Java实现JWT令牌技术

已于 2023-09-24 12:22:59 修改
阅读量945 收藏 4
点赞数 1
文章标签: java 服务器
于 2023-04-03 20:37:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_67713667/article/details/129938592
版权
本文介绍了三种主要的会话保持技术:Cookie,Session和Jwt,重点讲解了Jwt如何解决Cookie和Session的安全及集群环境下的问题。通过Java实现了一个JwtUtil类,用于生成和解析Jwt令牌,展示了其实现过程和测试案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在web应用方面,主要的会话保持技术有三种,分别是Cookie,Session和Jwt技术,cookie将数据明文保存在客户端,有严重的安全问题,session基于cookie实现,将sessionId保存在cookie中,将真实数据保存在服务端,成功的解决了安全问题,但是session是基于cookie实现的,所有他还存在一些问题,比如现在企业服务器大多以集群的形式存在,web请求被负载均衡服务器随机指定集群中的一台服务器处理,可能在该台服务器中不存在sessionId对应的数据。cookie和session不支持移动端,也不能跨域。

jwt(Json Web Token)令牌技术正是为解决上述问题而出现的,它由客户端保存,由签名算法信息,自定义信息和密钥三部分组成。4a797f25dc4542ef9b376e1ddfabde8b.png

 接下来使用java实现jwt令牌的生成和解析

首先导入相关依赖

            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.5</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.2</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.11.2</version>
        </dependency>

然后实现一个Jwt类

public class JwtUtil {
    private static final SignatureAlgorithm signatureAlgorithm=SignatureAlgorithm.HS256;//指定加密算法
    private static final Long expire= (long) (60*60*1000);//设置有效时间
    private static final String secret="mynameiszoffyandhisnameisminghuang";//设置密钥
    public String GenerateJwt(Map<String,Object> claims){
        Key signatureKey=new SecretKeySpec(secret.getBytes(),signatureAlgorithm.getJcaName());
        return Jwts.builder()
                .signWith(signatureKey,SignatureAlgorithm.HS256)//设置签名方式
                .addClaims(claims)//设置自定义消息
                .setExpiration(new Date(System.currentTimeMillis()+expire))//设置过期时间
                .compact();
    }
    public  Map<?,?> ParseJwt(String jwt){
        Key signatureKey=new SecretKeySpec(secret.getBytes(),signatureAlgorithm.getJcaName());
        Object body=Jwts.parserBuilder()
                .setSigningKey(signatureKey)
                .build()
                .parse(jwt)
                .getBody();
        return (Map<?,?>)body;

    }
    
}

 

测试一下

public static void main(String[] args){
        JwtUtil jwtUtil=new JwtUtil();
        Map<String,Object> map=new HashMap<>();
        map.put("name","zoffy");
        map.put("hello","chen");
        String jwt=jwtUtil.GenerateJwt(map);
        System.out.println(jwt);
        System.out.println(jwtUtil.ParseJwt(jwt));
    }

 

成功eef0f70d23dd48ae91d5ef69495d0603.png

 

 

Java手动生成JWT
孤星的博客
04-17 1083
头部 首先我们需要一个Json { "alg":"HS256" } 接着我们需要将其在Java中展示出来 String header = "{\n" + "\t\"alg\":\"HS256\"\n" + "}"; 之后要去除所有空格 String header = "{"alg":"HS256"}"; 报错了,很明显是有问题的,接着用转义字符将“正常展示出来 String header
JAVA实现登录校验(JWT令牌实现
目前专注区块链相关技术的学习与分享
05-06 1180
等。例如:{"id":"1","username":"Tom"}第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。签名的目的就是为了防止jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌在校验的时候都会失败,所以它是非常安全可靠的。
java生成、解析JWTjava-jwt
什么都干的派森
06-06 3761
JWT是token的一种,一个JWT字符串包含三个部分头部信息,一般不需要声明,默认为 HS256 签名算法和 JWT 令牌类型 2.Payload 包含一些默认字段,还可以自定义一些私有字段,但是不要放敏感信息 3.Signature 数据签名,对上面两部分进行数据签名,Header部分和Payload部分先进行base64Url编码,然后用英文句号拼接并加上一个自定义的secret字符串盐值进行HS256对称加密【也可以用其它算法或非对称加密】 4.组合 最后将 Header、Payload、Signa
Java-jwt4.4.0版本使用
最新发布
w2369110547的博客
04-29 487
在 Spring Boot 中使用java-jwt
Java实现jwt令牌的生成与解析
Galvincat的博客
07-03 2187
JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519)实现令牌。它用于在各方之间以一种紧凑且自包含的方式安全地传输信息。JWT 通常用于身份验证和信息交换。
java部署jwt
qq_60707246的博客
07-26 363
java部署jwt
Java实现JWT
天涯明月
10-19 2706
JWT(JSON Web Token) JWT在web环境中通常作为一种用户凭证,它是一个以.分隔,由heaer.payload.signature组成的字符串,其中每个部分都经过Base64编码。header包含token采用的算法、类型(JWT)、KeyId等信息,payload中包含token的发行人iss、过期时间exp、业务信息等(比如用户ID、昵称等),signature是对(header.payload)的Base64组合串用密钥加密得到的摘要,代表header.payloa....
java开发jwt认证 令牌jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
springboot实战学习(7)(JWT令牌的组成、JWT令牌的使用与验证)
岁岁岁平安的博客
09-22 1952
本篇博客主要是学习和介绍了JWT令牌的组成、JWT令牌的生成、JWT令牌的验证。其中重点分析了JWT令牌组成中"头部"、"载荷"、"数字签名"、"密钥"。也分析到如何借助工具"java-jwt"去生成合法的JWT令牌。如何再通过测试方法去验证令牌的合法性...
java-jwt:JSON Web令牌JWT)的Java实现
02-03
Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和...
Java简单快速入门JWT(token生成与验证)
greatming666的博客
09-08 1万+
java jwt简单了解并快速上手
JwtUtil.java
04-14
主要用于单点登录,基于Jwt生成Token的工具类,包括生成和解析Token,JWT token的格式主要为header.payload.signature
JWT加密解密案例
热门推荐
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
JAVAJWT令牌生成和解析(库:jjwt 版本:0.12.3)
qq_45137726的博客
01-27 3559
JWT令牌的jjwt-root库,生成和解析jwt令牌的方法。下面的代码介绍了两种密钥设置的方法。方法一自定义密钥(需满足长度>=256 bits);方法二:使用HMAC-SHA 算法生成密钥。PS:不理解的,可以看一看它的源码中相关方法的注释,再结合官方文档,就很容易理解了。
JAVA中生成JWT(JSON WEB TOKEN)工具类的编写模板
weixin_51916557的博客
11-09 1072
JAVA中生成JWT(JSON WEB TOKEN)工具类的编写模板
JAVA开发入门--JWT令牌
2301_79104128的博客
11-12 966
JWT,全称JSON Web Token,是一种基于JSON、用于双方之间安全传输信息的令牌技术。它定义了一种紧凑且自包含的方式,用于在各方之间传递经过签名的JSON对象。同时,其基于JSON对象,通过数字签名的方式进行验证和确保信息的完整性。JWT一般用于身份验证和授权,它可以在用户和服务器之间安全地传递用户身份信息,而无需通过服务器存储会话信息。
Java中生成JWT令牌
ltt159264的博客
04-04 432
②如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,令牌非法。注意事项:①JWT校验时使用的签名密钥,必须和生成JWT令牌时使用的密钥是配套的。
JAVA使用JWT最新库jjwt-api生成JWT(JDK17)
Galaxy的博客
02-03 4545
使用JWT最新的库来生成token
如何生成JWTjava版)
孤寂的游魂的博客
12-27 1957
项目中用到了JWT作为验证方式,故在此记录下JWT生成和解析的方式 前提,导入jar <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 生成token /** * 加密生成token * @param k
JWT令牌爆红
03-27
### 解决JWT令牌相关错误的方法 当遇到JWT令牌相关的错误时,通常可以从以下几个方面入手分析并解决问题: #### 1. **验证签名失败** 如果服务器无法验证JWT的签名,则可能是由于密钥不匹配或算法配置不当引起的。确保客户端和服务器端使用的加密算法一致,并且共享相同的秘密密钥。 ```python import hmac import hashlib def validate_signature(encoded_content, secret_key): expected_signature = hmac.new(secret_key.encode(), msg=encoded_content.encode(), digestmod=hashlib.sha256).hexdigest() return expected_signature ``` 上述代码展示了如何通过HMAC SHA-256生成签名[^2]。务必确认`secret_key`在服务端和客户端之间保持一致性。 #### 2. **过期时间设置不合理** JWT中的`exp`字段定义了令牌的有效期限。如果该值被误设或者未正确解析,可能会引发“Token expired”的错误提示。检查payload部分是否有合法的时间戳表示形式。 ```json { "alg": "HS256", "typ": "JWT" } . { "sub": "1234567890", "name": "John Doe", "iat": 1516239022, "exp": 1516239082 } ``` 以上JSON片段显示了一个典型的JWT结构,其中包含了签发时间和到期时间的信息。 #### 3. **依赖库版本冲突** 某些情况下,不同版本的安全框架可能引起兼容性问题。例如,在Spring Boot项目里引入security组件时需要注意其与核心模块之间的协调关系[^3]。 对于基于Micronaut的应用程序来说也是如此——它会返回带有JWT token 的 JSON 响应体用于后续的身份认证操作;然而这要求开发者妥善管理好各个插件间的相互作用以免发生意外状况[^1]。 #### 4. **授权模式选用失误** 依据实际需求选取恰当类型的OAuth 2.0 flow至关重要。每种grant types都有各自适用范围以及风险考量因素[^4]: - Authorization Code Grant Type适合于安全性较高的Web Apps 和 Mobile Apps; - Implicit Grant Type更适合那些运行在浏览器环境下的Single Page Applications(SPA); - Resource Owner Password Credentials Grant Type则常应用于特定场景下直接获取资源拥有者凭证的情况; - Client Credentials Grant Type主要针对一些后台进程或者是完全由系统控制的服务调用方. 综上所述,要彻底排查并修复JWT Token Errors就需要综合考虑多个维度的因素包括但不限于秘钥同步情况、token生命周期设定准确性、所采用的技术栈稳定性及其内部协作机制等等。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辰宝IWZ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值