JWT生成Token及解析Token
JWT生成Token详解【第一部分】历史文章:SpringBoot总结(一)——第一个SpringBoot项目SpringBoot总结(二)——Spring Boot的自动配置SpringBoot总结(三)——SpringBoot的配置文件SpringBoot总结(四)——@Value和@ConfigurationProperties的区别SpringBoot总结(五)——@PropertySou
JWT生成Token详解
【第一部分】历史文章:
SpringBoot总结(一)——第一个SpringBoot项目
SpringBoot总结(二)——Spring Boot的自动配置
SpringBoot总结(三)——SpringBoot的配置文件
SpringBoot总结(四)——@Value和@ConfigurationProperties的区别
SpringBoot总结(五)——@PropertySource注解与@ImportResource注解
SpringBoot总结(六)——SpringBoot配置文件占位符
SpringBoot总结(七)——Profile的使用
SpringBoot总结(八)——配置文件的加载位置
SpringBoot总结(九)——@Conditional注解与自动配置报告
SpringBoot总结(十)——SpringBoot+Mybatis实现数据库的CRUD(从创建到实现【超详细附代码】)
SpringBoot总结(十一)——SpringBoot的静态资源映射规则
SpringBoot总结(十二)——登录界面的实现
SpringBoot总结(十三)——修改嵌入式Servlet容器配置
SpringBoot总结(十四)——SpringBoot整合JDBCTemplate及Druid连接池
一、什么是JWT
JWT 即Json Web Token,将用户登录态以及数据用加密的json格式存储在客户端,服务端可以完全依靠这个字符串认定用户身份。简单来说,这是一种用户身份认证的解决方案。
二、JWT的组成
一个JWT实际上就是一个字符串,由三部分组成分别是:
- header(头部)
- payload(载荷)
- signature(签名)
结构如下:header.payload.signature
1.header(头部)
header(头部)的信息指定了其Token类型和所使用的加密算法。
示例:
{
"typ": "JWT",
"alg": "HS256"
}
2.payload(载荷)
payload(载荷)信息存放的是Claims声明信息。载荷其实就是自定义的数据,一般存储用户Id,过期时间等信息。也就是JWT的核心所在,因为这些数据就是使后端知道此token是哪个用户已经登录的凭证。而且这些数据是存在token里面的,由前端携带,所以后端几乎不需要保存任何数据。
3.signature(签名)
signature(签名)需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
示例:
public class JjwtUtil {
/**
* JWT的唯一身份标识
*/
public static final String JWT_ID = UUID.randomUUID().toString();
/**
* 秘钥
*/
public static final String JWT_SECRET = "123456789";
/**
* 过期时间,单位毫秒
*/
public static final int EXPIRE_TIME = 60 * 60 * 1000;
//创建Token
public static String createJwt(String issuer, String audience, String subject){
//添加头部信息
Map<String,Object> header = new HashMap<>();
header.put("typ","JWT");
// header.put("alg", "HS256");
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
//添加载荷信息
Map<String,Object> claims = new HashMap<>();
claims.put("username", "admin");
//生成JWT的时间
long nowTime = System.currentTimeMillis();
Date issuedAt = new Date(nowTime);
JwtBuilder builder = Jwts.builder()
.setHeader(header) // 设置头部信息
.setClaims(claims) // 如果有私有声明,一定要先设置自己创建的这个私有声明,这是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明
.setId(JWT_ID) // jti(JWT ID):jwt的唯一身份标识,根据业务需要,可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击
.setIssuedAt(issuedAt) // iat(issuedAt):jwt的签发时间
.setIssuer(issuer) // iss(issuer):jwt签发者
.setSubject(subject) // sub(subject):jwt所面向的用户,放登录的用户名,一个json格式的字符串,可存放userid,roldid之类,作为用户的唯一标志
.signWith(signatureAlgorithm, JWT_SECRET); // 设置签名,使用的是签名算法和签名使用的秘钥
//设置过期时间
if(EXPIRE_TIME >0){
long exp = nowTime + EXPIRE_TIME;
builder.setExpiration(new Date(exp));
}
return builder.compact();
}
//解析Token
public static Claims parseJwt(String token){
return Jwts.parser().setSigningKey(JWT_SECRET).parseClaimsJws(token).getBody();
}
public static void main(String[] args) {
//生成token
String jwt = JjwtUtil.createJwt("li", "", "{id:1,name:zhangsan}");
System.out.println(jwt);
System.out.println(JWT_ID);
System.out.println("===========================================");
//解析token
Claims claims = JjwtUtil.parseJwt("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ7aWQ6MSxuYW1lOnpoYW5nc2FufSIsImlzcyI6ImxpIiwiZXhwIjoxNjE0MjQ4NDYyLCJpYXQiOjE2MTQyNDQ4NjIsImp0aSI6ImFmZmY5OTI1LTMwNjYtNDE4MC04ODdhLTUxMDkzZDQ4Mjk3ZSIsInVzZXJuYW1lIjoiYWRtaW4ifQ.vYmJh7DWcbcd7KD5dOGeQ8laSgSG1Qn5Lj2RpmfSv-Y");
String id = claims.getId();
String subject = claims.getSubject();
String username = (String) claims.get("username");
String issuer = claims.getIssuer();
Date issuedAt = claims.getIssuedAt();
System.out.println("id :"+id+ " " + "username :" +username + " "+ "subject :" + subject+"issuer :"+issuer + " "+issuedAt);
}
}
为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。
更多推荐
16
1- 0
已为社区贡献5条内容
所有评论(0)