什么是JWT？JWT在Java語言中的使用詳解

云紋夢紛蝶 2021-08-12 17:50:23 瀏覽數(shù) (5202)

反饋

什么是JWT？JWT，全稱Json Web Token，是一種基于json的開發(fā)標(biāo)準(zhǔn)。下面的文章，將為大家詳細(xì)地介紹一下JWT的特點(diǎn)、原理和數(shù)據(jù)結(jié)構(gòu)以及在Java中是怎么去使用的。

JWT 特點(diǎn)

JWT 默認(rèn)是不加密，但也是可以加密的。生成原始 Token 以后，可以用密鑰再加密一次。

JWT 不加密的情況下，不能將秘密數(shù)據(jù)寫入 JWT。

JWT 不僅可以用于認(rèn)證，也可以用于交換信息。有效使用 JWT，可以降低服務(wù)器查詢數(shù)據(jù)庫的次數(shù)。

JWT 的最大缺點(diǎn)是，由于服務(wù)器不保存 session 狀態(tài)，因此無法在使用過程中廢止某個 token，或者更改 token 的權(quán)限。也就是說，一旦 JWT 簽發(fā)了，在到期之前就會始終有效，除非服務(wù)器部署額外的邏輯。

JWT 本身包含了認(rèn)證信息，一旦泄露，任何人都可以獲得該令牌的所有權(quán)限。為了減少盜用，JWT 的有效期應(yīng)該設(shè)置得比較短。對于一些比較重要的權(quán)限，使用時應(yīng)該再次對用戶進(jìn)行認(rèn)證。

1. JWT 的原理

Jwt官網(wǎng)：https://jwt.io/

JWT 的原理是，服務(wù)器認(rèn)證以后，生成一個 JSON 對象，發(fā)回給用戶，就像下面這樣。

{
  "name": "John Doe",
  "角色": "管理員",
  "到期時間": "2018年7月1日0點(diǎn)0分"
}

以后，用戶與服務(wù)端通信的時候，都要發(fā)回這個 JSON 對象。服務(wù)器完全只靠這個對象認(rèn)定用戶身份。為了防止用戶篡改數(shù)據(jù)，服務(wù)器在生成這個對象的時候，會加上簽名（詳見后文）。

服務(wù)器就不保存任何 session 數(shù)據(jù)了，也就是說，服務(wù)器變成無狀態(tài)了，從而比較容易實(shí)現(xiàn)擴(kuò)展。

2. JWT 的數(shù)據(jù)結(jié)構(gòu)

JWT 大概就像下面這樣。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4
gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它是一個很長的字符串，中間用點(diǎn)（.）分隔成三個部分。注意，JWT 內(nèi)部是沒有換行的，這里只是為了便于展示，將它寫成了幾行。

JWT 的三個組成部分依次如下。

· Header（頭部）
· Payload（負(fù)載）
· Signature（簽名）

# 寫成一行，就是下面的樣子
Header.Payload.Signature

2.1 Header

Header 部分是一個 JSON 對象，描述 JWT 的元數(shù)據(jù)，通常是下面的樣子。

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代碼中，alg屬性表示簽名的算法（algorithm），默認(rèn)是 HMAC SHA256（寫成 HS256）；typ屬性表示這個令牌（token）的類型（type），JWT 令牌統(tǒng)一寫為JWT。

最后，將上面的 JSON 對象使用 Base64URL 算法轉(zhuǎn)成字符串。

2.2 Payload

Payload 部分也是一個 JSON 對象，用來存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 規(guī)定了7個官方字段，供選用。

iss (issuer)：簽發(fā)人
exp (expiration time)：過期時間
sub (subject)：主題
aud (audience)：受眾
nbf (Not Before)：生效時間
iat (Issued At)：簽發(fā)時間
jti (JWT ID)：編號

除了官方字段，你還可以在這個部分定義私有字段，下面就是一個例子

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

JWT 默認(rèn)是不加密的，任何人都可以讀到，所以不要把秘密信息放在這個部分。

這個 JSON 對象也要使用 Base64URL 算法轉(zhuǎn)成字符串。

2.3 Signature

Signature 部分是對前兩部分的簽名，防止數(shù)據(jù)篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認(rèn)是 HMAC SHA256），按照下面的公式產(chǎn)生簽名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出簽名以后，把 Header、Payload、Signature 三個部分拼成一個字符串，每個部分之間用"點(diǎn)"（.）分隔，就可以返回給用戶。

3. 在 Java 中使用

依賴，這里使用的是 jjwt

<!-- Jwt https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt</artifactId>
 <version>0.9.1</version>
</dependency>

使用

class DemoApplicationTests {
 // 加鹽秘鑰
 private String secret = "jwtSecretValue";

 public static void main(String[] args) {
  // 創(chuàng)建token
  String token = this.createToken(20);
//  String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.L1cCfQpCSzPOrxbHVqiMaT8ndRlZd2PuHzYE2TIqUA0";
  System.out.println("token --> " + token);

  // 解析token
  this.parseToken(token);
 }

 // 創(chuàng)建token
 public String createToken(Integer time) {
  // 過期時間, 默認(rèn)10秒過期
  time = time == null ? 10 : time;
  long l = new Date().getTime() + time * 1000;
  Date expire = new Date(l);

  // 自定義信息
  Map<String, Object> map = new HashMap<>();
  map.put("name", "admin");

  JwtBuilder claim = Jwts.builder()
    // 設(shè)置簽名算法和加鹽秘鑰
    .signWith(SignatureAlgorithm.HS256, secret)
    // 設(shè)置過期時間
    .setExpiration(expire)
    // 自定義內(nèi)容接受一個map
    .setClaims(map)
    // 唯一id {"id": "9527"}
    .setId("9527")
    // JWT的主體 {"sub": "jwtSubject"}
    .setSubject("jwtSubject")
    // jwt的簽發(fā)時間 {"iat": "1618383146"}
    .setIssuedAt(new Date());
    // 自定義內(nèi)容{"name": "admin"}
//    .claim("name", "admin");

  String token = claim.compact();

  // 解析token, jwt是經(jīng)過Base64編碼的
//  String[] ts = token.split("\.");
//  for (String s : ts) {
//   System.out.print(s + " --> ");
//   System.out.println(Base64Codec.BASE64.decodeToString(s));
//  }
//  System.out.println("===============================");

  return token;
 }

 // 解析token
 public void parseToken(String token) {
  System.out.println("====================開始解析JWT====================");

  System.out.println("token --> " + token);
  try {
   Claims body = Jwts.parser()
     // 簽名秘鑰
     .setSigningKey(secret)
     // 要解析的jwt
     .parseClaimsJws(token)
     .getBody();

   System.out.println("id --> " + body.getId());
   System.out.println("sub --> " + body.getSubject());
   System.out.println("自定義內(nèi)容 name --> " + body.get("name"));
   System.out.println("iat 創(chuàng)建時間 --> " + body.getIssuedAt());
   Date expiration = body.getExpiration();
   System.out.print("過期時間 --> ");
   System.out.println(expiration == null ? expiration : expiration.toLocaleString());
  } catch (Exception e) {
   e.printStackTrace();
   System.out.println("無效Token");
  }
  System.out.println("====================JWT解析結(jié)束====================");
 }
}

以上就是關(guān)于JWT的基本內(nèi)容介紹和JWT在Java中的具體使用的文章，想要了解更多Java JWT的其他內(nèi)容，請多多關(guān)注W3Cschool相關(guān)內(nèi)容的文章。如果覺得本篇文章還不錯，還希望大家能夠多多支持！

Java

0 人點(diǎn)贊

什么是JWT？JWT在Java語言中的使用詳解