Java如何简单快速入门JWT(token生成与验证)
更新时间:2023年12月23日 10:06:51 作者:new个字符串
这篇文章主要给大家介绍了关于Java如何简单快速入门JWT(token生成与验证)的相关资料,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任,需要的朋友可以参考下
一、Token简单介绍
简单来说,token就是一个将信息加密之后的密文,而jwt也是token的实现方式之一,用于服务器端进行身份验证和授权访问控制。由于是快速入门,这里简单介绍一下jwt的生成原理
jwt由三部分组成。分别是
1.Header(标头),一般用于指明token的类型和加密算法
2.PayLoad(载荷),存储token有效时间及各种自定义信息,如用户名,id、发行者等
3.Signature(签名),是用标头提到的算法对前两部分进行加密,在签名认证时,防止止信息被修改
而Header和PayLoad最初都是json格式的键值对,格式如下
Header:
{
"alg": "HS256", #签名加密所用的算法
"typ": "JWT" #表名token的格式
}PayLoad:此段json中保存了用户的部分信息
{
"sub": "1234567890", #主题
"name": "John Doe", #用户名
"isVIP": true, #是否为vip用户
"exp": 1677740800 #过期时间
}Signature:签名,首先将Header和PayLoad的json字符串进行Base64Url加密后,得到两个加密后的字符串,然后把这两个字符串由‘.’拼接起来,然后再将拼接好的字符串再用之前 Header中提到的算法与一个密钥(一般为一个字符串)进行加密后得到一个新的字符串,最后把这个新字符串和之前使用Base64Url加密后的两段字符串进行连接,最终得到token字符串,然后就可以把它发送给客户端进行存储了。
一般jwt格式token格式如下
eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiam9rZXIiLCJleHAiOjE2OTQxODE2NDUsInB3ZCI6IjEyMyJ9.vDrOQp-FkmRCQBzfaZsxzkef-iNjkAuAaqvT7Ns5Ab0 #(Header).(PayLoad).(Signature)
当然,作为快速上手jwt的文章,这里就不对jwt及token进行更加深入的讲解了,以上内容只需要做简单了解有个映像即可,总而言之:
token就是一个在服务器端生成,包含了部分用户信息,最后发送给客户端进行保管的加密字符串,当客户端向服务器再次发起请求时,请求需携带token,服务器端对token进行验证,以确定用户是否有权访问。(以此来实现,登录验证,权限校验,记住密码等功能)
接下来做一个简单的代码实现
二、代码实现
- 导入相关依赖jar包(此jwt框架功能比较齐全且简单,适合初学者)
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>4.2.1</version>
</dependency>- jwt生成
首先需要一个字符串密钥进行加密,这个字符串可自定义,然后提前规划好你项目的jwt想要储存哪些自定义信息,例如用户名,密码,id,等等(这里为了方便演示,这里就把用户名以及密钥字符串设为常量了)
package com.example.jwtdemo.Controller;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
@RestController
@Controller("/")
public class TestController {
//用户的用户名
private static final String USERNAME = "admin";
//用于签名加密的密钥,为一个字符串(需严格保密)
private static final String KEY = "the_key";
@GetMapping("/jwt")
public String setToken() {
//获取jwt生成器
JWTCreator.Builder jwtBuilder = JWT.create();
//由于该生成器设置Header的参数为一个<String, Object>的Map,
//所以我们提前准备好
Map<String, Object> headers = new HashMap<>();
headers.put("typ", "jwt"); //设置token的type为jwt
headers.put("alg", "hs256"); //表明加密的算法为HS256
//开始生成token
//我们将之前准备好的header设置进去
String token = jwtBuilder.withHeader(headers)
//接下来为设置PayLoad,Claim中的键值对可自定义
//设置用户名
.withClaim("username", USERNAME)
//是否为VIP用户
.withClaim("isVIP", true)
//设置用户id
.withClaim("userId", 123)
//token失效时间,这里为一天后失效
.withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24))
//设置该jwt的发行时间,一般为当前系统时间
.withIssuedAt(new Date(System.currentTimeMillis()))
//token的发行者(可自定义)
.withIssuer("issuer")
//进行签名,选择加密算法,以一个字符串密钥为参数
.sign(Algorithm.HMAC256(KEY));
//token生成完毕,可以发送给客户端了,前端可以使用
//localStorage.setItem("your_token", token)进行存储,在
//下次请求时携带发送给服务器端进行验证
System.out.println(token);
return token;
}
}
最终生成的jwt
eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJpc3N1ZXIiLCJleHAiOjE2OTQyNzA0OTMsImlhdCI6MTY5NDE4NDA5MywiaXNWSVAiOnRydWUsInVzZXJuYW1lIjoiYWRtaW4ifQ.JiTMn2jDaUTolPXB0TCBBOwSHG1l75W2oy2isdWhQIU
PS:以上代码中向jwt中注册的键值对不是都为必须的,需按照自己的情况进行设置
- jwt验证
我们从客户端的请求中获取其携带的token进行验证,已确定其是否有权访问或进行其他的业务逻辑操作
@GetMapping("/verify")
public boolean verify(HttpServletRequest request) {
/*从请求头中获取token(具体要看你的token放在了请求的哪里,
这里以放在请求头举例)
*/
String token = request.getHeader("token");
/*判断token是否存在,若不存在,验证失败,
并进行验证失败的逻辑操作(例如跳转到登录界面,
或拒绝访问等等)*/
if (token == null) return false;
/*获取jwt的验证器对象,传入的算法参数以及密钥字符串(KEY)必须
和加密时的相同*/
var require = JWT.require(Algorithm.HMAC256(KEY)).build();
DecodedJWT decode;
try {
/*开始进行验证,该函数会验证此token是否遭到修改,
以及是否过期,验证成功会生成一个解码对象
,如果token遭到修改或已过期就会
抛出异常,我们用try-catch抓一下*/
decode = require.verify(token);
} catch (Exception e) {
//抛出异常,验证失败
return false;
}
//若验证成功,就可获取其携带的信息进行其他操作
//可以一次性获取所有的自定义参数,返回Map集合
Map<String, Claim> claims = decode.getClaims();
if (claims == null) return false;
claims.forEach((k, v) -> System.out.println(k + " " + v.asString()));
//也可以根据自定义参数的键值来获取
if (!decode.getClaim("isVIP").asBoolean()) return false;
System.out.println(decode.getClaim("username").asString());
//获取发送者,没有设置则为空
System.out.println(decode.getIssuer());
//获取过期时间
System.out.println(decode.getExpiresAt());
//获取主题,没有设置则为空
System.out.println(decode.getSubject());
return true;
}总结
到此这篇关于Java如何简单快速入门JWT(token生成与验证)的文章就介绍到这了,更多相关JWT token生成与验证 内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
桥梁模式是对象的结构模式。又称为柄体(Handle and Body)模式或接口(Interface)模式。本文将通过示例来详细讲解一下这个模式,感兴趣的可以学习一下2022-02-02
这篇文章主要介绍了Java 线程池的作用以及该如何使用,帮助大家更好的理解和学习Java的相关知识,感兴趣的朋友可以了解下2021-01-01
SpringBoot + SpringSecurity 短信验证码登录功能实现
这篇文章主要介绍了SpringBoot + SpringSecurity 短信验证码登录功能实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-06-06
这篇文章主要介绍了java实现变更文件查询的方法,可通过java查询文件最后修改时间的方法实现查找变更文件的功能,具有一定参考借鉴价值,需要的朋友可以参考下2015-07-07
这篇文章主要为大家详细介绍了SpringBoot动态修改yml配置文件的方法,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,希望能够给你带来帮助2022-03-03
这篇文章主要介绍了详解Java阻塞队列(BlockingQueue)的实现原理,阻塞队列是Java util.concurrent包下重要的数据结构,是一种特殊的队列,需要的朋友可以参考下2021-10-10
synchronized作为Java程序员最常用同步工具,很多人却对它的用法和实现原理一知半解,以至于还有不少人认为synchronized是重量级锁,性能较差,尽量少用。但不可否认的是synchronized依然是并发首选工具,本文就来详细讲讲2023-02-02
这篇文章主要介绍了Spring中的Sentinel熔断降级原理详解,熔断是为了起到保护作用,如果某个目标服务调用比较慢或者大量的超时,这个时候如果触发熔断机制,则可以保证后续的请求不会继续发送到目标服务上,而是直接返回降级的逻辑并且快速释放资源,需要的朋友可以参考下2023-09-09
这篇文章主要为大家介绍了groovy脚本定义结构表一键生成POJO类示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-03-03
基于Spring接口集成Caffeine+Redis两级缓存
这篇文章主要介绍了基于Spring接口集成Caffeine+Redis两级缓存,文章围绕主题展开详细的内容介绍,具有一定的参考价值,需要的小伙伴可以参考一下2022-07-07
最新评论