这是JWT 简单使用

已于 2024-12-27 10:32:33 修改
阅读量952 收藏
点赞数
分类专栏: 笔记 拿来即用 新概念 文章标签: java
于 2023-05-24 18:02:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/htydowd/article/details/130850687
版权
JWT是一种紧凑的、URL安全的方式来传输信息,这些信息是由两方进行交换的声明。JWT由三部分组成:头部、Body和签名。生成JWT涉及选择加密算法、创建秘钥、构建Body并设置有效期。解析JWT时,需要使用相同的秘钥。如果JWT失效或秘钥不匹配,解析会失败。JWT常用于权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT 是 Json Web Token的缩写

JSON Web Tokens - jwt.ioJSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is digitally signed using JSON Web Signature (JWS).icon-default.png?t=O83Ahttps://jwt.io/

JWT 的结构格式如下:

xxxxx.yyyyy.zzzzz

由三部分组成,每部分 用 点 分割

第一部分:

头部,记录 使用的 加密算法的类型

第二部分:

Body,记录一些额外信息

第三部分:

签名,用来校验 数据是否 被篡改

OK,Java工具包如下,使用 jjwt 

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

OK,生成一个 JWT 步骤:

确定 使用的加密算法,jjwt 工具包已经 给我们提供好了各种加密算法的枚举

io.jsonwebtoken.SignatureAlgorithm

确定 使用的秘钥

SecretKey secretKey = new SecretKeySpec("秘钥字符串".getBytes(), "AES"); 

构建Body部分,该部分 是一个 Map

另外,可以构建 JWT 的创建时间 和 失效时间

String jwtToken = Jwts.builder()
                .setClaims()
                .setIssuedAt()
                .signWith()
                .setExpiration()
                .compact();

OK,解析 JWT

使用和 生成 JWT 相同的 秘钥,因为 token中已经有 算法信息了,所以不用再设置算法。

Claims claims = Jwts.parser()
                .setSigningKey()
                .parseClaimsJws()
                .getBody();

解析获取到 Claims 对象,可以获取 body 中的数据。

完整示例代码:

        // 生成token
        // 签名算法
        SignatureAlgorithm algorithm = SignatureAlgorithm.HS256;
        // 加密秘钥
        SecretKey secretKey = new SecretKeySpec("1234567890".getBytes(), "AES");

        // body部分
        Map<String, Object> body = new HashMap<>();
        body.put("userId", "0001");

        // 创建时间 和 实效时间
        long nowMillis = System.currentTimeMillis();
        long expMillis = nowMillis + 1000 * 60 * 1;
        Date iat = new Date(nowMillis);
        Date exp = new Date(expMillis);
        //生成jwt
        String jwtToken = Jwts.builder()
                .setClaims(body)
                .setIssuedAt(iat)
                .signWith(algorithm, secretKey)
                .setExpiration(exp)
                .compact();
        System.out.println(jwtToken);

//        Thread.sleep(1000 * 61 * 1);

        // 验证
        // 获取解密秘钥
        SecretKey key = new SecretKeySpec("1234567890".getBytes(), "AES");

        // 解析token
        Claims claims = Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtToken).getBody();

        Object userId = claims.get("userId");
        System.out.println("userId:" + userId);

如果 token 失效 或者 加密 秘钥和解密秘钥 不同,都会解析失败。

在需要权限校验的资源中,就可以 从请求信息中获取 jwt 来验证 权限。

【Golang】Gin框架中如何使用JWT来实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
JWT 简单使用
qq_45874216的博客
02-22 927
token 简单使用(常用于用户接口访问携带的请求头)
JWTUtil定时生成并更新秘钥KEY
阿水的博客
05-06 1708
在实际应用中,为了保证密钥的安全性,我们需要定期更换密钥。可以通过定时任务或者其他方式,在系统每隔一段时间后自动生成一个新的密钥,然后将新的密钥存储在配置文件或者数据库中。同时,为了避免旧的密钥被误删或遗漏,最好也要将历史密钥进行备份和存储。
参考CAS流程并利用JWT的key共享实现单点登陆
沉默的夏虫
05-09 3675
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。 但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员 来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single Sig...
JWT 秘钥的作用机制
最新发布
cainiaojunshi的博客
04-04 635
JWT 秘钥的作用并不是给前端使用的,而是用于后端服务器内部的一个重要安全机制。
jwt有公钥私钥吗
m0_57236802的博客
03-26 1056
是的,JSON Web Tokens (JWT) 在使用RS256(RSA Signature with SHA-256)这类基于RSA的签名算法时,会涉及到公钥和私钥。JWT也可以使用对称密钥(如HS256 - HMAC with SHA-256)进行签名,但在这种情况下,只使用一个密钥来签名和验证,这个密钥在发送者和接收者之间共享。
解锁互联网安全的新钥匙:JWT(JSON Web Token)
weixin_74268571的博客
10-13 2166
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理和JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
jwt 私钥_浅析JWT
weixin_35835184的博客
12-30 3478
点击?蓝色“深入原理”,关注并“设为星标”技术干货,第一时间推送1 JWT原理介绍 1、JWT 的原理JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。{ "姓名": "张三", "角色": "管理员", "到期时间": "2020年9月1日0点0分"}以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用...
jwt 私钥_什么是基于JWT的身份验证的密钥,以及如何生成密钥?
weixin_39609887的博客
12-21 1173
Recently I started working with JWT based authentication. After user login, a user token is generated which will look like"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpv...
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的...2:jwt构成简单,占用很少的字节,便于传输。 3:json格式通用,不同语言之间都可以使用。 三:JWT组成 1:jwt由三部分组成:  头部(header)  载荷(payload) 包含一
jwt简单的介绍和了解
10-27
例如,`{ "alg": "HS256", "typ": "JWT" }`表示使用了HS256算法的JWT。 2. **载荷(Payload)**:也是一个JSON对象,包含了声明(Claims)。声明可以分为三类:注册声明、公开声明和私有声明。注册声明是预定义的,...
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
生成JWT公钥私钥
blog_zxb的博客
10-25 976
# 生成jwt公钥私钥 $ keytool -genkeypair -alias mytest -keyalg RSA \ -keypass mypass -keystore mytest.jks -storepass mypass # -alias 别名 # -keyalg 算法 # -keypass 私钥的密码 # -keystore 存储公钥和私钥的文件名 # -storepas...
JWT(简介)
qq_65345936的博客
09-18 2308
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
一文带你了解JWT
weixin_53365166的博客
10-08 562
HTTP协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据HTTP协议,我们并不能知道是哪个用户发出的请求.所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证.
jwt 公钥和私钥申请
qq_34297563的博客
12-23 2489
一、jwt令牌的使用需要先申请公钥和私钥,来进行加解密。jwt令牌的好处在于自身可以封装用户想要的信息,比如用户名,角色,权限等。 二、公钥和私钥的申请命令如下: 1、先安装Win64OpenSSL-1_1_0k.exe 这个是用来申请公钥使用的,需要先安装一下。 软件 链接:https://pan.baidu.com/s/1OzAYWltSePRtc0Gfn3p1Xw 提取码:0fno ...
jwt 私钥_JSON Web Token (JWT)生成Token及解密实战。
weixin_39843782的博客
12-21 1033
昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。从JWT官网支持的类库来看,jjwtJava支持的算法中最全的,推荐使用,网址如下。下面来看看如何使用jjwt来实现JWT token的生成与解密,主要用到sha512算法来演示。1、导入jjwt的maven包。io.jsonwebtokenjjwt0.9.0注意:JJWT依赖Jackson 2.x,低版本将报错...
JWT入门
weixin_64987028的博客
05-19 1522
一、JWT简介 1.什么是JWTJWT(JSON WEBTOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么要使用JWT? ...
jwt简易工具使用
03-23
### JWT简易工具的使用方法 JWT(JSON Web Token)作为一种轻量级的身份验证机制,在现代Web开发中得到了广泛应用。以下是关于如何使用JWT简易工具生成和验证令牌的具体说明。 #### 1. 工具引入 为了在项目中使用JWT,首先需要导入相应的依赖库。如果是在Spring Boot环境中工作,则可以通过Maven或Gradle添加依赖项[^2]: 对于Maven项目,可以在`pom.xml`文件中加入以下内容: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 对于Gradle项目,可以添加如下代码: ```gradle implementation 'io.jsonwebtoken:jjwt:0.9.1' ``` #### 2. 生成JWT令牌 生成JWT令牌的过程主要包括设置头部信息、载荷数据以及签名计算。下面是一个简单Java代码示例,展示如何创建一个JWT令牌[^3]: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "yourSecretKey"; // 秘钥 public static String generateToken(String subject, long ttlMillis) { SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; // 使用HS256算法 // 设置头部信息 var headerClaimsSet = Jwts.header().setTyp("JWT"); // 创建payload并添加自定义声明 var claimsSetBuilder = Jwts.claims().setSubject(subject); claimsSetBuilder.addClaims(Map.of( "userId", "123", "role", "admin" )); // 构建JWT字符串 return Jwts.builder() .setHeader(headerClaimsSet) .setClaims(claimsSetBuilder.build()) .setIssuedAt(new Date()) // 发行时间 .signWith(signatureAlgorithm, SECRET_KEY.getBytes()) // 签名 .compact(); } } ``` 上述代码中的`SECRET_KEY`应替换为实际使用的密钥,而`ttlMillis`参数表示令牌的有效期(毫秒数)。此函数返回的是已编码好的JWT字符串。 #### 3. 验证JWT令牌 当接收到客户端发送过来的JWT时,服务端需对其进行解析与验证以确认其合法性。下面是验证JWT的一个例子[^4]: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io.jsonwebtoken.Jwts; public class JwtValidator { private static final String SECRET_KEY = "yourSecretKey"; public static Claims validateToken(String token) throws Exception { try { return Jwts.parser() // 解析器实例化 .requireIssuer("issuer") // 可选:指定签发方 .setSigningKey(SECRET_KEY.getBytes()) // 设置秘钥进行解码 .parseClaimsJws(token).getBody(); // 获取负载部分 } catch (ExpiredJwtException e) { // 处理过期异常 throw new RuntimeException("Token has expired."); } catch (Exception e) { throw new RuntimeException("Invalid token."); } } } ``` 在这个过程中,会检查令牌是否有效,并提取出其中包含的信息。如果有任何错误发生(比如签名不匹配或者已经超出了有效期),则抛出相应异常。 ### 注意事项 - **安全性**:切勿将敏感信息存放在JWT的Payload字段里,因为它仅经过Base64编码而非加密处理[^1]。 - **密钥管理**:确保用于签名的密钥妥善保管,防止泄露给未经授权的人士。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值