jwt解析token HS256算法

理解JWT与HS256算法
最新推荐文章于 2025-10-11 07:49:00 发布
原创 最新推荐文章于 2025-10-11 07:49:00 发布 · 1.2w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了JSON Web Token(JWT)的身份验证机制,并详细解释了用于签名JWT的HS256算法的工作原理。通过实例展示了如何生成和验证JWT,帮助读者更好地理解和应用JWT在实际项目中的安全性。 
package com.irootech.customercloud.common.util;

import com.google.gson.Gson;
import com.irootech.customercloud.bean.UserRegReporBean;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.codec.binary.Base64;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    public SecretKey generalKey() {
        String stringKey = Constant.JWT_SECRET;

        // 本地的密码解码
        byte[] encodedKey = Base64.decodeBase64(stringKey);

        // 根据给定的字节数组使用AES加密算法构造一个密钥
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");

        return key;
    }
    /**
     * 创建jwt
     * @param id
     * @param issuer
     * @param subject
     * @param ttlMillis
     * @return
     * @throws Exception
     */
    public String createJWT(String id, String issuer, String subject, long ttlMillis) throws Exception {

        // 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        // 创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        Map<String, Object> claims = new HashMap<>();
        claims.put("userMobile", "186");
        claims.put("createDate", "2019-10-22");
        claims.put("userName", "name");
        claims.put("userCompany", "公司");
        claims.put("userCountry", "国家");

        // 生成签名的时候使用的秘钥secret,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。
        // 一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
        SecretKey key = generalKey();

        // 下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
                .setClaims(claims)          // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setId(id)                  // 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setIssuedAt(now)       // iat: jwt的签发时间
                .setIssuer(issuer)          // issuer:jwt签发人
                .setSubject(subject)        // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .signWith(signatureAlgorithm, key); // 设置签名使用的签名算法和签名使用的秘钥

        // 设置过期时间
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);
        }
        return builder.compact();
    }
   
    /**
     * 解密jwt
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public Claims parseJWT(String jwt) throws Exception {
        SecretKey key = generalKey();  //签名秘钥,和生成的签名的秘钥一模一样
        Claims claims = Jwts.parser()  //得到DefaultJwtParser
                .setSigningKey(key)                 //设置签名的秘钥
                .parseClaimsJws(jwt).getBody();     //设置需要解析的jwt
        return claims;
    }

    private Claims parseJWT1(String jwt) {
        SecretKey key = generalKey();
        Claims claims = Jwts.parser()
                .setSigningKey(DatatypeConverter.parseBase64Binary(String.valueOf(key)))
                .parseClaimsJws(jwt).getBody();
        System.out.println("ID: " + claims.getId());
        System.out.println("Subject: " + claims.getSubject());
        System.out.println("Issuer: " + claims.getIssuer());
        System.out.println("Expiration: " + claims.getExpiration());
        return claims;
    }

    public static void main(String[] args) {

        UserRegReporBean user = new UserRegReporBean();
        user.setUserCompany("userid");
        user.setUserCountry("roleid");
        String subject = new Gson().toJson(user);

        try {
            JwtUtil util = new JwtUtil();

            String jwt = util.createJWT(Constant.JWT_ID, "Anson", subject, Constant.JWT_TTL);
            //jwt="eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ7XCJ1c2VyQ29tcGFueVwiOlwidXNlcmlkXCIsXCJ1c2VyQ291bnRyeVwiOlwicm9sZWlkXCJ9IiwidXNlckNvdW50cnkiOiLlm73lrrYiLCJ1c2VyTW9iaWxlIjoiMTg2IiwiaXNzIjoiQW5zb24iLCJ1c2VyQ29tcGFueSI6IuWFrOWPuCIsInVzZXJOYW1lIjoibmFtZSIsImV4cCI6MTU3MTc0ODI2NiwiaWF0IjoxNTcxNzQ0NjY2LCJqdGkiOiJiOGQzZDQzMS05NDVjLTQxMTMtYjJlMC01YTYxMmM0NTk4M2EiLCJjcmVhdGVEYXRlIjoiMjAxOS0xMC0yMiJ9.GHiaD4-hiXu9v2ucL0Yoq1vF9-XVKhJgd2Au9iCC3vE";
            //jwt="eyJhbGciOiJIUzI1NiJ9.eyJraWQiOiJPQzg0ZXBiZjBMVHZhZ1QrdEV4RjRWUVROam91dUNWK3FkVU1CZFVEU0g0PSIsImFsZyI6IlJTMjU2In0.1oov55mpqcrqnouup4mchar2ubg5j4hdfldabf3k7094ia0vlj86";
            System.out.println("JWT:" + jwt);

            System.out.println("\n解密\n");

            Claims c = util.parseJWT(jwt);

            System.out.println(c.getId()+"==111");
            System.out.println(c.getIssuedAt()+"==222");
            System.out.println(c.getSubject()+"==333");
            System.out.println(c.getIssuer()+"==4444");
            System.out.println(c.get("userMobile", String.class)+"==5555");

        } catch (Exception e) {
            e.printStackTrace();
        }

    }


}


package com.irootech.customercloud.common.util;

import java.util.UUID;

public class Constant {
    public static final String JWT_ID = UUID.randomUUID().toString();

    /**
     * 加密密文
     */
    public static final String JWT_SECRET = "1oov55mpqcrqnouup4mchar2ubg5j4hdfldabf3k7094ia0vlj86";
    public static final int JWT_TTL = 60*60*1000;  //millisecond
}
【项目实战】HS256 和 HMAC 加密算法
本本本添哥
07-31 2508
HMAC,是一种基于密钥和哈希函数的消息认证码算法。HMAC,是一种使用密钥的散列算法。HMAC,用于验证数据的完整性和验证发送者的身份。HMAC,结合了密钥和消息内容,生成一个固定长度的认证码(摘要)。HMAC,结合了哈希函数(如SHA-256)和密钥,以产生一个固定长度的认证码(摘要)这个认证码(摘要)可以用于验证消息的完整性和确认消息是否由拥有密钥的发送方发送。这个认证码(摘要)用于验证消息的完整性和发送者的身份。
ASP HMAC_SHA256 HS256算法 基于JAVASCIRPT RUNAT SERVER
08-04
效果与PHP中的hash_hmac(data,key,true)相同,注释掉return safehashInBase64; 这里可以返回URL安全的base64编码
[JWT] JWT with HS256
weixin_33866037的博客
09-18 507
The advantages of JWT over traditional session based validation is:  it effectively removing all authentication logic from both our codebase and our database, and delegating it to a third-party ser...
什么是HS256签名算法
最新发布
长风破浪会有时的博客
10-11 414
HS256,全称HMAC SHA256,是一种特殊的消息摘要算法。HMAC是Hash-based Message Authentication Code的缩写,意为“基于哈希的消息认证码”。SHA256则是一种哈希函数,用于将输入数据转化为一个固定长度的哈希值。结合起来,HS256用于生成一个消息的签名,这个签名可以帮助我们验证消息的完整性和来源。
JWT 加密解密
xyx_0300的博客
05-12 5640
1.1 什么是JWT JSON Web TokenJWT)是一个非常轻巧的规范。 这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 简称JWT,在HTTP通信过程中,进行身份认证。 我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。 因此需要对访问的客户端进行识别,常用的做法是通过session机制: 客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,
JSON WEB TOKEN
weixin_34273481的博客
03-19 836
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
jwt 私钥_浅析JWT
weixin_35835184的博客
12-30 3523
点击?蓝色“深入原理”,关注并“设为星标”技术干货,第一时间推送1 JWT原理介绍 1、JWT 的原理JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。{ "姓名": "张三", "角色": "管理员", "到期时间": "2020年9月1日0点0分"}以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用...
JWT的RS256HS256签名算法Demo.zip
03-23
压缩包中的"JWT的RS256HS256签名算法Demo"可能包含了示例代码,演示如何在实际应用中使用这两种签名算法生成和验证JWT。这些示例通常会涵盖以下步骤: 1. 创建JWT:包括设置头部(通常是类型和算法)、负载(用户...
LC_JWT_Test项目极简说明_支持JWT对称加密HS256和非对称加密RS256鉴权授权_内容关键词_对称加密与非对称加密原理对比HS256算法实现RS256算法实现J.zip
09-08
LC_JWT_Test项目是一个极简的测试项目,旨在展示如何使用对称加密HS256和非对称加密RS256两种方法来实现JWT(JSON Web Token)鉴权授权机制。JWT是一种开放标准(RFC 7519),它定义了一种简洁的、自包含的方式,...
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体实现示例和最佳实践。
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
热门推荐
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
VB6算法模块HS256.bas
12-28
纯VB6算法模块HS256.bas学习用的,算出来可以对得到各大网络上的加密字符哦。
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
jwt加密,和解密
djdjjdjdj的博客
08-04 1534
第一步,定义一个秘钥 #秘钥 jwt.secret= 76bd425b6f29f7fcc2e0bfc286043df1 //引入秘钥 @Value("${jwt.secret}") private String secret; 第二步,加密 //生成tonken //把id加成秘钥 Map<String,Object> claims=new HashMap<>(); claims.put("id",use
数字签名 & HS256算法
qq_43750656的博客
02-26 1943
HS256和AES、DES这种严格意义上的对称加密算法还不属于一种类型,HS256更偏向于哈希算法,只不过是一种可以融合用户自定义Token或者秘钥的哈希算法,生成的长度也是定长的。HS256是基于哈希消息认证码(HMAC)和SHA-256哈希函数的一种算法。它结合了密钥和消息数据,生成一个固定长度的哈希值,用于验证消息的完整性和真实性。发送方对原始数据(如文件、消息)使用哈希函数(如SHA-256)生成固定长度的哈希值(摘要)。非对称加密中,私钥加密的数据只能由对应的公钥解密,反之亦然。
关于JWTHS256加密解密简单的demo
weixin_59100424的博客
02-05 2751
Jwt加密demo
2.JWT原理
weixin_51733230的博客
11-02 236
1.cookie使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理:用户名+秘密 ​ *cookie是保存在用户浏览器端,用户名和密码等文明信息 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ajKdCnag-1604289627722)(C:\Users\马浩伟\AppData\Local\Temp\1604286749628.png)] 1.2 session使用原理 ​ *session是
JWT中secret的作用
只为成功找方法 不为失败找借口
10-08 125
可以生成没有 Secret 的 JWT。当使用算法时,JWT 不会进行签名验证,这意味着任何人都可以创建或修改这些 token
springboot-jjwt HS256加解密(PS:验证就是解密)
weixin_30768661的博客
05-17 3497
最近项目需要用到类似access token进行加解密、验签的需求,本人在此做个小笔记记录一下,以供他人参考。 一共会用到2中加解密,HS256 和 RS256,本文只是对 HS256做个备注,好了直接上代码,先引入jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactI...
golang 解析 hs256算法token
07-28
要在 Golang 中解析 HS256 算法的令牌(token),你可以使用 `github.com/dgrijalva/jwt-go` 这个第三方库。以下是一个简单的示例代码: ```go package main import ( "fmt" "github.com/dgrijalva/jwt-go" ) func main() { tokenString := "your_token_here" // 解析令牌 token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) { // 检查签名算法是否为 HS256 if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok { return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"]) } // 返回用于验证签名的密钥 return []byte("your_secret_key_here"), nil }) if err != nil { fmt.Println("解析令牌出错:", err) return } // 验证令牌是否有效 if token.Valid { fmt.Println("令牌是有效的") } else { fmt.Println("令牌是无效的") } } ``` 请将 `your_token_here` 替换为你要解析的实际令牌,将 `your_secret_key_here` 替换为用于签名验证的密钥。如果令牌有效,将输出 `"令牌是有效的"`,否则输出 `"令牌是无效的"`。 记得使用 `go get` 命令安装 `jwt-go` 库: ```shell go get github.com/dgrijalva/jwt-go ``` 希望这可以帮助到你!如果有任何其他问题,请随时问我。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值