jjwt令牌(Java JSON Web Token)

最新推荐文章于 2025-04-26 12:48:30 发布
最新推荐文章于 2025-04-26 12:48:30 发布
阅读量5.5k 收藏 1
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44773418/article/details/105567181
版权
本文详细介绍了JWT的组成部分,包括头部、载荷和签证,以及如何使用JJWT库在Java中创建、解析、设置过期时间和自定义claims。通过示例代码展示了JWT的签发和验证过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{"typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

(1)标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

(2)公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

定义一个payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

/**
 * Jwt实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
 *  头部(Header)(一般默认,不用写)
 *      {"typ":"JWT","alg":"HS256"}
 *  载荷(playload)
 *      标准中注册的声明(建议但不强制使用)
 *          iss: jwt签发者
 *          sub: jwt所面向的用户
 *          aud: 接收jwt的一方
 *          exp: jwt的过期时间,这个过期时间必须要大于签发时间
 *          nbf: 定义在什么时间之前,该jwt都是不可用的.
 *          iat: jwt的签发时间
 *          jti: jwt的唯一身份标识,主要用来作为一次性token。
 *       可以自定义一些载荷
 *   签证(signature)
 *       jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
 */
  JwtBuilder jwtBuilder = Jwts.builder()
          .setId(UUID.randomUUID().toString())   //设置唯一编号(令牌id)
          .setSubject("登陆")   //设置主题(可以写场景),可以是json数据
          .setIssuedAt(new Date())    //设置签发日期
          .claim("name","自定义")	//自定义一个私有的声明
        //.setClaims(Map<String,Object> map)  //自定义多个,
          .signWith(SignatureAlgorithm.HS256, "test");  //设置签名,使用HS256算法,并设置SecretKey(字符串)
        //构建并返回一个字符串
        String compact = jwtBuilder.compact();

JJWT签发与验证token

JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。

官方文档:

https://github.com/jwtk/jjwt

创建token

(1)新建项目中的pom.xml中添加依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

(2)创建测试类,代码如下

JwtBuilder builder= Jwts.builder()
		.setId("888")   //设置唯一编号
		.setSubject("小白")//设置主题  可以是JSON数据
		.setIssuedAt(new Date())//设置签发日期
		.signWith(SignatureAlgorithm.HS256,"test");//设置签名 使用HS256算法,并设置SecretKey(字符串)
//构建 并返回一个字符串 
System.out.println( builder.compact() );

运行打印结果:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y

再次运行,会发现每次运行的结果是不一样的,因为我们的载荷中包含了时间。

解析token

我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token 应该解析出token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。

    String compactJwt="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y";
    Claims claims = Jwts.parser().setSigningKey("test").parseClaimsJws(compactJwt).getBody();
    System.out.println(claims);

运行打印效果:

{jti=888, sub=小白, iat=1557904181}

试着将token或签名秘钥篡改一下,会发现运行时就会报错,所以解析token也就是验证token.

设置过期时间

有很多时候,我们并不希望签发的token是永久生效的,所以我们可以为token添加一个过期时间。

(1)创建token 并设置过期时间

long now=System.currentTimeMillis();
long exp=now+1000*30;//30秒过期
JwtBuilder jwtBuilder = Jwts.builder().setId( "888" )
		.setSubject( "小白" )
		.setIssuedAt( new Date() )//签发时间
		.setExpiration( new Date( exp ) )//过期时间
		.signWith( SignatureAlgorithm.HS256, "test" );
String token = jwtBuilder.compact();
System.out.println(token);

运行,打印效果如下:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0.4q5AaTyBRf8SB9B3Tl-I53PrILGyicJC3fgR3gWbvUI

(2)解析TOKEN

    String compactJwt="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0.4q5AaTyBRf8SB9B3Tl-I53PrILGyicJC3fgR3gWbvUI";
    Claims claims = Jwts.parser().setSigningKey("test").parseClaimsJws(compactJwt).getBody();
    System.out.println(claims);

打印效果:
在这里插入图片描述

当前时间超过过期时间,则会报错。

自定义claims

我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims。

long now=System.currentTimeMillis();
long exp=now+1000*30;//30秒过期
JwtBuilder jwtBuilder = Jwts.builder().setId( "888" )
		.setSubject( "小白" )
		.setIssuedAt( new Date() )//签发时间
		.setExpiration( new Date( exp ) )//过期时间
		.claim( "roles","admin" )
		.signWith( SignatureAlgorithm.HS256, "test" );
String token = jwtBuilder.compact();
System.out.println(token);

运行打印效果:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDU4MDIsImV4cCI6MTU1NzkwNjgwMiwicm9sZXMiOiJhZG1pbiJ9.AS5Y2fNCwUzQQxXh_QQWMpaB75YqfuK-2P7VZiCXEJI

解析TOKEN:

String token ="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NjIyNTM3NTQsImV4cCI6MTU2MjI1Mzc4Mywicm9sZXMiOiJhZG1pbiJ9.CY6CMembCi3mAkBHS3ivzB5w9uvtZim1HkizRu2gWaI";
Claims claims = Jwts.parser().setSigningKey( "test" ).parseClaimsJws( token ).getBody();
System.out.println(claims);
System.out.println(claims.get( "roles" ));

package com.changgou.common.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JjwtUtils {
    public static void main(String[] args) {
        long now = System.currentTimeMillis();
        long exp = now + 1000 * 30;
        long before = System.currentTimeMillis();
        System.out.println("生成token前的毫秒值:" + before);
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("id")
                .setSubject("主题")
                .setIssuedAt(new Date())
                .setExpiration(new Date(exp))
                .claim("自定义", "哈哈")
                .signWith(SignatureAlgorithm.HS256, "test");
        String token = jwtBuilder.compact();
        System.out.println("生成的token:" + token);
        long after = System.currentTimeMillis();
        System.out.println("生成token后的毫秒值:" + after);
        System.out.println("生成token耗时:" + (after - before));

        Claims claims = Jwts.parser().setSigningKey("test").parseClaimsJws(token).getBody();
        System.out.println("解析结果:" + claims);
        System.out.println("自定义的value:"+claims.get("自定义"));
    }
}

控制台内容:

生成token前的毫秒值:1587044033858
生成的token:eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJpZCIsInN1YiI6IuS4u-mimCIsImlhdCI6MTU4NzA0NDAzNCwiZXhwIjoxNTg3MDQ0MDYzLCLoh6rlrprkuYkiOiLlk4jlk4gifQ.daeA3P1QASsEuRXhh9TtZ_WAveFlgm3FGMJDBBvjWg4
生成token后的毫秒值:1587044035577
生成token耗时:1719
解析结果:{jti=id, sub=主题, iat=1587044034, exp=1587044063, 自定义=哈哈}
自定义的value:哈哈

JWT工具类

生成

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;

public class JwtCreateUtil {

	//设置秘钥明文
    public static final String JWT_KEY = "test";

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder()
                .setId(id)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("admin")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
}
解析
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

/**
 * jwt校验工具类
 */
public class JwtParseUtils {

    //设置秘钥明文
    public static final String JWT_KEY = "test";

    /**
     * 生成加密后的秘钥 secretKey
     *
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtils.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }
}
springboot整合jwt(Json Web Token) 令牌授权 demo代码
闲走天涯的博客
08-12 602
一、pom文件引入jwt依赖 <!--JWT 令牌token --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 二、用户表vo类 /** * 描述: * 用户表vo类 * @aut
JSON Web Token (JWT): 理解与应用
yuanchun的知识整理
08-16 2125
JSON Web Token (JWT)
使用 jjwttoken 认证
liu1shi的博客
03-16 454
  采用 springcloud 微服务。   创建父工程。 // pom.xml 部分代码 <packaging>pom</packaging> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <..
jwt ---- json web token
weixin_44235759的博客
09-09 1650
之后的请求都会携带cooKie和session。cookie 和 session的缺点。编写token工具类。
JWT令牌
最新发布
2301_80272622的博客
04-26 189
1.在pom.xml中引入依赖。
JavaJson web token (JWT)的使用
热门推荐
UserGuan的博客
08-29 2万+
JWT是什么? 使用JWT的好处 使用io.jsonwebtoken包的方式 pom.xml导入的jar包 User实体 JjwtUtil类 TestJjwt测试类 打印的结果 使用com.auth0包的方式 pom.xml文件 User实体使用上面的 JWTInterceptor拦截器 spring-context.xml配置文件 web.xml配置文件 JWTUti......
SpringBoot使用JWT实现Token登录校验
培根芝士的专栏
05-16 1917
JWT全称JSON Web Token,实现过程简单的说就是用户登录成功之后,将用户的信息进行加密,然后生成一个token返回给客户端,与传统的session交互没太大区别。 区别就是token存放了用户的基本信息,更直观一点就是将原本放入redis中的用户数据,放入到token中去了。 1、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt<
jjwtJava JWT:Java和Android的JSON Web令牌
02-03
Java JWT:适用于Java和Android的JSON Web令牌 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是一个纯Java实现,完全基于 , , , 和 RFC规范,并根据的条款开源...
开源Java JSON Web Tokenjjwt-0.9.1发布
Java-JWT是一个流行的Java库,用于创建和验证JSON Web Tokens(JWTs),广泛应用于身份验证和信息交换场景中。该库为Java开发者提供了一套简单易用的工具,帮助他们轻松地在应用中集成JWTs的生成和解析功能。版本...
JWT(Json Web Token)Java实现jar
04-18
JSON Web Token(JWT)是一种广泛使用的轻量级身份验证和授权机制,主要应用于Web应用程序和服务之间的安全通信。JWT通过在客户端和服务器之间传递令牌来携带信息,这些信息经过签名,可以确保数据的完整性和不可...
Java Json Web Token技术依赖的JAR包解析
### Java Web Token 技术概述 在Web开发中,为了确保安全性,开发者需要一种安全地传递信息的方法。Json Web Token(JWT)是一种开放标准(RFC 7519),用于在网络应用环境间传递声明(claims),这些声明被服务器...
connect time out 获取token失败_springboot+jwt实现token登陆权限认证
weixin_39855796的博客
11-20 553
一 前言此篇文章的内容也是学习不久,终于到周末有时间码一篇文章分享知识追寻者的粉丝们,学完本篇文章,读者将对token类的登陆认证流程有个全面的了解,可以动态搭建自己的登陆认证过程;对小项目而已是个轻量级的认证机制,符合开发需求;更多精彩原创内容关注公主号知识追寻者,读者的肯定,就是对作者的创作的最大支持;二 jwt实现登陆认证流程用户使用账号和面发出post请求服务器接受到请求后使用私钥创建一个...
[附源码]计算机毕业设计Python+uniapp健身管理系统及会员微信小程序dc11t(程序+lw+远程部署)
sheji1302的博客
02-23 7480
Python3.7.7+Django+Mysql5.7+pip list+HBuilderX(Vscode也行)+uni+Vue+Pychram社区版。[附源码]计算机毕业设计Python+uniapp健身管理系统及会员微信小程序dc11t(程序+lw+远程部署)2. 前端:uni+css+javascript+jQuery+easyUI+highcharts。Django + uni小程序 +Python+Mysql 等等组成,B/S模式等等。2.IDE环境:Python和Python 社区版都可以。
jwt解密
fighting_xuan的博客
11-02 5846
String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJoYXNfbW9iaWxlIjp0cnVlLCJ2YWxpZF9tb2JpbGUiOmZhbHNlLCJjb2RlIjowLCJjaXR5IjpudWxsLCJyZWFsX25hbWUiOm51bGwsImFjY291bnRfbmFtZSI6IkUwMDAwODgwMjUiLCJuaWNrbmFtZSI6IkUwMDAwODgwMjUiLCJjb21wYW55IjpudWxsLCJvcmdfbmF
基于JWT的用户登录认证的原理与实现
JieZai958921541的博客
11-12 5081
JWT认证原理 JWT简介: JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于JSON对象在各方之间安全的传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT的结构: JWT由三个部分组成,各部分之间用小数点连接。这三部分分别是Header(请求头)、Payload(有效载荷)、Signature(签名),一个典型的JWT看起来是这个样子的:xxx.yyy.zzz 1. header请求头: 由Token的类型和算法名称组成,如下所示
MyBatis中#{}和${}的不同之处是什么呢?
qq_25073223的博客
11-28 891
MyBatis中#{}和${}的区别说明
Json web token (JWT) golang实现
weixin_38805083的博客
04-12 2051
Json web token (JWT) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.UQmqAUhUrpDVV2ST7mZKyLTomVfg7sYkEjmdDI5XF8Q 三部分构成 第一部头部(header),作用: 声明类型 声明加密的算法 通常直接使用 HMAC SHA256 {'typ': 'JWT','alg': 'HS2
使用EggJS开发接口(三)登录验证之egg-jwt 及 crypto加密
ximenxiafeng的专栏
12-24 1万+
egg-jwt是一个生成token的插件 token的规则: 服务器返回的token数据基本结构是Header.Payload.Signature,header、payload、signature三部分以'.'隔开。 例如: 1 2 3 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1c2VyTmFtZSI6ImNlc2hpemhhbmdodTAyIiwiaWF0IjoxNTU1MjEyMzg1LCJle...
2021-11-04 jjwt(获取密钥、加密、解密)
不爱吃奶昔(zsl0)的博客
11-04 1586
jjwt(获取密钥、加密、解密)代码 代码 package com.zsl.util; import io.jsonwebtoken.*; import io.jsonwebtoken.io.Decoders; import io.jsonwebtoken.io.Encoders; import io.jsonwebtoken.security.Keys; import javax.crypto.SecretKey; import java.util.Date; import java.util.Has
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值