JWT生成Token小demo

lx_追风

已于 2023-03-01 15:18:26 修改

阅读量333

点赞数

分类专栏： Token 文章标签： java

于 2023-03-01 00:06:18 首次发布

本文链接：https://blog.youkuaiyun.com/qq_42846807/article/details/129272727

版权

Token 专栏收录该内容

1 篇文章

订阅专栏

文章详细介绍了如何使用JWT库生成和解析Token，包括设置有效期、使用SecretKey签名以及Payload的使用。还阐述了Token的安全性和在用户登录流程中的应用，强调了密码加密和Token安全的重要性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、Token生成

a、首先设置Token的有效期和Secret Key。

b、使用JWT库的Jwts.builder()方法生成Token，并设置Token的Payload信息和过期时间。

c、使用signWith()方法和指定的加密算法和Secret Key对Token进行签名，生成最终的Token字符串。

2、Token解析

a、使用parseToken()方法，用于解析Token并返回包含Payload信息的Claims对象。可以使用Claims.get()方法获取Payload信息的键值对。需要注意的是，Token的生成和解析过程中，必须使用相同的Secret Key和加密算法。同时，Secret Key应该保密，只有服务端知道，以防止黑客攻击或泄露。使用更复杂的加密算法和更长的Secret Key可以增强Token的安全性。

++++++++++++++++++下面是代码实现++++++++++++++++++

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class TokenGenerator {
    private static final long EXPIRATION_TIME = 30 * 60 * 1000; // 设置Token有效期为30分钟
    private static final String SECRET_KEY = "my_secret_key"; // 设置Secret Key

    public static String generateToken(long userId, String username) {
        // 设置Token的Payload信息
        Map<String, Object> claims = new HashMap<>();
        claims.put("user_id", userId);
        claims.put("username", username);

        // 设置Token的过期时间
        Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME);

        // 生成Token
        String token = Jwts.builder()
                .setClaims(claims)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();

        return token;
    }

    public static Claims parseToken(String token) {
        // 解析Token，并返回Claims对象
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();

        return claims;
    }
}

3、Payload关键字解读

a、在JWT（JSON Web Token）中，Payload是Token中的一个部分，用于携带用户的信息，例如用户ID、用户名、角色、权限等等。Payload可以包含一个或多个键值对，每个键值对表示一个信息项，其格式一般为JSON格式，例如：

{
  "user_id": 123456,
  "username": "example_user",
  "role": "admin"
}

b、在生成Token时，Payload会被进行Base64编码，并作为Token的第二部分（即中间的部分）添加到Token中。Payload的加密只是使用了Base64编码，所以Token中的Payload部分可以被任何人解码和读取，但只有拥有Secret Key的人才能正确地解密和读取其中的信息。

c、Payload中可以携带一些重要的信息，如用户ID、权限、角色等，这些信息可以用于服务端的认证和授权，也可以用于客户端的展示和缓存等。需要注意的是，在使用Payload中携带敏感信息时，应该使用安全的加密算法和Secret Key，以确保Token的安全性。

4、以下是一个简单的Java用户登录流程示例

1、用户在客户端（如浏览器、移动应用）中输入用户名和密码。
2、客户端将用户名和密码通过POST请求发送给服务端。
3、服务端接收到用户名和密码后，根据用户名查询数据库，获取对应的用户信息。
4、如果查询结果为空，则返回错误信息，提示用户用户名或密码错误。
5、如果查询结果不为空，则使用密码加密算法（如BCrypt）对输入的密码进行加密，然后将加密后的密码和查询结果中的密码进行比较。
6、如果密码比较结果为不匹配，则返回错误信息，提示用户用户名或密码错误。
7、如果密码比较结果为匹配，则生成Token，将Token返回给客户端，并将Token存储在服务端的Session或Redis中，以便后续的认证和授权。
8、客户端在收到Token后，将Token保存在Cookie或LocalStorage中，以便后续的请求认证和授权。
9、用户进行后续的请求时，客户端将Token作为请求头部的Authorization字段发送给服务端。
10、服务端接收到请求后，从请求头部中获取Token，进行解析和验证，以确定用户是否已经认证和授权。

需要注意的是，用户登录流程中的密码加密算法和Token生成算法应该是安全的，以确保用户的密码和Token不被黑客攻击或泄露。同时，用户登录流程中的认证和授权操作应该是高效的，以保证服务端的性能和用户体验。可以采用现成的安全框架（如Spring Security）和Token库（如JWT）来实现用户登录流程。