快捷導(dǎo)航

深入了解java-jwt生成與校驗(yàn)

更新時(shí)間：2019年06月14日 10:16:18 作者：fleyX

這篇文章主要介紹了深入了解java-jwt生成與校驗(yàn)，Json web token（JWT）是為了網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開發(fā)標(biāo)準(zhǔn)（RFC 7519），該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登陸（SSO）場(chǎng)景。,需要的朋友可以參考下

什么是 JWT

這里是jwt 官方地址,想了解更多的可以在這里查看。

jwt 全稱是JSON Web Token,從全稱就可以看出 jwt 多用于認(rèn)證方面的。這個(gè)東西定義了一種簡(jiǎn)潔的，自包含的，安全的方法用于通信雙方以 json 對(duì)象的形式傳遞信息。其中簡(jiǎn)潔，安全，傳遞信息和 web 系統(tǒng)非常契合。

jwt 實(shí)際上就是一個(gè)字符串，由以下三個(gè)部分構(gòu)成(通過.分隔)：

Header 頭部
Payload 負(fù)載
Signature 簽名

因此一個(gè) jwt 字符串都是如下的形式：

Header.Payload.Signature

Header

header 大多數(shù)情況下是只包含兩個(gè)屬性的 json 字符串,token 的類型(“JWT”)和用到的算法(比如 HS256,RS256,ES256 等)如下：

{
"alg": "HS256",
"typ": "JWT"
}

然后用 Base64 將其編碼就等到了 jwt 的第一部分

Payload
payload 顧名思義用于攜帶數(shù)據(jù)的，這里的數(shù)據(jù)有三種類型：

Registered claims：一組預(yù)定義的聲明，寫在 jwt 標(biāo)準(zhǔn)中，所有對(duì)其的實(shí)現(xiàn)都要準(zhǔn)守。但不是強(qiáng)制要求攜帶。有以下幾個(gè)字段：iss(簽發(fā)者),iat(創(chuàng)建時(shí)間),exp(過期時(shí)間),aud(簽發(fā)者),sub(面向的用戶)
public claims：隨意定義，通常存放用戶 id，用戶類別等非銘感信息

這些數(shù)據(jù)也是 json 的形式，用 Base64 編碼后就得到了 JWT 的第二個(gè)部分。

Signature

簽名就是通過設(shè)定的秘鑰和簽名算法來對(duì) header 和 payload 進(jìn)行簽名得到一個(gè)簽名字符串，將這三個(gè)字符串組合起來就是 JWT 了。

java 中使用

通過java-jwt來實(shí)現(xiàn)，首先引入依賴：

<dependency>
<!-- 截止當(dāng)前最新版本為3.7 -->
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.7.0</version>
</dependency>

簽名

使用 HMC256，代碼入下：

private static final Algorithm ALGORITHM= Algorithm.HMAC256("security");
public static String encode() {
//通過秘鑰生成一個(gè)算法
String token = JWT.create()
//設(shè)置簽發(fā)者
.withIssuer("test")
//設(shè)置過期時(shí)間為一個(gè)小時(shí)
.withExpiresAt(new Date(System.currentTimeMillis()+60*60*1000))
//設(shè)置用戶信息
.withClaim("name","小明")
.withClaim("age",20)
.sign(ALGORITHM);
return token;
}

驗(yàn)證

驗(yàn)證代碼如下：

//校驗(yàn)類
private static final JWTVerifier JWT_VERIFIER= JWT.require(ALGORITHM).withIssuer("test").build();
public static void decode(String token) {
DecodedJWT decodedJWT = JWT_VERIFIER.verify(token);
//如果校驗(yàn)失敗會(huì)拋出異常
//payload可從decodeJWT中獲取
}

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: