JWT生成、解析过程及原生实现

最新推荐文章于 2025-06-15 13:03:50 发布
最新推荐文章于 2025-06-15 13:03:50 发布
阅读量1.7k 收藏 14
点赞数 10
CC 4.0 BY-SA版权
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangye135/article/details/142887884

 token是项目开发中常用的一种身份验证机制。本质上,是因为HTTP请求是一种无状态的请求,每一个请求之间是独立的,我们无法直接从请求中判断用户的状态,比如:用户是否登录、用户是否有权限访问该接口等等。因此我们需要额外的信息,帮助我们对用户的状态进行判断。Session、Token这是为了解决这类问题了产生的,但是他们本质上又有一些不同。感兴趣的读者可以直接查阅,后期我也会写相关的博客的。

Token的使用流程:

1. 第一次登录的时候从服务端获取Token

2. 之后将服务端返回的Token,放置到请求头中,一般是Authorization字段。

3. token是有有效期的,如果超过了有效期,就需要重新登陆向服务端再次获取Token。也有类似无感刷新token的技术——长短token。短token的有效期短,长token的有效期长,短token过期了,通过长token向服务端获取token,从而无感刷新token,提高用户的体验(不需要频繁登录了)

什么是JWT:

JWT是token的一种具体实现,相当于是JSON格式的token。以下是官网详解:

JSON Web 令牌(JWT)是一种紧凑且自包含的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。每条信息都可以被验证和信任,因为可以对其进行数字签名。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。

主要应用:

  • 授权:用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。

  • 信息安全传输:JWT可以签名,因此我们可以验证发送人的身份。此外,由于JWT的签名是使用标头和有效负载计算的,可以验证信息在传递过程中是否发生了篡改。

JWT的结构:

  • JWT 的结构通常由标头有效载荷签名三部分组成,这三部分由点(.)分隔。

  • 标头通常由两部分组成:令牌的类型和正在使用的签名算法,例如 HMAC SHA256 或 RSA。

  • 有效载荷是实际存放传递信息的位置,包含声明和用户自定义信息。其中,声明是关于Token实体的描述,例如:颁发者、过期时间、主题等,声明可以分为三类:已注册声明、公共和私有声明。

  • 签名主要用于验证消息在传递的过程中是否发生篡改,在使用私钥签名的令牌的情况下,还可以验证 JWT 的发件人是否是它所声称的身份。签名并不是对JWT加密,而是保证JWT在传递的过程中不被篡改和验证JWT签发人的身份。

JWT的格式:

xxxxxxxxxxxxxxxxx.yyyyyyyyyyyyy.zzzzzzzzzzz

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

jwt的生成过程:

  1. 标头经过 Base64Url 编码成为JWT的第一个部分。

  2. 对有效负载进行 Base64Url 编码,形成JWT的第二部分。

  3. 获取到标头中指定的签名算法,然后对标头信息、有效负载信息、密钥进行签名。

  4. 最后,我们将这三个部分的字符串使用.进行拼接,形成上方格式的token。

// 如果使用 HMAC SHA256 算法,将按以下方式创建签名:
// 标头和有效载荷部分进行base6Url编码并拼接在一起,生成一个字符串。
//最后使用SHA256生成签名

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

代码实现:

了解了JWT的理论知识之后,我们就可以生成JWT和对JWT的进行验证和判断是否过期。

生成JWT:

type tokenHeader struct {
	Alg string `json:"alg"`
	Typ string `json:"typ"`
}


type tokenPayLoad struct {
	Sub    string `json:"sub"`
	Exp    int64  `json:"exp"`
	UserId int    `json:"user_id"`
}

//生成JWT
func CreateJWT(hashAlg string, secret string, expire int64, userId int) (string, error) {
	//1. 生成JWT的第一部分——标头
	header := tokenHeader{Typ: "JWT", Alg: hashAlg}
	headerMar, _ := json.Marshal(header)
	base64UrlHeader := base64.URLEncoding.EncodeToString(headerMar)

	//2. 生成JWT的第二部分——有效载荷
	payload := tokenPayLoad{Sub: "AccessTok", Exp: time.Now().Unix() + expire, UserId: userId}
	payloadMar, _ := json.Marshal(payload)
	base64UrlPayload := base64.URLEncoding.EncodeToString(payloadMar)
	fmt.Println(payload)

	//3. 生成JWT的第三部分——签名
	base64Signature, err := SignHS256(base64UrlHeader+"."+base64UrlPayload, secret)
	if err != nil {
		log.Fatal("signature process happen error:", err)
		return "", err
	}
	// 4. 进行最终token的拼接,并返回结果
	token := base64UrlHeader + "." + base64UrlPayload + "." + base64Signature
	return token, nil
}

验证和解析JWT:

// 验证Token
func VerifyToken(token string, secret string) (bool, error) {
	// 1. 解析token的各个部分
	firstNodeIndex := strings.Index(token, ".")
	lastNodeIndex := strings.LastIndex(token, ".")
	headerAndPayLoad := token[0:lastNodeIndex]
	base64Signature := token[lastNodeIndex+1:]
	// 2. 进行签名验证,检验token在传递的过程中是否发生了篡改
	ok, err := VerifyHS256(headerAndPayLoad, base64Signature, secret)
	if err != nil {
		return false, err
	}
	if !ok {
		return false, errors.New("token isValid")
	}
	// 3. 检验token是否过期
	payLoad := tokenPayLoad{}
	base64Payload := token[firstNodeIndex+1 : lastNodeIndex]
	decodeString, _ := base64.URLEncoding.DecodeString(base64Payload)
	json.Unmarshal(decodeString, &payLoad)

	isExpire := VerifyExpire(payLoad.Exp)
	if !isExpire {
		return false, errors.New("token is expire")
	}

	return true, nil
}


// VerifyHS256 验证使用 HMAC SHA-256 || 实现:签名比对
func VerifyHS256(data, signature, secret string) (bool, error) {
	expectedSignature, err := SignHS256(data, secret)
	if err != nil {
		fmt.Println("gender signature by head and payload when check sign", err)
		return false, nil
	}

	// 比较签名,注意要处理 Base64 编码的比较问题
	return hmac.Equal([]byte(expectedSignature), []byte(signature)), nil
}

// VerifyExpire 验证token
func VerifyExpire(deadline int64) bool {
	return time.Unix(deadline, 0).After(time.Now())
}

HS256签名算法:

// SignHS256 使用 HMAC SHA-256 算法对给定的数据进行签名,返回编码后的签名
func SignHS256(data, secret string) (string, error) {
	key := []byte(secret)
	h := hmac.New(sha256.New, key)
	_, err := h.Write([]byte(data))
	if err != nil {
		return "", err
	}
	hash := h.Sum(nil)
	return base64.URLEncoding.EncodeToString(hash), nil
}

完整代码:

package main

import (
	"crypto/hmac"
	"crypto/sha256"
	"encoding/base64"
	"encoding/json"
	"errors"
	"fmt"
	"log"
	"strings"
	"time"
)

type tokenHeader struct {
	Alg string `json:"alg"`
	Typ string `json:"typ"`
}

type tokenPayLoad struct {
	Sub    string `json:"sub"`
	Exp    int64  `json:"exp"`
	UserId int    `json:"user_id"`
}

func main() {
	hashAlg := "HS256"              //签名时用到的算法
	secretKey := "WuQiong"          //签名是用到的密钥,验证token在传递的过程中是否发生篡改
	tokenValidScope := 12 * 60 * 60 //token的有效时间,以秒为单位,12小时后过期
	userId := 1                     //有效负载中的信息,也可以是其他的,能够标识信息、身份即可

	jwt, _ := CreateJWT(hashAlg, secretKey, int64(tokenValidScope), userId)
	fmt.Println(jwt)

	token := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJBY2Nlc3NUb2siLCJleHAiOjE3Mjg3NDEyNDcsInVzZXJfaWQiOjF9.IU5-zFexc_ktr4cq3ncwPJ-Hm5jvm-9x6ZYlwwKlP4s="
	isValid, err := VerifyToken(token, "WuQiong")
	if err != nil {
		log.Fatal("invalid token  ", err)
	}
	if !isValid {
		fmt.Println("token invalid")
		return
	}
	fmt.Println("token 合法")
}

func CreateJWT(hashAlg string, secret string, expire int64, userId int) (string, error) {
	//1. 生成JWT的第一部分——标头
	header := tokenHeader{Typ: "JWT", Alg: hashAlg}
	headerMar, _ := json.Marshal(header)
	base64UrlHeader := base64.URLEncoding.EncodeToString(headerMar)

	//2. 生成JWT的第二部分——有效载荷
	payload := tokenPayLoad{Sub: "AccessTok", Exp: time.Now().Unix() + expire, UserId: userId}
	payloadMar, _ := json.Marshal(payload)
	base64UrlPayload := base64.URLEncoding.EncodeToString(payloadMar)
	fmt.Println(payload)

	//3. 生成JWT的第三部分——签名
	base64Signature, err := SignHS256(base64UrlHeader+"."+base64UrlPayload, secret)
	if err != nil {
		log.Fatal("signature process happen error:", err)
		return "", err
	}
	// 4. 进行最终token的拼接,并返回结果
	token := base64UrlHeader + "." + base64UrlPayload + "." + base64Signature
	return token, nil
}

func VerifyToken(token string, secret string) (bool, error) {
	// 1. 解析token的各个部分
	firstNodeIndex := strings.Index(token, ".")
	lastNodeIndex := strings.LastIndex(token, ".")
	headerAndPayLoad := token[0:lastNodeIndex]
	base64Signature := token[lastNodeIndex+1:]
	// 2. 进行签名验证,检验token在传递的过程中是否发生了篡改
	ok, err := VerifyHS256(headerAndPayLoad, base64Signature, secret)
	if err != nil {
		return false, err
	}
	if !ok {
		return false, errors.New("token isValid")
	}
	// 3. 检验token是否过期
	payLoad := tokenPayLoad{}
	base64Payload := token[firstNodeIndex+1 : lastNodeIndex]
	decodeString, _ := base64.URLEncoding.DecodeString(base64Payload)
	json.Unmarshal(decodeString, &payLoad)

	isExpire := VerifyExpire(payLoad.Exp)
	if !isExpire {
		return false, errors.New("token is expire")
	}

	return true, nil
}

// VerifyHS256 验证使用 HMAC SHA-256 || 实现:签名比对
func VerifyHS256(data, signature, secret string) (bool, error) {
	expectedSignature, err := SignHS256(data, secret)
	if err != nil {
		fmt.Println("gender signature by head and payload when check sign", err)
		return false, nil
	}

	// 比较签名,注意要处理 Base64 编码的比较问题
	return hmac.Equal([]byte(expectedSignature), []byte(signature)), nil
}

// VerifyExpire 验证token
func VerifyExpire(deadline int64) bool {
	return time.Unix(deadline, 0).After(time.Now())
}

// SignHS256 使用 HMAC SHA-256 算法对给定的数据进行签名,返回编码后的签名
func SignHS256(data, secret string) (string, error) {
	key := []byte(secret)
	h := hmac.New(sha256.New, key)
	_, err := h.Write([]byte(data))
	if err != nil {
		return "", err
	}
	hash := h.Sum(nil)
	return base64.URLEncoding.EncodeToString(hash), nil
}

注意:

以上代码的生成和校验过程是没有毛病的,我们可以将生成后的Token进行修改,就会返回token非法的错误。因为通过将收到的JWT的头部和载荷通过签名算法后得到的结果和接受到JWT的第三部分不匹配,这就说明有人篡改了我们的JWT。并且每个JWT都有一个有效时间,我们也能够对这一个有效时间判断是否过期。

但是由于Go本身的Base64Url编码和JWT官方采用的编码方式不太不一致,比如:JWT官方生成的Token会采用=代替_。所以,本文中生成的JWT如果采用直接在官网解析会出现错误,这主要是由编码方式不同产生的,属于具体的实现方式不同。

参考资料:

JWT官方文档:JSON Web Token 简介 - jwt.io

【Golang】Gin框架中如何使用JWT实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
13、云原生应用安全与监控:MicroProfile JWT和健康监测技术解析
最新发布
a2b3c4d5e的博客
07-09 12
本文深入探讨了云原生应用开发与运维中的安全与监控问题,并重点解析了MicroProfile JWT和MicroProfile Health技术的使用。通过MicroProfile JWT,可以保障应用的安全访问,包括令牌的颁发、签名验证、传输和服务器验证等环节。同时,MicroProfile Health提供了存活、启动和就绪检查,帮助监控应用的健康状态。此外,还介绍了MicroProfile Metrics和MicroProfile OpenTracing技术,用于应用的指标监测和请求追踪,从而提升云原生
JWT实现
Bep_的博客
10-27 1053
JWT jwt组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名(xxx.yyy.zzz)。 Header:头部,通常头部有两部分信息: ​ 声明类型type,这里是JWT(type=jwt) 加密算法,自定义(rs256/base64/hs256) 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息-userid,username(注意,这里因为采用base64加密,可解密,因此不要存放敏感信
JWT
sheqianweilong的博客
05-18 334
1、什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可...
JWT认证实现详解,JWT 的简单实现
2301_80007247的博客
06-15 916
本文档详细介绍了Spring Boot项目中JWT认证的实现方案,包含四部分核心组件:1) JWT配置属性类,用于加载YAML配置;2) JWT常量类,定义令牌声明中的标准字段;3) JWT工具类,提供令牌生成解析功能;4) JWT拦截器,实现请求令牌校验逻辑。该实现采用HS256签名算法,支持自定义过期时间和令牌名称,并通过拦截器统一验证请求头中的JWT有效性,验证失败返回401状态码。
生成JWT
Mordle
05-17 1802
学习来源:b站https://www.bilibili.com/video/BV1rp4y1t7Ks?p=1 1.引入依赖 <!-- 生成方式 --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.19..
JWT的创建
qq_52889028的博客
08-05 946
想了解的JWT所有知识你想要的这都有
JWT生成Token
风雨过后的博客
01-23 6409
什么是JWT       Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
深入解析Spring Cloud Config:多样配置中心的实现与高可用策略
热门推荐
张彦峰的博客
02-14 167万+
这篇文章探讨了配置中心的重要性及其在分布式系统中的应用,特别关注Spring Cloud Config。文章首先介绍了配置中心的由来、功能及选择标准,然后详细阐述了Spring Cloud Config的基本实现方法,包括结合Git、关系型数据库(MySQL)和非关系型数据库(MongoDB)的方案。此外,还讨论了配置中心的高可用性、客户端自动刷新机制及安全认证等扩展功能。最后,文章对比了Spring Cloud Config与Apollo的特性,强调Apollo在企业级应用中的优势。
基于jwt的token验证、原理及流程
2401_85239883的博客
07-23 1979
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
超简单的jwt实现
08-07
超简单的 jwt 实现
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT生成解析token
BlackPudding_的博客
09-06 1849
JWT生成解析token
JWT 生成
梦想导航
09-05 1039
jwt Token生成 JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户 一、快速入门 搭建SpringBoot环境 pom.xml 中添加 java-jwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> &l
Jwt实现
Town
03-04 481
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户...
JWT Token生成解析
qq_34389619的博客
09-29 2093
package com.example.spring.util; import java.security.Key; import java.util.Map; import javax.crypto.spec.SecretKeySpec; import javax.xml.bind.DatatypeConverter; import org.slf4j.Logger; import org...
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3879
一.python 对于 jwt实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
JWT Token生成
weixin_45805672的博客
09-01 5875
Jwt token生成的方式有几种,可根据具体情况决定生成方式,以下为本人使用的一种,仅供参考。 官网地址:https://jwt.io/introduction 1.jwt生成的Token格式 eyJhbGciOiJIUzI1NiJ9.eyJqd3RDbGFpbSI6eyJ1c2VySWQiOiIyIiwiYXBpSWRzIjoiMSwyLDMiLCJuYW1lIjpudWxsfSwiaWF0IjoxNjMwNDg3MjA5LCJleHAiOjE2MzA0OTQ0MDl9.apV5AqF6tgeV
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值