深入了解java-jwt生成與校驗

更新時間：2019年06月14日 10:16:18 作者：fleyX

這篇文章主要介紹了深入了解java-jwt生成與校驗，Json web token（JWT）是為了網(wǎng)絡(luò)應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開發(fā)標準（RFC 7519），該token被設(shè)計為緊湊且安全的，特別適用于分布式站點的單點登陸（SSO）場景。,需要的朋友可以參考下

什么是 JWT

這里是jwt 官方地址,想了解更多的可以在這里查看。

jwt 全稱是JSON Web Token,從全稱就可以看出 jwt 多用于認證方面的。這個東西定義了一種簡潔的，自包含的，安全的方法用于通信雙方以 json 對象的形式傳遞信息。其中簡潔，安全，傳遞信息和 web 系統(tǒng)非常契合。

jwt 實際上就是一個字符串，由以下三個部分構(gòu)成(通過.分隔)：

Header 頭部
Payload 負載
Signature 簽名

因此一個 jwt 字符串都是如下的形式：

Header.Payload.Signature

Header

header 大多數(shù)情況下是只包含兩個屬性的 json 字符串,token 的類型(“JWT”)和用到的算法(比如 HS256,RS256,ES256 等)如下：

{
"alg": "HS256",
"typ": "JWT"
}

然后用 Base64 將其編碼就等到了 jwt 的第一部分

Payload
payload 顧名思義用于攜帶數(shù)據(jù)的，這里的數(shù)據(jù)有三種類型：

Registered claims：一組預定義的聲明，寫在 jwt 標準中，所有對其的實現(xiàn)都要準守。但不是強制要求攜帶。有以下幾個字段：iss(簽發(fā)者),iat(創(chuàng)建時間),exp(過期時間),aud(簽發(fā)者),sub(面向的用戶)
public claims：隨意定義，通常存放用戶 id，用戶類別等非銘感信息

這些數(shù)據(jù)也是 json 的形式，用 Base64 編碼后就得到了 JWT 的第二個部分。

Signature

簽名就是通過設(shè)定的秘鑰和簽名算法來對 header 和 payload 進行簽名得到一個簽名字符串，將這三個字符串組合起來就是 JWT 了。

java 中使用

通過java-jwt來實現(xiàn)，首先引入依賴：

<dependency>
<!-- 截止當前最新版本為3.7 -->
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.7.0</version>
</dependency>

簽名

使用 HMC256，代碼入下：

private static final Algorithm ALGORITHM= Algorithm.HMAC256("security");
public static String encode() {
//通過秘鑰生成一個算法
String token = JWT.create()
//設(shè)置簽發(fā)者
.withIssuer("test")
//設(shè)置過期時間為一個小時
.withExpiresAt(new Date(System.currentTimeMillis()+60*60*1000))
//設(shè)置用戶信息
.withClaim("name","小明")
.withClaim("age",20)
.sign(ALGORITHM);
return token;
}

驗證

驗證代碼如下：

//校驗類
private static final JWTVerifier JWT_VERIFIER= JWT.require(ALGORITHM).withIssuer("test").build();
public static void decode(String token) {
DecodedJWT decodedJWT = JWT_VERIFIER.verify(token);
//如果校驗失敗會拋出異常
//payload可從decodeJWT中獲取
}

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: