发布时间:2023-05-13 文章分类:WEB开发, 电脑百科 投稿人:王小丽 字号: 默认 | | 超大 打印

文章目录

  • 一、token是什么?
  • 二、jwt
    • 2.1 Header 标头
    • 2.2 Payload 负载
    • 2.3 Signature 签名
  • 三、Java中使用jwt
    • 3.1 使用步骤
      • 3.1.1 生成jwt
      • 3.1.2 验证jwt

一、token是什么?

Token是用户进行一些权限操作时的许可凭证。token本质是字符串,里面包含了用户信息,过期时间,加密方式等。token是在前端进行登录之后,由服务器分发给前端,然后前端进行权限操作时,再将token发送给服务器,由服务器来验证。token是有过期时间的,一但token过期,用户就要重新登陆让服务器生成新的token。

token的验证流程如下

二、jwt

JWT全名json web token, JWT就是上述流程当中token的一种具体实现方式,它由三个部分组成,并每个部分由.来连接。

因此jwt会是这个样子xxxxx.yyyyy.zzzzz

2.1 Header 标头

标头通常由两部分组成:令牌的类型,即JWT,以及正在使用的签名算法,如HMAC SHA256或RSA。如下所示

{
  "alg": "HS256",
  "typ": "JWT"
}

之后这段代表会用base64url进行编码来形成jwt的第一部分。

2.2 Payload 负载

jwt的第二部分是负载,负载里面包含了许多声明(例如用户信息)。一共有三种类型的声明(registered,public,private)

之后负载会用Base64rul进行编码作为jwt的第二部分。

2.3 Signature 签名

签名是拿到被base64编码的标头和负载后,用标头里的加密算法对拿到的标头和负载进行加密,然后作为jwt的第三部分。签名是用来验证标头和负载中的信息有没有被篡改。如果标头和负载的信息被篡改,则这个jwt是失效的。反之验证通过。
流程如下。

首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
HMACSA256( base64UrlEncode(header) + " . " +base64UrlEncode(payload) , secret )
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.分隔,就构成整个JWT对象。

三、Java中使用jwt

java中最常用的库是java-jwt。pom坐标如下。

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.0.0</version>
</dependency>

3.1 使用步骤

3.1.1 生成jwt

  1. 指定算法。
//HMAC
Algorithm algorithmHS = Algorithm.HMAC256("secret"); //use more secure key
//RSA
RSAPublicKey publicKey = //Get the key instance
RSAPrivateKey privateKey = //Get the key instance
Algorithm algorithmRS = Algorithm.RSA256(publicKey, privateKey);
//Rsa是一种非对称算法 验证时候需要公钥和私钥,私钥一般是存放在服务器里。
  1. 创建 jwt 并添加指定 payload
Map <String, Object> map =  Map<String,String> map = new HashMap<>(); //自定义payload
map.put("age",11);
JWT.create().withPayload(map).withKeyId(String.valueOf(123)).withIssuer("Tom").withExpiresAt(calendar.getTime()).sign(algorithmRS);

最后一定要调用sign传入第一步的算法对象,签署电子签名。

上述代码生成的jwt转成json后如下。

head
{
  "kid": "123",
  "typ": "JWT",
  "alg": "RS256"
}
payload
{
  "iss": "Tom",
  "exp": 1663816787
  "age":11
}

3.1.2 验证jwt

 try {
 	    //要验证的jwt
 		String token = "eyJraWQiOiI4IiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiLnrb7lj5HogIUiLCJleHAiOjE2NjM4MTY3ODd9.U3PyZobW2KwZ4a_kQ3soZzEQtAj0sh8vKDR5ZC916BE-tRUM8RaoeWfw6Y40REjbUCGIp6fqRPsxUf7LDGmo1okfkfzkXBnfKTF93UNiqmFLfNWp5tXwCeUmoN0a3S_9Fu6v8nOp8M38eTIoz2Z719LGU92Fbht-PtHpqB_WZ1Q""
 		//指定解析的算法
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey()); 
        //生成解析器
        JWTVerifier verifier = JWT.require(algorithm).build();
        //如果验证失败会抛出异常
        DecodedJWT jwt = verifier.verify(token);  
        //获取jwt的keyid
        String userID = jwt.getKeyId();  
      }
    catch (TokenExpiredException e ){
           ...
      }