JWT——jjwt使用

最新推荐文章于 2025-11-17 03:16:44 发布
原创 最新推荐文章于 2025-11-17 03:16:44 发布 · 896 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #JWT #jjwt #token

本文介绍了JWT(JSON Web Token),它是用于身份验证和授权的安全传输数据开放标准。阐述了JWT由头部、载荷、签名构成,说明了其使用场景,如Web API验证、单点登录等。还讲解了在Java项目中使用JWT的方法,包括添加Maven依赖、生成和解析Token。

文章目录

一、JWT是什么?

JWT (JSON Web Token) 是一种用于身份验证和授权的安全传输数据的开放标准。

二、JWT构成

0、header.payload.signature

1、header 头部 (JSON数据,Base64加密)

报头通常由两部分组成: Token的类型(即 JWT)和所使用的签名算法(如 HMAC SHA256或 RSA)。

  • alg : HS256 : 签名使用的算法
  • typ : JWT :标识JWT

2、payload 载荷 (JSON数据,Base64加密)

载荷是实际的数据,其中包含声明。声明是关于实体(通常是用户)和其他数据的语句。
有三种类型的声明:

  • registered claims,
  • public claims
  • private claims。

下面是预定义的数据。

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

2.1、Public claims(公共的声明)

使用 JWT 的人可以随意定义这些声明( 可以自己声明一些有效信息如用户的id,name等,但是不要设置一些敏感信息,如密码 )。但是为了避免冲突,应该在 JWT注册表中定义它们,或者将它们定义为包含抗冲突名称空间的 URI。

2.2、Private claims(私人声明)

这些是创建用于在同意使用它们的各方之间共享信息的习惯声明,既不是注册声明,也不是公开声明( 私人声明是提供者和消费者所共同定义的声明 )。

2.3 注意:

对于已签名的Token,这些信息虽然受到保护,不会被篡改,但任何人都可以阅读。除非加密,否则不要将机密信息放在 JWT 的有效负载或头元素中。

3、signature 签名:

签名用于验证JWT的完整性,确保在传输过程中没有被篡改。
公式:
HMACSHA256(base64UrlEncode(header) + “.” +base64UrlEncode(payload), secret)

三、使用场景

  • Web API:JWT可以作为一种安全且高效的方式来验证请求,保护Web API不被恶意请求和数据盗用。

  • 单点登录(SSO):JWT可以使用户在一次身份验证后,通过使用同一个认证令牌,来访问多个应用程序。这样可以简化用户在不同应用程序之间的登录流程,提高用户体验。

四、JAVA项目使用

1、Maven依赖

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.12.3</version>
</dependency>

2、生成Token方法

//私钥,注意私钥长度至少43位,不然生成Token会报错
public static String secret ="123456789a123456789a123456789a123456789a123";
public static String createToken(){
    

    // Header
    Map<String, Object> header = new HashMap<>();
    header.put("alg", "HS256");
    header.put("typ", "JWT");

    // Payload
    Map<String, Object> payload = new HashMap<>();
    payload.put("id", "malu_code");
    payload.put("name","码鹿");
    payload.put("admin",true);

    // 声明Token失效时间
    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.SECOND,300);// 300s

    // 生成Token
    String token = Jwts.builder()
            .setHeader(header)// 设置Header
            .setClaims(payload) // 设置Payload
            .setExpiration(instance.getTime())// 设置生效时间
            .signWith(SignatureAlgorithm.HS256,secret) // 签名,这里采用私钥进行签名,不要泄露了自己的私钥信息
            .compact(); //生成Token

    return  token;
}

3、解析Token方法

如果可以成功解析、不报异常,那token就是对的。

//私钥,注意私钥长度至少43位,不然生成Token会报错
public static String secret ="123456789a123456789a123456789a123456789a123";
public static boolean parserToken(String token) {
    JwtParser jwtParser = Jwts.parser().setSigningKey(secret).build();
    try {
        Jws<Claims> claimsJws = jwtParser.parseClaimsJws(token);
        // 解析head信息
        JwsHeader header = claimsJws.getHeader();
        // 解析Payload
        Claims claims = claimsJws.getBody();
        System.out.println(claims);
        // 解析Signature
        String signature = claimsJws.getSignature();
        System.out.println(signature); 
    }catch (Exception e){
        return false;
    }
    return true;
}
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 3419
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web TokenJWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
Java实现JWT认证的完整指南:如何从零开始构建安全认证系统
weixin_46372265的博客
07-09 1618
JWT是一种基于JSON的开放标准,用于在各方之间作为JSON对象安全地传输信息。它特别适合于在无状态环境中(如RESTful API)进行身份验证和信息交换。通过以上步骤,我们成功地在Java中实现了基于JWT的身份认证系统。这个系统具有高度的安全性和扩展性,适用于各种需要身份认证的应用场景。希望这篇文章对大家有所帮助,如果你觉得这篇文章对你有所帮助,欢迎关注我的博客。未来,我会继续分享更多关于Java开发的干货。让我们一起在技术的道路上不断探索,勇往直前!
如何快速掌握JJWTJava和Android的终极JWT工具使用指南 [特殊字符]
最新发布
gitblog_00655的博客
11-17 1110
JSON Web Token (JWT) 是当今Web开发中不可或缺的安全认证技术,而JJWT正是Java和Android平台上最强大、最易用的JWT实现库。无论你是初学者还是经验丰富的开发者,这篇完整指南将帮助你快速掌握JJWT的核心功能和实际应用。 ## 什么是JJWT?为什么选择它? JJWT是一个纯Java实现的JSON Web Token库,完全遵循JWT RFC规范标准。它提供了简
JWT的讲解以及JJWT使用(另附JWT工具类)
枯木何日可逢春
09-03 1万+
1. 什么是JWT JSON Web TokenJWT)是一个轻量级的认证规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其本质是一个token,是一种紧凑的URL安全方法,用于在网络通信的双方之间传递。 2. JWT的构成 一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名 2.1 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等 头部可以被表示成一个JSON对象 {"typ":"JWT","alg":"HS256"} 在
jwt使用详解
u013029883的博客
08-10 2923
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
JJWT使用完全指南
oscar999的专栏
08-23 6424
JJWT,是一款适用于 Java 和 Android 的 JSON Web TokenJWT)库。 JJWT, 也称为Java JWT ,全称是 Java JSON Web TokenJJWT完全基于 JWT、JWS、JWE、JWK 和 JWA RFC 规范以及 Apache 2.0 许可条款下的开源。该库由 Okta 的高级架构师 Les Hazlewood 创建,由一个贡献者社区支持和维护。
SpringSecurity系列——JWTjjwt)day1-2
qq_51553982的博客
06-17 1517
jwt(JSON Web Tokens) JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。 此信息可以验证和信任,因为它是数字签名的。 JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。https://jwt.io/ 从这张图我们可以看出来jjwt是在Java中支持最好的,所以我们直接学这个http协议本身是一种无状态的协议,而这就意味着如
JWT——JSON Web Tokens
WannaRunning的博客
01-12 480
目录 JWT的结构 JWT的生成 JWT的解析 随着分布式,前后端分离的出现,更多的开发者使用JWT来代替session实现身份验证。JWT有无状态,自包含等特点;它不依赖于客户端和服务端,token本身包含认证信息; 但是开发中应用JWT也会遇到一个缺陷,token过期时间是生成token时就设置的固定的时间,如果在用户登出的场景下虽然用户退出了但是如果token还没有过期,那么这个t...
Spring安全框架——jwt的集成(服务器端)
12-21
- 引入JWT库`jjwt`,用于生成、解析和验证JWT令牌。 2. **编写JwtUtil工具类** - 创建一个`JwtUtil`类,包含生成、解析和校验JWT令牌的函数。 - 使用`SignatureAlgorithm`定义签名算法,一般使用HS256或RS256。 ...
基于io.jsonwebtokenjwt工具类——tokenUtils
CY2333333的博客
07-09 6901
   实习期间利用无聊的空余时间写的一个JWT的工具类,可以用于token生成,token解码,token刷新。工具类基于io.jsonwebtoken——一个jwt的生成库。 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.lang.reflect.Fie
Java校园淘项目实战(1)————JWT+RSA非对称加密生成token
China_TomCat的博客
10-12 1504
springCloud环境配置好了,接下来就是先把工具类写好,因为接下来要写用户接口微服务,所有打算先把密钥工具类和生成token的工具类写好。 (1)yml配置,里面声明了公钥和私钥存放的地方。 server: port: 10021 spring: application: name: commons-service eureka: client: service-url: defaultZone: http://127.0.0.1:10086/eureka/
JJWT使用详解
热门推荐
qq_45332753的博客
02-17 3万+
JJWT使用详解 开始本文以前最好对JWT已经有一定的了解,这样会更方便您的阅读,本文仅仅对开源项目的使用文档进行汉化,更方便进行阅读和使用。 简介 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT) Maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId&gt
jjwt使用
qq_34784893的博客
05-24 1796
一:依赖&lt;!-- json web token --&gt; &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;0.7.0&lt;/version&gt; &
JJWT使用
weixin_47520834的博客
11-10 766
JJWT使用 token替代session进行登录验证 使用 LoginHandler(将登陆成功的token存入响应头发给前端) @PostMapping("login") public ResponseEntity login(@RequestBody Map<String,String> map){ String uphone = map.get("uphone"); String valicode = map.get("valicode"
JJWT 使用教程
gitblog_00412的博客
08-08 756
JJWT 使用教程 项目地址:https://gitcode.com/gh_mirrors/jj/jjwt 项目介绍 JJWTJava JWT)是一个用于创建和验证 JSON Web TokenJWT)的Java库。JJWT完全基于JWT、JWS、JWE、JWK和JWA RFC规范,并且是在Apache 2.0许可条款下的开源项目。该库由Okta的高级架构师Les Hazlewood创建,并由...
JWT详解、JJWT使用token 令牌
xiao2431的专栏
09-22 6335
JWT及JSON Web Token,是一种在两方之间以紧凑、可验证的形式传输信息的方式。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
Java Web TokenJJWT 使用
从心初发
03-24 9092
文章目录Java Web TokenJJWT 使用1. JJWT 简介2. JJWT 引入2.1 Maven依赖3. 快速入门3.1 构建 JWT3.2 解析 JWT4. JWT 加密签名实现4.1 JWT 签名算法介绍4.1.1 支持算法类型4.1.2 算法使用要求4.2 创建 JWS4.2.1 设置 Header Parameters4.2.2 设置 Claims标准的 Claims4....
JJWT 0.12.6使用指南
qq_42690281的博客
12-26 3964
JJWTJava JWT)是一个用于在 Java 应用中处理 JSON Web Tokens(JWT)的库。JWT 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息,通常应用于身份验证和授权场景。
jjwt的基础使用
weixin_38503935的博客
11-14 691
导包:group: ‘io.jsonwebtoken’, name: ‘jjwt’, version: ‘0.9.0’ 参考链接:link 常用方法 1、Jwts.builder的方法返回DefaultJwtBuilder() setPayload()
springboot中jwt使用
02-12
### 如何在Spring Boot项目中使用JWT进行身份验证和授权 #### 配置依赖项 为了实现基于JWT的身份验证,在`pom.xml`文件中加入必要的依赖。这通常包括用于处理JSON Web Token的库以及增强安全性框架的支持。 ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>${jjwt.version}</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 其他所需依赖 --> ``` 这些依赖允许应用程序轻松地生成、解析和验证JWT令牌,同时也集成了强大的安全特性[^2]。 #### 创建Token工具类 定义一个辅助类来负责创建和解码JWT令牌。此类应包含方法以构建带有有效载荷声明的新令牌字符串,并能够从现有令牌提取信息。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; public class JwtUtil { private String secret = "yourSecretKey"; // 应该通过更安全的方式管理此密钥 public String generateToken(UserDetails userDetails){ Map<String, Object> claims = new HashMap<>(); return Jwts.builder() .setClaims(claims) .setSubject(userDetails.getUsername()) .signWith(SignatureAlgorithm.HS512, secret).compact(); } public Boolean validateToken(String token, UserDetails userDetails){ final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private Claims extractAllClaims(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } } ``` 注意这里提到的安全提示:不推荐直接硬编码秘密密钥;而是应当采用专业的密钥管理系统来进行管理和分发[^3]。 #### 设置认证过滤器 为了让每次HTTP请求都能自动携带并检查用户的凭证状态,需编写自定义过滤器继承`OncePerRequestFilter`,并在其中执行实际的身份验证逻辑——即读取Authorization头部字段内的Bearer类型的JWT令牌,对其进行有效性检验并将结果绑定到当前线程关联的安全上下文中去。 ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); try{ username = jwtUtil.extractUsername(jwt); }catch(Exception e){ logger.error(e.getMessage()); } } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (Boolean.TRUE.equals(jwtUtil.validateToken(jwt, userDetails))) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } chain.doFilter(request, response); } } ``` 上述代码片段展示了如何捕获传入的HTTP请求,从中抽取JWT令牌并对之实施初步审核的过程[^5]。 #### 注册过滤器至Security配置 最后一步是在全局范围内激活我们刚刚编写的过滤器实例,使之成为整个Web应用防护链的一部分。为此可以在扩展了`WebSecurityConfigurerAdapter`的基础之上重写其内部的方法: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtRequestFilter jwtRequestFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable(). authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated(). and(). sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS). and(). addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 这段配置指定了哪些路径无需经过身份验证即可访问(如登录页面),其余资源则一律受保护。同时禁用了CSRF防御机制因为无状态API不需要它,并指定每当收到新请求时都要先调用前面定义好的JwtRequestFilter对象做前置处理工作[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码鹿的笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值