——高风险供应商的识别
笔记·学习
刘逸潇200539 分钟前
FastAPI(二)——请求与响应
网络·python·fastapi
java1234_小锋41 分钟前
TensorFlow2 Python深度学习 - 循环神经网络(SimpleRNN)示例
python·深度学习·tensorflow·tensorflow2