深入解析JWT的实现与应用

jwt的学习

1. jwt 是什么

什么是JSON Web令牌&＃xff1f;JSON Web Token&＃xff08;JWT&＃xff09;是一种开放标准&＃xff08;RFC7519&＃xff09;&＃xff0c;它定义了一种紧凑且自包含的方式&＃xff0c;用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任&＃xff0c;因为它是经过数字签名的。JWT可以使用秘密&＃xff08;使用HMAC算法&＃xff09;或使用RSA或ECDSA的公钥/私钥对进行签名


2. jwt 能干什么

• 授权&＃xff1a;这是使用JWT最常见的场景。用户登录后&＃xff0c;每个后续请求都将包括JWT&＃xff0c;允许用户访问该令牌允许的路由、服务和资源。单点登录是目前广泛使用JWT的一种功能&＃xff0c;因为它的开销很小&＃xff0c;并且能够轻松地跨不同的域使用。
• 信息交换&＃xff1a;JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以签名&＃xff0c;例如&＃xff0c;使用公钥/私钥对&＃xff0c;您可以确保发送者是他们所说的人。此外&＃xff0c;由于签名是使用报头和有效载荷计算的&＃xff0c;因此您还可以验证内容没有被篡改。

3. jwt的结构

jwt 由三部分组成, 通过 .分隔, 分别由以下三部分组成:

• Header(头部)
• Payload(有效载荷)
• Signature(签名)

所以, 一个jwt结构通常是这样的:

​ xxxxxx.yyyyyy.zzzzz

​ 结构介绍 :

1. Header

标头通常由两部分组成&＃xff1a;令牌的类型&＃xff08;JWT&＃xff09;和正在使用的签名算法&＃xff08;如HMAC SHA256或RSA&＃xff09;。
例如:
{"alg": "HS256", "typ": "JWT"
}
这个JSON是Base64Url编码的&＃xff0c;构成JWT的第一部分。


2. Payload

令牌的第二部分是有效载荷&＃xff0c;其中包含声明。声明是关于实体&＃xff08;通常是用户&＃xff09;和其他数据的声明。索赔有三种类型&＃xff1a;登记索赔、公开索赔和私人索赔。
{"sub": "1234567890","name": "John Doe","admin": true
}
然后对有效负载进行Base64Url编码&＃xff0c;形成JSON Web令牌的第二部分。


3. Signature

要创建签名部分&＃xff0c;您必须获取编码的报头、编码的有效负载、一个秘密、报头中指定的算法&＃xff0c;并对其进行签名。
HMACSHA256(base64UrlEncode(header) &＃43; "." &＃43;base64UrlEncode(payload),secret)


4. jwt的第一个程序

spring boot 中使用jwt

*** 使用步骤:***

1.pom 中加入jwt相关依赖

com.auth0java-jwt3.18.3


2. 生成token令牌

在test中创建一个测试类

&＃64;Test
public void contextLoads() {Map<String, Object> map &＃61; new HashMap<>();Calendar calendar &＃61; Calendar.getInstance();calendar.add(Calendar.MINUTE,10);String token &＃61; JWT.create().withHeader(map) // Header.withClaim("username", "小三") // Payload.withClaim("userId", "4893210") //Payload.withExpiresAt(calendar.getTime())//令牌过期时间.sign(Algorithm.HMAC256("hahaha")); // Signature// "hahaha"为密钥System.out.println(token);}


运行测试&＃xff0c;结果如: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gwhv8rYU-1647054628015)(C:\Users\孙肖飞\AppData\Roaming\Typora\typora-user-images\image-20220312105444212.png)]

3. 验证token令牌

&＃64;Testpublic void test01(){JWTVerifier jwtVerifier &＃61; JWT.require(Algorithm.HMAC256("hahaha")).build();//使用相同的算法和相同的密钥DecodedJWT verify &＃61; jwtVerifier.verify(String token);// token 为上步运行生成的tokenSystem.out.println(verify.getClaim("username"));System.out.println(verify.getClaim("userId"));}


运行测试&＃xff0c;结果&＃xff1a;

5. jwt封装

1. private static final String signal &＃61; "hahaha";//密钥/*** 生成token* &＃64;param map* &＃64;return*/public static String getToken(Map<String, String> map){String token &＃61; null;JWTCreator.Builder builder &＃61; JWT.create();//PayloadSet<String> stringSet &＃61; map.keySet();for(String s : stringSet){builder.withClaim(s,map.get(s));}Calendar calendar &＃61; Calendar.getInstance();calendar.add(Calendar.SECOND, 10);builder.withExpiresAt(calendar.getTime());//设置过期时间token &＃61; builder.sign(Algorithm.HMAC256(signal));return token;}


2. /*** 验证token*/public static void verifyToken(String token){JWTVerifier require &＃61; JWT.require(Algorithm.HMAC256(signal)).build();require.verify(token);}