JWT需要集成第三方框架?不,自己手写一个

已于 2022-11-04 10:22:48 修改
阅读量489 收藏
点赞数 3
分类专栏: java 文章标签: jwt java
于 2020-09-04 21:54:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ajava666/article/details/108412219
版权
本文详细介绍JWT(JSON Web Token)的生成与校验过程,包括使用SHA256算法创建自定义Token小工具,以及如何通过算法接口定义和实现加密逻辑。同时,提供了JWSBuilder类用于构建JWT,并演示了生成与解析Token的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

温故而知新,可以为师矣。

从前面的博客JWT就是这么简单知道了JWT的生成规则是使用BASE64编码。

所以朕水今天就带大家来写一个简单的生成Token的小工具,让大家更能方便理解JWT。

token加密算法

朕水只示范SHA256的实现,需要更多扩展则需要小伙伴们的动手能力了嗷

写一个算法的接口,接口定义算法类型和签名

//算法接口
public interface Algorithm {
    //算法类型
    String alg();
	//算法返回的签名
    String algorithm(String message);
}

朕水写一个SHA256的算法实现

public class HMAC256Algorithm implements Algorithm {
	//算法类型
    private static final String ALG ="HS256";
	//密钥
    private final String secret;
	
    public HMAC256Algorithm(String secret){
        //构造时传入密钥
        if(secret==null||"".equals(secret)){
            throw new RuntimeException("must has secret");
        }
        this.secret = secret;
    }

    @Override
    public String algorithm(String message) {
        String hash = "";
        try {
            //使用对应的算法加密
            Mac mac = Mac.getInstance("HmacSHA256");
            mac.init(new SecretKeySpec(secret.getBytes(), "HmacSHA256"));
            //将 加密的 二进制结果进行Base64-URL编码
            //Base64-URL编码规则:  +变为-  /变为_  去掉等号=
            hash = Base64.encodeBase64URLSafeString(mac.doFinal(message.getBytes()));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return hash;
    }
    @Override
    public String alg() {
    //返回算法类型
        return ALG;
    }
}

在URL中字符+和/是不能在url中做为参数的,所以base64有一种urlSafe编码。在JWT官网上有对应的说明是使用BaseUrl进行编码。

token生成逻辑
public class JWSBuilder {

    private Algorithm algorithm;

    private Map<String,String> header = new HashMap<>();

    private Map<String,Object> payloadMap = new HashMap<>();

    private String payloadBody;

    public JWSBuilder(Algorithm algorithm) {
        this.algorithm = algorithm;
    }

    public JWSBuilder header(Map<String,String> header) {
        this.header = header;
        return this;
    }
    public JWSBuilder sub(String sub) {
        payloadMap.put("sub",sub);
        return this;
    }
    public JWSBuilder iat(Date iat) {
        payloadMap.put("iat",iat.getTime());
        return this;
    }

    public JWSBuilder claim(String key,String value){
        payloadMap.put(key,value);
        return this;
    }

    public JWSBuilder payloadBody(String payloadBody){
        this.payloadBody = payloadBody;
        return this;
    }

    public String build() {
        if(payloadMap.isEmpty()&&(payloadBody==null||"".equals(payloadBody.trim()))){
            throw new RuntimeException("not has payload message");
        }
        //将载荷拼接为JSON
        header.put("alg",algorithm.alg());
        StringBuilder headerSb = new StringBuilder("{");
        header.forEach((key,val)->{
            headerSb.append("\"");
            headerSb.append(key);
            headerSb.append("\":");
            headerSb.append("\"");
            headerSb.append(val);
            headerSb.append("\"");
            headerSb.append(",");
        });
        headerSb.replace(headerSb.length()-1,headerSb.length(),"}");
        //如果为空或者有载荷实体payloadBody则不拼接JSON
        if(payloadBody==null){
            StringBuilder payloadSb = new StringBuilder("{");
            payloadMap.forEach((key,val)->{
                payloadSb.append("\"");
                payloadSb.append(key);
                payloadSb.append("\":");
                payloadSb.append("\"");
                payloadSb.append(val);
                payloadSb.append("\"");
                payloadSb.append(",");
            });
            payloadSb.replace(payloadSb.length()-1,payloadSb.length(),"}");
            payloadBody=payloadSb.toString();
        }
        String header = Base64.encodeBase64URLSafeString(headerSb.toString().getBytes());
        String payload = Base64.encodeBase64URLSafeString(payloadBody.getBytes());
        String sign = this.algorithm.algorithm(header + "." + payload);
        return header+"."+payload+"."+sign;
    }
}

上面的代码朕水只写了sub、iat的简单封装,需要扩展的小伙伴需要自己写对应的代码。生成token的Builder类就写好了,朕水去测试一下。

测试生成token
Algorithm hmac256Algorithm = new HMAC256Algorithm("zhenshui");
String token = new JWSBuilder(hmac256Algorithm)
    .sub("demo")
    .claim("auth","zhenshui")
    .build();
System.out.println(token);

token生成成功!

将token拿去官网debugger一下试试是否正确。朕水测试是正确的。

校验token

接下来朕水写一个校验类,对token进行校验。和上面一样,朕水只写一个简单的校验,需要更复杂的逻辑则需要小伙伴自己手动diy了

public class JWSParser {

    private Algorithm algorithm;

    private String token;

    private String header;

    private String payloadBody;

    private Map<String,String> verifyMap;

    public JWSParser(Algorithm algorithm) {
        this.algorithm = algorithm;
    }

    public JWSParser sub(String sub){
        verifyMap.put("sub",sub);
        return this;
    }

    public String getHeader() {
        return header;
    }

    public String getPayloadBody() {
        return payloadBody;
    }

    public JWSParser parser(String token){
        //截取前面两节
        String perHeaderAndPayloadToken = token.substring(0, token.lastIndexOf("."));
        //重新加密
        String algorithm = this.algorithm.algorithm(perHeaderAndPayloadToken);
        //截取后面一节进行比较
        String signStr = token.substring(token.lastIndexOf(".")+1);
        if (!signStr.equals(algorithm)) {
            //签名不一致
            throw new RuntimeException("token exception");
        }
        //得到载体、转化
        String payload = perHeaderAndPayloadToken.substring( perHeaderAndPayloadToken.indexOf(".")+1);
        payloadBody = new String(Base64.decodeBase64URLSafe(payload));
        //校验字段:过期时间、主体、签发人等等信息
        //TODO
        //得到头部、转化
        String headerBase64Str = perHeaderAndPayloadToken.substring(0, perHeaderAndPayloadToken.indexOf("."));
        this.header  = new String(Base64.decodeBase64URLSafe(headerBase64Str));
        return this;
    }
}

上面的校验类写完了,但是校验并没有写完整,只是简单的做了签名的校验。如果不依赖第三方库转化JSON比较复杂,所以朕水就没有写。

校验token测试

写完了之后,朕水去校验一下token

解析成功,好啦。相信小伙伴们看完这篇后对常用的JWS的生成和解密已经很熟悉了。

tips: 如果是非对称加密则需要对应的加密和解密方法。

目前的JWT框架都比较完善且有专人进行维护,小伙伴不要在实际项目中使用自己写的Token生成。

如果不知道使用哪一个JWT框架,可以看看朕水的文章JWT框架简单测评,哪款是你的菜

Python第三方库资源
小胖_@的博客
10-16 3153
环境管理 管理 Python 版本和环境的工具 p:非常简单的交互式 python 版本管理工具。官网 pyenv:简单的 Python 版本管理工具。官网 Vex:可以在虚拟环境中执行命令。官网 virtualenv:创建独立 Python 环境的工具。官网 virtualenvwrapper:virtualenv 的一组扩展。官网 包管理 管理包和依赖的工具。 pip:Python 包和...
【微服务】springboot 整合 SA-Token 使用详解
热门推荐
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
第三方组件使用方法】--使用JWT+Redis实现微信登录
muzi木子
02-04 1223
1.1 为什么要使用jwt+redis实现用户登录? 因为如今的互联网应用基本上都是分布式的,正因为分布式的原因所以我们的程序面临着session共享的问题,我们都知道session只能在目标服务器中才能够保存,在多节点的分布式应用中这样显然是特别好,所以我们需要使用jwt+redis实现分布式共享session的一个操作。 2.1 能够使用nginx的iphash负载均衡策略就能实现sessi...
Spring boot 使用jwt,和自己手写jwt
可乐的博客
10-21 390
JWT使用,及原理
SpringBoot安全框架三剑客:SpringSecurity+JWT+OAuth2整合
最新发布
梵心白莲的博客
04-14 1070
在现代Web应用开发中,安全性是至关重要的一个方面。Spring Boot作为一个流行的Java开发框架,提供了丰富的安全解决方案。其中,Spring Security、JWT(JSON Web Token)和OAuth 2是三个非常强大的安全工具,将它们整合在一起可以构建出高度安全且灵活的Web应用。本文将详细介绍如何在Spring Boot项目中整合这三个安全框架
[JWT]在项目中使用JWT依赖安全框架
weixin_45254062的博客
03-03 303
什么是JWT? JSON Web Token (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用 RSA或ECDSA 的公钥/私钥对进行签名。 尽管可以对 JWT 进行加密以在各方之间提供保密性,但我们将重点关注已签名...
手写jwt框架SSO
怪只怪满眼尽是人间烟火
07-02 697
地址:https://download.youkuaiyun.com/download/weixin_38959210/11269535 首先是jwt的引入 <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactI...
手写Jwt
春花秋月冬雪风,留得残荷听雨声。
01-07 369
手写Jwt加密、解密 Jwt的本质 基于Base64的编 Base64(是一种编方式)是加密和解密,主要是编和解 基于64个可打印字符来表示二进制数据 例如,对于某个生成Jwt可以通过Jwt官网进行解 Jwt官网 再用base64解网站进行解 base64编网站 所以对数据进行base64编即可完成Jwt数据段的编 对于key的编 使用md5 简单举例 import org.apache.commons.codec.digest.DigestUtils; /**
用springboot与visual code 写一个网上订餐APP大概需要多少行代
03-08
支付集成可能需要第三方API调用,代量大约200-400行。再加上其他模块如日志、异常处理等,总代量可能在3000到6000行之间。 还要考虑代复用和框架生成的代。Spring Boot的起步依赖和自动配置会减少很多样板...
Go语言Web开发实践:Gin+GORM+JWT+RBAC权限管理
- pkg:存放第三方库文件,这些是项目依赖的包,可能包括数据库驱动、安全库、工具库等。 - router:存放路由逻辑处理代,定义了URL到具体处理函数的映射。 - service:存放服务层代,包含业务逻辑处理。 - test...
2050年的数字身份:从生物识别到DNA身份证的身份认证
AI天才研究院
10-23 1032
本文首先回顾了数字身份的起源和发展历程,阐述了数字身份的核心概念与关键要素。随后,我们探讨了生物识别技术在数字身份认证中的应用,深入分析了指纹识别、人脸识别和眼纹识别等技术的原理与实现。接着,文章提出了DNA身份证的概念,详细描述了其构建方法和面临的安全问题与挑战。在第二部分,我们分别讨论了数字身份认证在金融、公共安全和电子商务等领域的实际应用,并通过具体案例分析展示了这些技术的落地效果。最后,文章展望了数字身份认证技术的发展趋势,提出了面临的挑战与应对策略,为未来数字身份的发展提供了有益的思考。
jwt完整无框架web例子+登录+跨域web demo
09-23
jwt完整无框架web例子+登录验证 web demo,支持跨域 ,支持filter过滤验证 jwt完整无框架web例子+登录验证 web demo,支持跨域 ,支持filter过滤验证
jwt手写SSO单点登录框架zip
07-02
手写JWT,实现SSO框架,将获取到的Token保存在cookie中。简单的练习练习权限框架,提升自己
jwt简述以及简易版手写jwt
就很有趣的博客
06-06 2238
jwt简述以及简易版手写jwtJWT(json web token)组成部分验证签名手写jwt手写验证jwt内容 JWT(json web token) https://jwt.io/ 可对jwt生成的token进行解 token:令牌 临时使用的钥匙 有一个有效期的 ​ 特性: 临时且唯一 token和sessionId 思想是一样的, session存放在服务器jvm内存中 token存放在Redis中 组成部分 三个部分,以点隔开 第一部分 Header 描述加密算
JWT手写实现
qq_39294337的博客
05-15 139
官网(以下概念均来自官网) What is the JSON Web Token structure? In its compact form, JSON Web Tokens consist of three parts separated by dots (.) header payload signature Therefore, a JWT typically looks like the following. xxxxx.yyyyy.zzzzz Header.
手写一个 Java JWT Token 生成组件
zhangxin09的专栏
06-24 1267
OAuth2 中默认使用 Bearer Tokens (一般用 UUID 值)作为 token 的数据格式,但也支持升级使用 JSON Web Token(JWT) 来作为 token 的数据格式。实际来说,OAuth 规范中并无限制 Token 采取何种格式。今天我们就采用 JWT 来作为 Token,它的一个好处是自描述 Token,包含了用户信息而并需要通过额外的接口获取用户信息。所谓 JWT Token,本身是明文的,前端得到之后进行 Base64 解,即可获取用户信息(JSON)。
JWT学习之用Java手写JWT
m0_73520938的博客
10-08 216
JSON Web 令牌 (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。尽管 JWT 可以加密以提供各方之间的保密性,但我们将专注于签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则向其他方隐藏这些声明。
JWT相关学习(纯天然手写
技术的提升过程和热传递一样
11-24 291
JWT(Json Web Token)是一种token认证方式,相对于传统的session认证方式。 一、为什么需要认证? 一个系统,如果想使用其功能,势必要进行登录操作,登录验证用户名和密,通过http通讯协议传输,但是HTTP协议属于无状态协议,则登录之后的http通讯如果没有认证,那么任何未登录的人都可以去访问了。所以需要认证这种方式来杜绝这样的事情发生。   二、传统sess...
jwt学习、手写jwtjwt加密解密
好幸运
12-06 1089
jwt官网:https://jwt.io/ JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是: Header Payload Signature 一个典型的JWT看起来是这个样子的: xxxxx.yyyyy.zzzzz 第一部分 Header header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。 'alg' "HS256" 'typ' "JWT" 然后,用Ba..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值