JWT(JSON WEB TOKEN)详解
文章目录
- JWT(JSON WEB TOKEN)详解
- 一、定义
- 二、TOKNE的理解
- 三、JWT的结构
- 头部信息
- 载荷
- 签名
- 四、JWT的使用
- 1. 添加依赖
- 2. 生成JWT
- 3. 解析JWT
一、定义
在Java中,JWT(JSON Web Token)是一种用于安全地在客户端和服务器之间传输信息的紧凑、独立的令牌。JWT通常用于认证和授权场景,特别是在无状态的Web应用程序中。
理解:JWT实际上就是令牌的一种生成策略
二、TOKNE的理解
我们做前后分离的项目的时候 一般情况下 我们的前端登陆之后 后台会给前端返回一个令牌。
这个令牌就叫token。
当登陆之后 要访问其他资源的时候 我们每一次都会携带这个token去进行身份认证 如果是认证成功 那么就允许访问资源 如果认证不成功 那么就不允许访问资源。
简单的说就是令牌的一种生成策略
token不要以为他有多高深 实际上这个token就是一个字符串
只不过 这个字符串 拥有一定的生成格式(结构)
三、JWT的结构
- Header(头部):通常包含令牌类型和签名算法的声明。
- Payload(载荷):包含声明(claims),即实际传输的信息。常见的声明包括用户ID、角色、权限等。
- Signature(签名):用于验证消息在传输过程中没有被篡改。签名是通过对头部和负载部分进行编码并使用特定的算法(如HMAC SHA256)进行加密生成的。
最终的JWT的样式:
头信息.载荷.签名
样式示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
头部信息
{
"alg": "HS256",
"typ": "JWT"
}
第一部分是如何生成的呢?
上述的JSON格式字符 进行base64编码形成第一部分
载荷
{
"sub": "1234567890",// 注册声明
"name": "John Doe",// 公共声明
"admin": true // 私有声明
}
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
第二部分是用来存放 业务数据的(用户名 用户id) 就存储到第二部分
第二部分的JSON格式进行Base64编码 形成第二部分
签名
第一部分+“.”+“第二部分”+密钥 进行HS256的算法 生成第三部分
四、JWT的使用
在Java中,常见的库如 jjwt(Java JWT)可以用于生成和解析JWT。
1. 添加依赖
如果使用Maven,可以在pom.xml
中添加如下依赖:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
2. 生成JWT
使用jjwt库生成JWT的示例代码如下:
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtExample {
private static final String SECRET_KEY = "mySecretKey";
public static void main(String[] args) {
String jwt = Jwts.builder()
.setSubject("1234567890")
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + 86400000)) // 1 day expiration
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
System.out.println("Generated JWT: " + jwt);
}
}
3. 解析JWT
解析JWT并提取其中的信息:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
public class JwtExample {
private static final String SECRET_KEY = "mySecretKey";
public static void main(String[] args) {
String jwt = "your.jwt.token.here";
Claims claims = Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(jwt)
.getBody();
System.out.println("Subject: " + claims.getSubject());
System.out.println("Issued at: " + claims.getIssuedAt());
System.out.println("Expiration: " + claims.getExpiration());
}
}
总结: 使用JWT在Java中进行认证和授权的好处在于它的无状态性和可扩展性。通过jjwt等库,开发者可以方便地生成和解析JWT,从而实现安全的用户身份验证和授权功能。