Java如何简单快速入门JWT(token生成与验证)

 更新时间:2023年12月23日 10:06:51   作者:new个字符串  
这篇文章主要给大家介绍了关于Java如何简单快速入门JWT(token生成与验证)的相关资料,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任,需要的朋友可以参考下

一、Token简单介绍

简单来说,token就是一个将信息加密之后的密文,而jwt也是token的实现方式之一,用于服务器端进行身份验证和授权访问控制。由于是快速入门,这里简单介绍一下jwt的生成原理

 jwt由三部分组成。分别是

 1.Header(标头),一般用于指明token的类型和加密算法

2.PayLoad(载荷),存储token有效时间及各种自定义信息,如用户名,id、发行者等

3.Signature(签名),是用标头提到的算法对前两部分进行加密,在签名认证时,防止止信息被修改

而Header和PayLoad最初都是json格式的键值对,格式如下

Header:

{
  "alg": "HS256",  #签名加密所用的算法
  "typ": "JWT"     #表名token的格式
}

PayLoad:此段json中保存了用户的部分信息

{
  "sub": "1234567890",  #主题
  "name": "John Doe",  #用户名
  "isVIP": true,     #是否为vip用户
  "exp": 1677740800   #过期时间
}

Signature:签名,首先将Header和PayLoad的json字符串进行Base64Url加密后,得到两个加密后的字符串,然后把这两个字符串由‘.’拼接起来,然后再将拼接好的字符串再用之前 Header中提到的算法与一个密钥(一般为一个字符串)进行加密后得到一个新的字符串,最后把这个新字符串和之前使用Base64Url加密后的两段字符串进行连接,最终得到token字符串,然后就可以把它发送给客户端进行存储了。

一般jwt格式token格式如下

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiam9rZXIiLCJleHAiOjE2OTQxODE2NDUsInB3ZCI6IjEyMyJ9.vDrOQp-FkmRCQBzfaZsxzkef-iNjkAuAaqvT7Ns5Ab0
#(Header).(PayLoad).(Signature)

当然,作为快速上手jwt的文章,这里就不对jwt及token进行更加深入的讲解了,以上内容只需要做简单了解有个映像即可,总而言之:

token就是一个在服务器端生成,包含了部分用户信息,最后发送给客户端进行保管的加密字符串,当客户端向服务器再次发起请求时,请求需携带token,服务器端对token进行验证,以确定用户是否有权访问。(以此来实现,登录验证,权限校验,记住密码等功能)

接下来做一个简单的代码实现

二、代码实现

  • 导入相关依赖jar包(此jwt框架功能比较齐全且简单,适合初学者) 
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.2.1</version>
</dependency>
  • jwt生成 

首先需要一个字符串密钥进行加密,这个字符串可自定义,然后提前规划好你项目的jwt想要储存哪些自定义信息,例如用户名,密码,id,等等(这里为了方便演示,这里就把用户名以及密钥字符串设为常量了)

package com.example.jwtdemo.Controller;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@RestController
@Controller("/")
public class TestController {
    //用户的用户名
    private static final String USERNAME = "admin"; 

    //用于签名加密的密钥,为一个字符串(需严格保密)
    private static final String KEY = "the_key";


    @GetMapping("/jwt")
    public String setToken() {
        
        //获取jwt生成器
        JWTCreator.Builder jwtBuilder = JWT.create();

        //由于该生成器设置Header的参数为一个<String, Object>的Map,
        //所以我们提前准备好
        Map<String, Object> headers = new HashMap<>();

        headers.put("typ", "jwt");   //设置token的type为jwt
        headers.put("alg", "hs256");  //表明加密的算法为HS256

        //开始生成token
        //我们将之前准备好的header设置进去
        String token = jwtBuilder.withHeader(headers)

                //接下来为设置PayLoad,Claim中的键值对可自定义
                //设置用户名
                .withClaim("username", USERNAME) 
                   
                //是否为VIP用户
                .withClaim("isVIP", true)
                
                //设置用户id
                .withClaim("userId", 123)

                //token失效时间,这里为一天后失效
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24))
                //设置该jwt的发行时间,一般为当前系统时间
                .withIssuedAt(new Date(System.currentTimeMillis()))

                //token的发行者(可自定义)
                .withIssuer("issuer")

                //进行签名,选择加密算法,以一个字符串密钥为参数
                .sign(Algorithm.HMAC256(KEY));

        //token生成完毕,可以发送给客户端了,前端可以使用
        //localStorage.setItem("your_token", token)进行存储,在
        //下次请求时携带发送给服务器端进行验证
        System.out.println(token);
        return token;
    }
}

最终生成的jwt

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJpc3N1ZXIiLCJleHAiOjE2OTQyNzA0OTMsImlhdCI6MTY5NDE4NDA5MywiaXNWSVAiOnRydWUsInVzZXJuYW1lIjoiYWRtaW4ifQ.JiTMn2jDaUTolPXB0TCBBOwSHG1l75W2oy2isdWhQIU

PS:以上代码中向jwt中注册的键值对不是都为必须的,需按照自己的情况进行设置

  • jwt验证 

        我们从客户端的请求中获取其携带的token进行验证,已确定其是否有权访问或进行其他的业务逻辑操作 

    @GetMapping("/verify")
    public boolean verify(HttpServletRequest request) {

        /*从请求头中获取token(具体要看你的token放在了请求的哪里,
           这里以放在请求头举例)
        */
        String token = request.getHeader("token");

        /*判断token是否存在,若不存在,验证失败,
            并进行验证失败的逻辑操作(例如跳转到登录界面,
            或拒绝访问等等)*/
        if (token == null) return false;
        
        /*获取jwt的验证器对象,传入的算法参数以及密钥字符串(KEY)必须
        和加密时的相同*/
        var require = JWT.require(Algorithm.HMAC256(KEY)).build();

        DecodedJWT decode;
        try {
            
            /*开始进行验证,该函数会验证此token是否遭到修改,
                以及是否过期,验证成功会生成一个解码对象
                ,如果token遭到修改或已过期就会
                抛出异常,我们用try-catch抓一下*/
            decode = require.verify(token);

        } catch (Exception e) {

            //抛出异常,验证失败
            return false;
        }

        //若验证成功,就可获取其携带的信息进行其他操作
        
        //可以一次性获取所有的自定义参数,返回Map集合
        Map<String, Claim> claims = decode.getClaims();
        if (claims == null) return false;
        claims.forEach((k, v) -> System.out.println(k + " " + v.asString()));

        //也可以根据自定义参数的键值来获取
        if (!decode.getClaim("isVIP").asBoolean()) return false;
        System.out.println(decode.getClaim("username").asString());
        
        //获取发送者,没有设置则为空
        System.out.println(decode.getIssuer());

        //获取过期时间
        System.out.println(decode.getExpiresAt());

        //获取主题,没有设置则为空
        System.out.println(decode.getSubject());
        return true;
    }

总结 

到此这篇关于Java如何简单快速入门JWT(token生成与验证)的文章就介绍到这了,更多相关JWT token生成与验证 内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • 详解Kotlin中如何实现类似Java或C#中的静态方法

    详解Kotlin中如何实现类似Java或C#中的静态方法

    Kotlin中如何实现类似Java或C#中的静态方法,本文总结了几种方法,分别是:包级函数、伴生对象、扩展函数和对象声明。这需要大家根据不同的情况进行选择。
    2017-05-05
  • 如何解决通过spring-boot-maven-plugin package失败问题

    如何解决通过spring-boot-maven-plugin package失败问题

    这篇文章主要介绍了如何解决通过spring-boot-maven-plugin package失败问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-04-04
  • Java创建内部类对象实例详解

    Java创建内部类对象实例详解

    这篇文章主要介绍了Java创建内部类对象实例详解的相关资料,需要的朋友可以参考下
    2017-05-05
  • Java多线程回调方法实例解析

    Java多线程回调方法实例解析

    这篇文章主要介绍了Java多线程回调方法实例解析,具有一定参考价值,需要的朋友可以了解下。
    2017-11-11
  • Java Spring之@Async原理案例详解

    Java Spring之@Async原理案例详解

    这篇文章主要介绍了Java Spring之@Async原理案例详解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
    2021-09-09
  • 常用的Spring Boot调用外部接口方式实现数据交互

    常用的Spring Boot调用外部接口方式实现数据交互

    Spring Boot提供了多种调用外部接口的方式,可以方便地实现与其他系统的数据交互,提高系统的可扩展性和数据共享能力,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习吧
    2023-04-04
  • SpringBoot web静态资源映射实现步骤详解

    SpringBoot web静态资源映射实现步骤详解

    在springBoot中的静态资源的映射是通过SpringMVC中的resourceHttpRequestHandler来进行实现的。在该请求映射器中默认规定了,SpringBoot会将classPath或者ServletContext下的/static (/public、/resources 或 /META-INF/resources)目录中,存放静态资源
    2022-09-09
  • springcloud gateway如何实现路由和负载均衡

    springcloud gateway如何实现路由和负载均衡

    这篇文章主要介绍了springcloud gateway如何实现路由和负载均衡的操作,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-07-07
  • JAVA设计模式---单例模式你知道吗

    JAVA设计模式---单例模式你知道吗

    这篇文章主要给大家介绍了关于Java单例模式,文中通过示例代码介绍的非常详细,对大家学习或者使用Java具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2021-09-09
  • SpringBoot分页的实现与long型id精度丢失问题的解决方案介绍

    SpringBoot分页的实现与long型id精度丢失问题的解决方案介绍

    在以后的开发中,当全局唯一id的生成策略生成很长的Long型数值id之后会超过JS对Long型数据处理的能力范围,可能发生精度丢失而造成后端方法失效,我们要学会解决。分页功能虽然简单但是非常重要,对于刚接触项目的人一定要重点注意
    2022-10-10

最新评论