JSON Web Token(JWT)原理和用法介绍中,我们了解了JSON Web Token的原理和用法的基本介绍。本文我们着重讲一下其使用的步骤:

一、JWT基本使用

Gradle下依赖 :

compile 'com.auth0:java-jwt:3.4.0'

示例介绍:

import java.util.Calendar;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import com.alibaba.druid.util.StringUtils;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

public class Test {

    /**

     * APP登录Token的生成和解析

     */

    /** token秘钥,请勿泄露,请勿随便修改 backups:JKKLJOoasdlfj */

    public static final String SECRET = "JKKLJOoasdlfj";

    /** token 过期时间: 10天 */

    public static final int calendarField = Calendar.DATE;

    public static final int calendarInterval = 10;

    /**

     * JWT生成Token.<br/>

     *

     * JWT构成: header, payload, signature

     *

     * @param user_id 登录成功后用户user_id, 参数user_id不可传空

     */

    public static String createToken(Long user_id) throws Exception {

        Date iatDate = new Date();

        // expire time

        Calendar nowTime = Calendar.getInstance();

        nowTime.add(calendarField, calendarInterval);

        Date expiresDate = nowTime.getTime();

        // header Map

        Map<String, Object> map = new HashMap<>();

        map.put("alg", "HS256");

        map.put("typ", "JWT");

        // build token

        // param backups {iss:Service, aud:APP}

        String token = JWT.create().withHeader(map) // header

                .withClaim("iss", "Service") // payload

                .withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())

                .withIssuedAt(iatDate) // sign time

                .withExpiresAt(expiresDate) // expire time

                .sign(Algorithm.HMAC256(SECRET)); // signature

        return token;

    }

    /**

     * 解密Token

     *

     * @param token

     * @return

     * @throws Exception

     */

    public static Map<String, Claim> verifyToken(String token) {

        DecodedJWT jwt = null;

        try {

            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();

            jwt = verifier.verify(token);

        } catch (Exception e) {

            // e.printStackTrace();

            // token 校验失败, 抛出Token验证非法异常

        }

        return jwt.getClaims();

    }

    /**

     * 根据Token获取user_id

     *

     * @param token

     * @return user_id

     */

    public static Long getAppUID(String token) {

        Map<String, Claim> claims = verifyToken(token);

        Claim user_id_claim = claims.get("user_id");

        if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {

            // token 校验失败, 抛出Token验证非法异常

        }

        return Long.valueOf(user_id_claim.asString());

    }

}

最终存放的数据在JWT内部的实体claims里。它是存放数据的地方。

二、概念介绍

1. JWT消息构成

一个token分3部分,按顺序为

头部(header)
其为载荷(payload)
签证(signature)
由三部分生成token
3部分之间用“.”号做分隔。例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

2. 头部

Jwt的头部承载两部分信息:

  • 声明类型,这里是 jwt。
  • 声明加密的算法,通常直接使用 HMAC SHA256。

(注:算法可以有多种选择,这里不再赘述)

使用代码如下

// header Map

Map<String, Object> map = new HashMap<>();

map.put("alg", "HS256");

map.put("typ", "JWT");

3. playload

载荷就是存放有效信息的地方,基本上填2种类型数据:

- 标准中注册的声明的数据 
- 自定义数据 
由这2部分内部做base64加密。最张数据进入JWT的chaims里存放。

4. 标准中注册的声明 (建议但不强制使用)

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

使用方法:

JWT.create().withHeader(map) // header

.withClaim("iss", "Service") // payload

.withClaim("aud", "APP")

.withIssuedAt(iatDate) // sign time

.withExpiresAt(expiresDate) // expire time

5. 自定义数据

这个就比较简单,存放我们想放在token中存放的key-value值 
使用方法:

JWT.create().withHeader(map) // header

.withClaim("name", "cy") // payload

.withClaim("user_id", "11222");

6. 签名signature

jwt的第三部分是一个签证信息,这个签证信息算法如下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

基本上至此,JWT的API相关知识已经学完了,但是API不够有好,不停的用withClaim放数据。不够友好。下面推荐一款框架,相当于对JWT的实现框架

三、JJWT

它是为了更友好在JVM上使用JWT,是基本于JWT, JWS, JWE, JWK框架的Java实现。

Gradle:

dependencies {

  compile 'io.jsonwebtoken:jjwt:0.9.0'

}

1. 使用方法

生成token:getJwtToken 是生成 jjwt 里的 token 方法。

import com.sun.javafx.scene.traversal.Algorithm;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.DefaultJwsHeader;

import java.util.Calendar;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

private String SECRET = "DyoonSecret_0581";

private void getJwtToken(){

   Date iatDate = new Date();

   // expire time

   Calendar nowTime = Calendar.getInstance();

   //有10天有效期

   nowTime.add(Calendar.DATE, 10);

   Date expiresDate = nowTime.getTime();

   Claims claims = Jwts.claims();

   claims.put("name","cy");

   claims.put("userId", "222");

   claims.setAudience("cy");

   claims.setIssuer("cy");

   String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();

}

上面将token中的载荷放在chaims中,其实chaims是JWT内部维持的一个存放有效信息的地方,不论使用任何API,最终都使用chaims保存信息。
setClaims有2个重载:

JwtBuilder setClaims(Claims claims);

JwtBuilder setClaims(Map<String, Object> claims);

不能就是说,我们也可以直接传入map值对象。

2. 解析token

parseJwtToken方法是解析token。

public void parseJwtToken(String token) {

    try{

    }catch (Exception e){

    }

    Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);

    String signature = jws.getSignature();

    Map<String, String> header = jws.getHeader();

    Claims Claims = jws.getBody();

}

JSON Web Token(JWT)使用步骤说明的更多相关文章

  1. JSON WEB Token(JWT)

    最近面试被问及单点登陆怎么解决?自己的项目前后端分离,自己实现token认证,token有失效时间,token中包含用户基本的信息.且一个当用户重新登陆后,原来的token就会失效,这么安全的一个to ...

  2. JSON Web Token (JWT) 简介

    JSON Web Token (JWT) 是一种基于 token 的认证方案. JSON Web Token 的结构 一个 JWT token 看起来是这样的: eyJhbGciOiJIUzI1NiI ...

  3. JSON Web Token (JWT) 实现与使用方法

    1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的.自包含的方式,用于作为JSON对象在各方之间安全地传输信息.该 ...

  4. Json Web Token(JWT)详解

    什么是Json Web Token Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的 ...

  5. JSON Web Token (JWT),服务端信息传输安全解决方案。

    JWT介绍 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑独立的基于JSON对象在各方之间安全地传输信息的方式.这些信息可以被验证和信任,因为它是数字签名的 ...

  6. 漫谈JSON Web Token(JWT)

    一.背景 传统的单体应用基于cookie-session的身份验证流程一般是这样的: 用户向服务器发送账户和密码. 服务器验证账号密码成功后,相关数据(用户角色.登录时间等)都保存到当前会话中. 服务 ...

  7. 基于 Token 的身份验证:JSON Web Token(JWT)

    1.传统身份验证和JWT的身份验证 传统身份验证:       HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用.这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过 ...

  8. JSON Web Token (JWT) - Introduction

    To validate the challenge, connect as admin.------------以admin登陆 https://jwt.io/introduction/        ...

  9. json web token JWT实现TP5创建和验证

    根据博客进行jwt初始化配置 https://blog.csdn.net/weixin_43389208/article/details/117442266?spm=1001.2014.3001.55 ...

  10. JSON Web Token (JWT) - Weak secret

    This API with its /hello endpoint (accessible with GET) seems rather welcoming at first glance but i ...

随机推荐

  1. VS2015一新建项目就出现未将对象引用设置到对象的实例怎么办?[z]

    https://blog.csdn.net/tiandyoin/article/details/79722800 在控制面板-卸载或修复程序太麻烦,而且不一定保证解决,可以这样------打开--C: ...

  2. 创建服务的注册与发现 Eureka (四)

    一.eureka注册中心 1.创建一个工程 工程名:microservicecloud-eureka-7001 2.向pom文件中增加如下: <dependencies> <!--e ...

  3. 通过C#发送自定义的html格式邮件

    要发送HTML格式邮件,需要设置MailMessage对象的IsBodyHtml属性,设置为true. 类MailMessage在命名空间System.Net.Mail下.using System.N ...

  4. 内核中hash表(以net_device为例)

    下边函数实现将新的 net_device 设备插入到内核链表中 /* * Device list insertion */ static void list_netdevice(struct net_ ...

  5. Django form验证

    # 模版 class LoginForm(forms.Form): # 模版中的元素 user = forms.CharField(min_length=6,error_messages={" ...

  6. nginx集成环境下载

    https://visual-nmp.en.softonic.com/download

  7. 将IP转换为16进制,用于IPv4-IPv6

    # --*-- coding: utf-8 --*--# create by xiaocaiji while 1: str_ip = input("input a IP:") li ...

  8. 虚拟DOM

    传统的 DOM 操作是直接在 DOM 上操作,当需要修改一系列元素中的值时,就会直接对 DOM 进行操作.如果需要操作的DOM元素过多,则成本太高,而采用 Virtual DOM 则会对需要修改的 D ...

  9. Atcoder Beginner Contest 070 D - Transit Tree Path

    题意:n个点,n-1条边,组成一个无向的联通图,然后给出q和k,q次询问,每次给出两个点,问这两个点之间的最短距离但必须经过k点. 思路:我当时是用优化的Dijkstra写的(当天刚学的),求出k点到 ...

  10. mysql-5.7.17-winx64 的安装配置

    在Mysql中下载 解压后,没有安装,需要设置环境变量,设置my.ini配置 设置环境变量 操作如下: 1)右键单击我的电脑->属性->高级系统设置(高级)->环境变量      点 ...