JWT使用

最新推荐文章于 2025-07-06 20:49:17 发布
原创 最新推荐文章于 2025-07-06 20:49:17 发布 · 435 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #jwt

JWT 基础概念

JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络应用间安全地传输声明。一个 JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),通常格式为Header.Payload.Signature

Java 中 JWT 的简单实现

以下是一个简单的 Java JWT 实现示例,使用了 Nimbus JOSE + JWT 库:

import com.nimbusds.jose.*;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;
import net.minidev.json.JSONObject;

import java.text.ParseException;
import java.util.Date;

public class JWTExample {
    // 密钥,实际应用中应妥善保管
    private static final byte[] SECRET = "your-256-bit-secret-your-256-bit-secret".getBytes();

    public static void main(String[] args) throws JOSEException, ParseException {
        // 生成JWT
        String jwt = generateToken();
        System.out.println("生成的JWT: " + jwt);

        // 验证JWT
        boolean isValid = verifyToken(jwt);
        System.out.println("JWT验证结果: " + isValid);

        // 解析JWT
        if (isValid) {
            parseToken(jwt);
        }
    }

    // 生成JWT
    public static String generateToken() throws JOSEException {
        // 创建JWS头,指定签名算法为HS256
        JWSHeader header = new JWSHeader(JWSAlgorithm.HS256);

        // 创建载荷
        JSONObject payload = new JSONObject();
        payload.put("sub", "user123");
        payload.put("name", "John Doe");
        payload.put("iat", new Date().getTime());
        payload.put("exp", new Date(System.currentTimeMillis() + 3600 * 1000).getTime()); // 1小时后过期

        // 创建JWS对象
        JWSObject jwsObject = new JWSObject(header, new Payload(payload));

        // 创建签名器
        JWSSigner signer = new MACSigner(SECRET);

        // 签名
        jwsObject.sign(signer);

        // 生成JWT字符串
        return jwsObject.serialize();
    }

    // 验证JWT
    public static boolean verifyToken(String jwt) throws JOSEException, ParseException {
        // 解析JWT
        JWSObject jwsObject = JWSObject.parse(jwt);

        // 创建验证器
        JWSVerifier verifier = new MACVerifier(SECRET);

        // 验证签名
        boolean isValid = jwsObject.verify(verifier);

        // 验证过期时间
        if (isValid) {
            Date exp = new Date(jwsObject.getPayload().toJSONObject().getAsNumber("exp").longValue());
            isValid = new Date().before(exp);
        }

        return isValid;
    }

    // 解析JWT
    public static void parseToken(String jwt) throws ParseException {
        JWSObject jwsObject = JWSObject.parse(jwt);
        JSONObject payload = jwsObject.getPayload().toJSONObject();

        System.out.println("解析JWT:");
        System.out.println("Subject: " + payload.get("sub"));
        System.out.println("Name: " + payload.get("name"));
        System.out.println("Issued At: " + new Date(payload.getAsNumber("iat").longValue()));
        System.out.println("Expiration Time: " + new Date(payload.getAsNumber("exp").longValue()));
    }
}

要运行此代码,需要添加以下 Maven 依赖:

<dependency>
    <groupId>com.nimbusds</groupId>
    <artifactId>nimbus-jose-jwt</artifactId>
    <version>9.25.1</version>
</dependency>

进阶:Spring Boot 中集成 JWT

以下是一个在 Spring Boot 中集成 JWT 的示例,实现了基于 JWT 的认证和授权:

package com.example.demo.security;

import io.jsonwebtoken.*;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;

import java.util.Date;

@Component
public class JwtUtils {

    @Value("${app.jwtSecret}")
    private String jwtSecret;

    @Value("${app.jwtExpirationMs}")
    private int jwtExpirationMs;

    // 生成JWT
    public String generateJwtToken(Authentication authentication) {
        UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal();

        return Jwts.builder()
                .setSubject((userPrincipal.getUsername()))
                .setIssuedAt(new Date())
                .setExpiration(new Date((new Date()).getTime() + jwtExpirationMs))
                .signWith(SignatureAlgorithm.HS512, jwtSecret)
                .compact();
    }

    // 从JWT中获取用户名
    public String getUserNameFromJwtToken(String token) {
        return Jwts.parser()
                .setSigningKey(jwtSecret)
                .parseClaimsJws(token)
                .getBody()
                .getSubject();
    }

    // 验证JWT
    public boolean validateJwtToken(String authToken) {
        try {
            Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken);
            return true;
        } catch (SignatureException e) {
            System.out.println("Invalid JWT signature: {}", e.getMessage());
        } catch (MalformedJwtException e) {
            System.out.println("Invalid JWT token: {}", e.getMessage());
        } catch (ExpiredJwtException e) {
            System.out.println("JWT token is expired: {}", e.getMessage());
        } catch (UnsupportedJwtException e) {
            System.out.println("JWT token is unsupported: {}", e.getMessage());
        } catch (IllegalArgumentException e) {
            System.out.println("JWT claims string is empty: {}", e.getMessage());
        }
        return false;
    }
}

高级:JWT 安全增强实践

  1. 使用 Refresh Token 机制:减少 AccessToken 的有效期,同时使用 Refresh Token 延长用户会话
// RefreshTokenService.java
public interface RefreshTokenService {
    Optional<RefreshToken> findByToken(String token);
    RefreshToken createRefreshToken(Long userId);
    RefreshToken verifyExpiration(RefreshToken token);
    int deleteByUserId(Long userId);
}
  1. JWT 与多因素认证结合
// 在生成JWT时添加多因素认证信息
public String generateJwtWithMfa(String username, boolean mfaVerified) {
    Claims claims = Jwts.claims().setSubject(username);
    claims.put("mfa_verified", mfaVerified);
    
    return Jwts.builder()
            .setClaims(claims)
            .setIssuedAt(new Date(System.currentTimeMillis()))
            .setExpiration(new Date(System.currentTimeMillis() + jwtExpirationMs))
            .signWith(SignatureAlgorithm.HS256, secretKey)
            .compact();
}
  1. 使用非对称加密:使用 RSA 或 ECDSA 算法代替 HMAC
// 生成RSA密钥对
KeyPair keyPair = KeyPairGenerator.getInstance("RSA").generateKeyPair();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();

// 使用私钥签名
String jwt = Jwts.builder()
        .setSubject("user123")
        .signWith(privateKey, SignatureAlgorithm.RS256)
        .compact();

// 使用公钥验证
Jwts.parserBuilder()
        .setSigningKey(publicKey)
        .build()
        .parseClaimsJws(jwt);

这些示例展示了 JWT 在 Java 中的不同应用场景,从基础的令牌生成和验证,到 Spring Boot 集成,再到安全增强实践。在实际应用中,应根据具体需求选择合适的实现方式,并注意密钥管理和安全防护。

hqxstudying
关注
spring Security + jwt使用
wenlai123456的博客
08-22 2589
spring Security + jwt
Spring Security 结合 JWT使用
zhzjn的博客
10-12 930
Spring Security与JWT(JSON Web Token)的结合在实际应用中使用的场景比较多,主要有以下几个原因:1. 基于令牌的无状态身份验证:JWT是一种基于令牌的身份验证机制,使用签名和加密来保证令牌的安全性。相比使用传统的session和cookie来管理用户状态,JWT具有无状态性(无需在后端存储会话信息)和可扩展性的优势,适用于分布式系统和微服务架构,实现了Session共享.
JWT使用教程
m0_50202747的博客
08-28 1760
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
jwt使用详解
u013029883的博客
08-10 2811
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
Jwt使用
苍穹尘的博客
05-24 1986
Jwt在springboot项目中的使用示例代码: 1、引入pom依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> ...
JWT 使用教程:如何在项目中实现 JSON Web Token
weixin_73426010的博客
03-08 2420
JSON Web Token (JWT) 是一种开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在客户端和服务器之间安全地传递信息。信息可以被验证和信任,因为它是数字签名的。JWT 主要用于认证和授权场景,常见于现代 Web 应用、移动应用以及微服务架构中。
golang-jwt使用
a1023934860的博客
06-07 4218
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
JWT详细教程与使用
热门推荐
Top_L398的博客
10-29 12万+
JWT JSON Web Token(JSON Web令牌) 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 JWT作用: 授权:一旦用户登录,每个后续请求将包
JWT使用HS512算法生成全局服务token原理
永远积极向上、永远热泪盈眶、永远豪情满怀、永远坦坦荡荡
12-28 3129
最近需要使用C++服务中根据用户名生成全局服务的token,然后在java服务中印证token正确性。因为java服务中使用jwt库生成全局的token, 我就对应找C++中jwt的库, github中有开源库叫jwt-cpp然后我就下载了, 我使用没有找到java中生成token好使用的接口、没有办法我只有看一下jwt生成token的步骤实现一遍。
java使用jwt
Linlietao0587的博客
01-27 1853
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
在本文章中JWT使用的sql
01-05
在深入探究JWT(JSON Web Tokens)在数据库系统中的使用之前,我们需要理解JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。JWT通常用于身份验证和...
php jwt使用案例,PHP JWT基础知识及其简单示例
weixin_39793189的博客
03-10 781
PHP JWT初识及示例一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之...
java+vue+SpringBoo足球社区管理系统(程序+数据库+报告+部署教程+答辩指导)
taobysj的博客
07-04 835
本文介绍了一个基于SpringBoot+Vue的足球社区管理系统,包含完整开发文档和源码。系统采用Java后端+Vue前端架构,MySQL数据库,主要实现管理员和用户两种角色功能。管理员可管理球队、场地、用户等信息;用户可查看修改个人信息、球队场地信息等。文章详细展示了12个数据库实体ER图(如用户、球队、场地等)及系统功能截图(包括登录、球队管理、场地管理等界面)。系统开发工具包括IDEA、Navicat等,JDK版本为1.8。该项目提供全套开发资料,包括1万字文档、开题报告、答辩PPT及部署教程等。
concurrentHashMap 1.7 1.8区别,是采用分段锁吗,这个分段具体指什么,怎么实现的分段锁
C18298182575的博客
07-03 636
在 JDK 1.7 中,ConcurrentHashMap 采用机制实现线程安全:将整个哈希表分成多个,每个段相当于一个独立的哈希表每个 Segment 继承自 ReentrantLock,拥有自己的锁不同 Segment 的操作可以,只有相同 Segment 的操作才需要竞争锁。
实现如何利用 Kafka 延时删除 用户邮箱的验证码(如何发送邮箱+源码) - 第一期
键盘爱好者
07-03 554
Kafka是最初由Linkedin公司开发,是一个分布式、支持分区的(partition)、多副本的(replica),基于zookeeper协调的分布式消息系统,它的最大的特性就是可以实时的处理大量数据以满足各种需求场景:比如基于hadoop的批处理系统、低延迟的实时系统、storm/Spark流式处理引擎,web/nginx日志、访问日志,消息服务等等,用scala语言编写,Linkedin于2010年贡献给了Apache基金会并成为顶级开源 项目。
JavaScript爬虫使用API提取代理模板
weixin_44617651的博客
07-02 544
JavaScript爬虫有两大优势:直接执行页面JS(Puppeteer/Playwright)和解析SPA(单页应用)如 React/Vue这就是我为何钟爱于JavaScript爬虫的原因。最近有几个同行说,使用API代理IP配合JavaScript经常报错,修改请求头或者访问频率也未能解决问题,因此,请求我们出手修改代码,一看代码简直惨不忍睹,能运行起来算他运气好,索性我自己写个通用模版给他参考。
Maven引入第三方JAR包实战指南
最新发布
HTTP404_CN的博客
07-06 543
将第三方JAR包(如Oracle JDBC驱动)导入本地Maven仓库有两种主要方式:推荐使用mvn install:install-file命令安装到本地仓库,需指定JAR路径、groupId、artifactId和版本号,安装后即可在pom.xml中引用;临时测试可用<systemPath>或IDE直接添加库,但移植性差。正式项目建议将JAR安装至本地仓库确保一致性,团队共享时可部署到Nexus私服。关键注意参数命名规范、路径正确性及Maven环境配置。
XPath 安装使用教程
真正的大师永远怀着一颗学徒的心
07-05 591
本文介绍了XPath(XML Path Language)的基本概念与应用。XPath是一种用于在XML文档中查找信息的语言,广泛应用于XML数据提取、HTML解析、数据转换等场景。文章详细讲解了XPath的基本语法、常见开发环境支持(包括Java、Python、JavaScript等),并提供了VSCode安装XPath工具的步骤。通过示例XML文档展示了XPath查询方法,并给出了Python和Java的代码示例。此外还介绍了浏览器调试技巧和常见问题解决方案,最后推荐了W3School、MDN等学习资源
jwt使用教程
05-20
### JWT 使用教程详解 #### 1. JWT 基础概念 JSON Web Token (JWT) 是一种开放标准 RFC 7519,用于在网络应用环境间安全地传输信息[^1]。它是一个紧凑且自包含的字符串,能够传递声明(Claims),这些声明通常被用来在各方之间传达身份验证和其他用户相关信息。 JWT 的主要组成部分包括三部分:Header、Payload 和 Signature。每一部分都通过 Base64Url 编码并用点号 `.` 进行分隔[^1]。 #### 2. JWT 结构分析 - **Header**: 描述令牌元数据,通常是加密算法的信息。 - **Payload**: 存储实际的数据或声明,可以分为注册声明(Registered Claims)、公共声明(Public Claims)和私有声明(Private Claims)。 - **Signature**: 通过对前两部分进行签名来确保数据未被篡改。 具体生成过程如下: ```plaintext token = base64urlEncode(header) + "." + base64urlEncode(payload) + "." + HMACSHA256(base64urlEncode(header) + "." + base64urlEncode(payload), secretKey) ``` #### 3. 工作原理 当客户端向服务器发送请求时,可以通过 HTTP 头部字段中的 `Authorization` 来携带 JWT。例如: ```http GET /api/resource HTTP/1.1 Host: example.com Authorization: Bearer <token> ``` 服务器接收到此请求后会解析并验证该令牌的有效性和合法性。 #### 4. 实现方式举例 ##### Python 中的实现 Python 可以利用 PyJWT 库轻松完成 JWT 的编码与解码操作。下面展示了一个简单的例子[^4]: ```python import jwt from datetime import datetime, timedelta def create_jwt_token(secret_key="your_secret", algorithm="HS256"): payload = { "sub": "1234567890", "name": "John Doe", "iat": int(datetime.utcnow().timestamp()), "exp": int((datetime.utcnow() + timedelta(minutes=30)).timestamp()) } encoded_jwt = jwt.encode(payload, secret_key, algorithm=algorithm) return encoded_jwt def decode_jwt_token(encoded_jwt, secret_key="your_secret", algorithms=["HS256"]): try: decoded_payload = jwt.decode(encoded_jwt, secret_key, algorithms=algorithms) return decoded_payload except jwt.ExpiredSignatureError as e: return f"Token expired: {e}" except jwt.InvalidTokenError as e: return f"Invalid token: {e}" if __name__ == "__main__": token = create_jwt_token() print(f"Encoded JWT: {token}") decoded_data = decode_jwt_token(token) print(f"Decoded Data: {decoded_data}") ``` ##### Laravel 中的应用 Laravel 框架下集成 Tymon\JWTAuth 扩展包可方便管理基于 JWT 的认证逻辑[^2]。首先需安装依赖库并通过配置文件设置别名以便快速调用相关方法: ```php // 配置 aliases 数组中加入以下内容 'JWTAuth' => 'Tymon\JWTAuth\Facades\JWTAuth', 'JWTFactory' => 'Tymon\JWTAuth\Facades\JWTFactory', // 创建 Token 示例 $user = Auth::user(); $token = JWTAuth::fromUser($user); // 验证 Token 示例 try { $user = JWTAuth::parseToken()->authenticate(); } catch (\Tymon\JWTAuth\Exceptions\TokenExpiredException $e) { // Token过期处理... } ``` #### 5. 安全注意事项 尽管 JWT 提供了一种灵活的身份验证机制,但在实际开发过程中仍需要注意一些潜在的安全隐患。比如避免泄露敏感信息到 Payload 或者 Header 当中;始终保护好 Secret Key 不被暴露给未经授权方等等[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值