一文掌握J(rèn)ava中的JWT

更新時(shí)間：2022年06月06日 14:39:45 作者：baobao555#

這篇文章主要介紹了Java中的JWT,JWT的本質(zhì)就是一個(gè)字符串，它是將用戶信息保存到一個(gè)Json字符串中，然后進(jìn)行編碼后得到一個(gè)JWT?token，對(duì)JWT相關(guān)知識(shí)感興趣的朋友一起看看吧

JWT簡(jiǎn)介

1.什么是JWT

在介紹JWT之前，我們先來(lái)回顧一下利用token進(jìn)行用戶身份驗(yàn)證的流程：

客戶端使用用戶名和密碼請(qǐng)求登錄
服務(wù)端收到請(qǐng)求，驗(yàn)證用戶名和密碼
驗(yàn)證成功后，服務(wù)端會(huì)簽發(fā)一個(gè)token，再把這個(gè)token返回給客戶端
客戶端收到token后可以把它存儲(chǔ)起來(lái)，比如放到cookie中
客戶端每次向服務(wù)端請(qǐng)求資源時(shí)需要攜帶服務(wù)端簽發(fā)的token，可以在cookie或者h(yuǎn)eader中攜帶
服務(wù)端收到請(qǐng)求，然后去驗(yàn)證客戶端請(qǐng)求里面帶著的token，如果驗(yàn)證成功，就向客戶端返回請(qǐng)求數(shù)據(jù)

這種基于token的認(rèn)證方式相比傳統(tǒng)的session認(rèn)證方式更節(jié)約服務(wù)器資源，并且對(duì)移動(dòng)端和分布式更加友好。其優(yōu)點(diǎn)如下：

支持跨域訪問(wèn)：cookie是無(wú)法跨域的，而token由于沒(méi)有用到cookie(前提是將token放到請(qǐng)求頭中)，所以跨域后不會(huì)存在信息丟失問(wèn)題
無(wú)狀態(tài)：token機(jī)制在服務(wù)端不需要存儲(chǔ)session信息，因?yàn)閠oken自身包含了所有登錄用戶的信息，所以可以減輕服務(wù)端壓力
更適用CDN：可以通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求服務(wù)端的所有資料更
適用于移動(dòng)端：當(dāng)客戶端是非瀏覽器平臺(tái)時(shí)，cookie是不被支持的，此時(shí)采用token認(rèn)證方式會(huì)簡(jiǎn)單很多
無(wú)需考慮CSRF：由于不再依賴cookie，所以采用token認(rèn)證方式不會(huì)發(fā)生CSRF，所以也就無(wú)需考慮CSRF的防御

而JWT就是上述流程當(dāng)中token的一種具體實(shí)現(xiàn)方式，其全稱是JSON Web Token，官網(wǎng)地址：https://jwt.io/

通俗地說(shuō)，JWT的本質(zhì)就是一個(gè)字符串，它是將用戶信息保存到一個(gè)Json字符串中，然后進(jìn)行編碼后得到一個(gè)JWT token，并且這個(gè)JWT token帶有簽名信息，接收后可以校驗(yàn)是否被篡改，所以可以用于在各方之間安全地將信息作為Json對(duì)象傳輸。JWT的認(rèn)證流程如下：

首先，前端通過(guò)Web表單將自己的用戶名和密碼發(fā)送到后端的接口，這個(gè)過(guò)程一般是一個(gè)POST請(qǐng)求。建議的方式是通過(guò)SSL加密的傳輸(HTTPS)，從而避免敏感信息被嗅探
后端核對(duì)用戶名和密碼成功后，將包含用戶信息的數(shù)據(jù)作為JWT的Payload，將其與JWT Header分別進(jìn)行Base64編碼拼接后簽名，形成一個(gè)JWT Token，形成的JWT Token就是一個(gè)如同lll.zzz.xxx的字符串
后端將JWT Token字符串作為登錄成功的結(jié)果返回給前端。前端可以將返回的結(jié)果保存在瀏覽器中，退出登錄時(shí)刪除保存的JWT Token即可
前端在每次請(qǐng)求時(shí)將JWT Token放入HTTP請(qǐng)求頭中的Authorization屬性中(解決XSS和XSRF問(wèn)題)
后端檢查前端傳過(guò)來(lái)的JWT Token，驗(yàn)證其有效性，比如檢查簽名是否正確、是否過(guò)期、token的接收方是否是自己等等
驗(yàn)證通過(guò)后，后端解析出JWT Token中包含的用戶信息，進(jìn)行其他邏輯操作(一般是根據(jù)用戶信息得到權(quán)限等)，返回結(jié)果

2.為什么要用JWT

2.1 傳統(tǒng)Session認(rèn)證的弊端

我們知道HTTP本身是一種無(wú)狀態(tài)的協(xié)議，這就意味著如果用戶向我們的應(yīng)用提供了用戶名和密碼來(lái)進(jìn)行用戶認(rèn)證，認(rèn)證通過(guò)后HTTP協(xié)議不會(huì)記錄下認(rèn)證后的狀態(tài)，那么下一次請(qǐng)求時(shí)，用戶還要再一次進(jìn)行認(rèn)證，因?yàn)楦鶕?jù)HTTP協(xié)議，我們并不知道是哪個(gè)用戶發(fā)出的請(qǐng)求，所以為了讓我們的應(yīng)用能識(shí)別是哪個(gè)用戶發(fā)出的請(qǐng)求，我們只能在用戶首次登錄成功后，在服務(wù)器存儲(chǔ)一份用戶登錄的信息，這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器，告訴其保存為cookie，以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用，這樣我們的應(yīng)用就能識(shí)別請(qǐng)求來(lái)自哪個(gè)用戶了，這是傳統(tǒng)的基于session認(rèn)證的過(guò)程

然而，傳統(tǒng)的session認(rèn)證有如下的問(wèn)題：

每個(gè)用戶的登錄信息都會(huì)保存到服務(wù)器的session中，隨著用戶的增多，服務(wù)器開(kāi)銷會(huì)明顯增大
由于session是存在與服務(wù)器的物理內(nèi)存中，所以在分布式系統(tǒng)中，這種方式將會(huì)失效。雖然可以將session統(tǒng)一保存到Redis中，但是這樣做無(wú)疑增加了系統(tǒng)的復(fù)雜性，對(duì)于不需要redis的應(yīng)用也會(huì)白白多引入一個(gè)緩存中間件
對(duì)于非瀏覽器的客戶端、手機(jī)移動(dòng)端等不適用，因?yàn)閟ession依賴于cookie，而移動(dòng)端經(jīng)常沒(méi)有cookie
因?yàn)閟ession認(rèn)證本質(zhì)基于cookie，所以如果cookie被截獲，用戶很容易收到跨站請(qǐng)求偽造攻擊。并且如果瀏覽器禁用了cookie，這種方式也會(huì)失效
前后端分離系統(tǒng)中更加不適用，后端部署復(fù)雜，前端發(fā)送的請(qǐng)求往往經(jīng)過(guò)多個(gè)中間件到達(dá)后端，cookie中關(guān)于session的信息會(huì)轉(zhuǎn)發(fā)多次
由于基于Cookie，而cookie無(wú)法跨域，所以session的認(rèn)證也無(wú)法跨域，對(duì)單點(diǎn)登錄不適用

2.2 JWT認(rèn)證的優(yōu)勢(shì)

對(duì)比傳統(tǒng)的session認(rèn)證方式，JWT的優(yōu)勢(shì)是：

簡(jiǎn)潔：JWT Token數(shù)據(jù)量小，傳輸速度也很快
因?yàn)镴WT Token是以JSON加密形式保存在客戶端的，所以JWT是跨語(yǔ)言的，原則上任何web形式都支持
不需要在服務(wù)端保存會(huì)話信息，也就是說(shuō)不依賴于cookie和session，所以沒(méi)有了傳統(tǒng)session認(rèn)證的弊端，特別適用于分布式微服務(wù)
單點(diǎn)登錄友好：使用Session進(jìn)行身份認(rèn)證的話，由于cookie無(wú)法跨域，難以實(shí)現(xiàn)單點(diǎn)登錄。但是，使用token進(jìn)行認(rèn)證的話， token可以被保存在客戶端的任意位置的內(nèi)存中，不一定是cookie，所以不依賴cookie，不會(huì)存在這些問(wèn)題
適合移動(dòng)端應(yīng)用：使用Session進(jìn)行身份認(rèn)證的話，需要保存一份信息在服務(wù)器端，而且這種方式會(huì)依賴到Cookie（需要 Cookie 保存 SessionId），所以不適合移動(dòng)端

因?yàn)檫@些優(yōu)勢(shì)，目前無(wú)論單體應(yīng)用還是分布式應(yīng)用，都更加推薦用JWT token的方式進(jìn)行用戶認(rèn)證

JWT結(jié)構(gòu)

JWT由3部分組成：標(biāo)頭(Header)、有效載荷(Payload)和簽名(Signature)。在傳輸?shù)臅r(shí)候，會(huì)將JWT的3部分分別進(jìn)行Base64編碼后用.進(jìn)行連接形成最終傳輸?shù)淖址?/p>

JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

1.Header

JWT頭是一個(gè)描述JWT元數(shù)據(jù)的JSON對(duì)象，alg屬性表示簽名使用的算法，默認(rèn)為HMAC SHA256（寫為HS256）；typ屬性表示令牌的類型，JWT令牌統(tǒng)一寫為JWT。最后，使用Base64 URL算法將上述JSON對(duì)象轉(zhuǎn)換為字符串保存

{
  "alg": "HS256",
  "typ": "JWT"
}

2.Payload

有效載荷部分，是JWT的主體內(nèi)容部分，也是一個(gè)JSON對(duì)象，包含需要傳遞的數(shù)據(jù)。 JWT指定七個(gè)默認(rèn)字段供選擇

iss：發(fā)行人
exp：到期時(shí)間
sub：主題
aud：用戶
nbf：在此之前不可用
iat：發(fā)布時(shí)間
jti：JWT ID用于標(biāo)識(shí)該JWT

這些預(yù)定義的字段并不要求強(qiáng)制使用。除以上默認(rèn)字段外，我們還可以自定義私有字段，一般會(huì)把包含用戶信息的數(shù)據(jù)放到payload中，如下例：

{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

請(qǐng)注意，默認(rèn)情況下JWT是未加密的，因?yàn)橹皇遣捎胋ase64算法，拿到JWT字符串后可以轉(zhuǎn)換回原本的JSON數(shù)據(jù)，任何人都可以解讀其內(nèi)容，因此不要構(gòu)建隱私信息字段，比如用戶的密碼一定不能保存到JWT中，以防止信息泄露。JWT只是適合在網(wǎng)絡(luò)中傳輸一些非敏感的信息

3.Signature

簽名哈希部分是對(duì)上面兩部分?jǐn)?shù)據(jù)簽名，需要使用base64編碼后的header和payload數(shù)據(jù)，通過(guò)指定的算法生成哈希，以確保數(shù)據(jù)不會(huì)被篡改。首先，需要指定一個(gè)密鑰（secret）。該密碼僅僅為保存在服務(wù)器中，并且不能向用戶公開(kāi)。然后，使用header中指定的簽名算法（默認(rèn)情況下為HMAC SHA256）根據(jù)以下公式生成簽名

HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

在計(jì)算出簽名哈希后，JWT頭，有效載荷和簽名哈希的三個(gè)部分組合成一個(gè)字符串，每個(gè)部分用.分隔，就構(gòu)成整個(gè)JWT對(duì)象

注意JWT每部分的作用，在服務(wù)端接收到客戶端發(fā)送過(guò)來(lái)的JWT token之后：
header和payload可以直接利用base64解碼出原文，從header中獲取哈希簽名的算法，從payload中獲取有效數(shù)據(jù)

signature由于使用了不可逆的加密算法，無(wú)法解碼出原文，它的作用是校驗(yàn)token有沒(méi)有被篡改。服務(wù)端獲取header中的加密算法之后，利用該算法加上secretKey對(duì)header、payload進(jìn)行加密，比對(duì)加密后的數(shù)據(jù)和客戶端發(fā)送過(guò)來(lái)的是否一致。注意secretKey只能保存在服務(wù)端，而且對(duì)于不同的加密算法其含義有所不同，一般對(duì)于MD5類型的摘要加密算法，secretKey實(shí)際上代表的是鹽值

JWT的種類

其實(shí)JWT(JSON Web Token)指的是一種規(guī)范，這種規(guī)范允許我們使用JWT在兩個(gè)組織之間傳遞安全可靠的信息，JWT的具體實(shí)現(xiàn)可以分為以下幾種：

nonsecure JWT：未經(jīng)過(guò)簽名，不安全的JWT
JWS：經(jīng)過(guò)簽名的JWT
JWE：payload部分經(jīng)過(guò)加密的JWT

1.nonsecure JWT

未經(jīng)過(guò)簽名，不安全的JWT。其header部分沒(méi)有指定簽名算法

{
  "alg": "none",
  "typ": "JWT"
}

并且也沒(méi)有Signature部分

2.JWS

JWS ，也就是JWT Signature，其結(jié)構(gòu)就是在之前nonsecure JWT的基礎(chǔ)上，在頭部聲明簽名算法，并在最后添加上簽名。創(chuàng)建簽名，是保證jwt不能被他人隨意篡改。我們通常使用的JWT一般都是JWS

為了完成簽名，除了用到header信息和payload信息外，還需要算法的密鑰，也就是secretKey。加密的算法一般有2類：

對(duì)稱加密：secretKey指加密密鑰，可以生成簽名與驗(yàn)簽
非對(duì)稱加密：secretKey指私鑰，只用來(lái)生成簽名，不能用來(lái)驗(yàn)簽(驗(yàn)簽用的是公鑰)

JWT的密鑰或者密鑰對(duì)，一般統(tǒng)一稱為JSON Web Key，也就是JWK

到目前為止，jwt的簽名算法有三種：

HMAC【哈希消息驗(yàn)證碼(對(duì)稱)】：HS256/HS384/HS512
RSASSA【RSA簽名算法(非對(duì)稱)】（RS256/RS384/RS512）
ECDSA【橢圓曲線數(shù)據(jù)簽名算法(非對(duì)稱)】（ES256/ES384/ES512）

Java中使用JWT

官網(wǎng)推薦了6個(gè)Java使用JWT的開(kāi)源庫(kù)，其中比較推薦使用的是java-jwt和jjwt-root

1.java-jwt

1.1 對(duì)稱簽名

首先引入依賴

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

生成JWT的token

public class JWTTest {
    @Test
    public void testGenerateToken(){
        // 指定token過(guò)期時(shí)間為10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 10);

        String token = JWT.create()
                .withHeader(new HashMap<>())  // Header
                .withClaim("userId", 21)  // Payload
                .withClaim("userName", "baobao")
                .withExpiresAt(calendar.getTime())  // 過(guò)期時(shí)間
                .sign(Algorithm.HMAC256("!34ADAS"));  // 簽名用的secret

        System.out.println(token);
    }
}

注意多次運(yùn)行方法生成的token字符串內(nèi)容是不一樣的，盡管我們的payload信息沒(méi)有變動(dòng)。因?yàn)?strong>JWT中攜帶了超時(shí)時(shí)間，所以每次生成的token會(huì)不一樣，我們利用base64解密工具可以發(fā)現(xiàn)payload確實(shí)攜帶了超時(shí)時(shí)間

解析JWT字符串

@Test
public void testResolveToken(){
    // 創(chuàng)建解析對(duì)象，使用的算法和secret要與創(chuàng)建token時(shí)保持一致
    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!34ADAS")).build();
    // 解析指定的token
    DecodedJWT decodedJWT = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6ImJhb2JhbyIsImV4cCI6MTU5OTkyMjUyOCwidXNlcklkIjoyMX0.YhA3kh9KZOAb7om1C7o3vBhYp0f61mhQWWOoCrrhqvo");
    // 獲取解析后的token中的payload信息
    Claim userId = decodedJWT.getClaim("userId");
    Claim userName = decodedJWT.getClaim("userName");
    System.out.println(userId.asInt());
    System.out.println(userName.asString());
    // 輸出超時(shí)時(shí)間
    System.out.println(decodedJWT.getExpiresAt());
}

運(yùn)行后發(fā)現(xiàn)報(bào)異常，原因是之前生成的token已經(jīng)過(guò)期

再運(yùn)行一次生成token的方法，然后在過(guò)期時(shí)間10秒之內(nèi)將生成的字符串拷貝到解析方法中，運(yùn)行解析方法即可成功

我們可以將上述方法封裝成工具類

public class JWTUtils {
    // 簽名密鑰
    private static final String SECRET = "!DAR$";

    /**
     * 生成token
     * @param payload token攜帶的信息
     * @return token字符串
     */
    public static String getToken(Map<String,String> payload){
        // 指定token過(guò)期時(shí)間為7天
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE, 7);

        JWTCreator.Builder builder = JWT.create();
        // 構(gòu)建payload
        payload.forEach((k,v) -> builder.withClaim(k,v));
        // 指定過(guò)期時(shí)間和簽名算法
        String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SECRET));
        return token;
    }
    /**
     * 解析token
     * @param token token字符串
     * @return 解析后的token
     */
    public static DecodedJWT decode(String token){
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(token);
        return decodedJWT;
    }
}

1.2 非對(duì)稱簽名

生成jwt串的時(shí)候需要指定私鑰，解析jwt串的時(shí)候需要指定公鑰

private static final String RSA_PRIVATE_KEY = "...";
private static final String RSA_PUBLIC_KEY = "...";

/**
     * 生成token
     * @param payload token攜帶的信息
     * @return token字符串
     */
public static String getTokenRsa(Map<String,String> payload){
    // 指定token過(guò)期時(shí)間為7天
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.DATE, 7);

    JWTCreator.Builder builder = JWT.create();
    // 構(gòu)建payload
    payload.forEach((k,v) -> builder.withClaim(k,v));

    // 利用hutool創(chuàng)建RSA
    RSA rsa = new RSA(RSA_PRIVATE_KEY, null);
    // 獲取私鑰
    RSAPrivateKey privateKey = (RSAPrivateKey) rsa.getPrivateKey();
    // 簽名時(shí)傳入私鑰
    String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.RSA256(null, privateKey));
    return token;
}

/**
     * 解析token
     * @param token token字符串
     * @return 解析后的token
     */
public static DecodedJWT decodeRsa(String token){
    // 利用hutool創(chuàng)建RSA
    RSA rsa = new RSA(null, RSA_PUBLIC_KEY);
    // 獲取RSA公鑰
    RSAPublicKey publicKey = (RSAPublicKey) rsa.getPublicKey();
    // 驗(yàn)簽時(shí)傳入公鑰
    JWTVerifier jwtVerifier = JWT.require(Algorithm.RSA256(publicKey, null)).build();
    DecodedJWT decodedJWT = jwtVerifier.verify(token);
    return decodedJWT;
}

2.jjwt-root

2.1 對(duì)稱簽名

引入依賴

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

使用方法類似，可參考下列代碼

public class JwtUtils {
    // token時(shí)效：24小時(shí)
    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    // 簽名哈希的密鑰，對(duì)于不同的加密算法來(lái)說(shuō)含義不同
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";

    /**
     * 根據(jù)用戶id和昵稱生成token
     * @param id  用戶id
     * @param nickname 用戶昵稱
     * @return JWT規(guī)則生成的token
     */
    public static String getJwtToken(String id, String nickname){
        String JwtToken = Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                .setSubject("baobao-user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
            	// HS256算法實(shí)際上就是MD5加鹽值，此時(shí)APP_SECRET就代表鹽值
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();

        return JwtToken;
    }

    /**
     * 判斷token是否存在與有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true，否則返回false
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) return false;
        try {
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 判斷token是否存在與有效
     * @param request Http請(qǐng)求對(duì)象
     * @return 如果token有效返回true，否則返回false
     */
    public static boolean checkToken(HttpServletRequest request) {
        try {
            // 從http請(qǐng)求頭中獲取token字符串
            String jwtToken = request.getHeader("token");
            if(StringUtils.isEmpty(jwtToken)) return false;
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 根據(jù)token獲取會(huì)員id
     * @param request Http請(qǐng)求對(duì)象
     * @return 解析token后獲得的用戶id
     */
    public static String getMemberIdByJwtToken(HttpServletRequest request) {
        String jwtToken = request.getHeader("token");
        if(StringUtils.isEmpty(jwtToken)) return "";
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        Claims claims = claimsJws.getBody();
        return (String)claims.get("id");
    }
}

注意：

jjwt在0.10版本以后發(fā)生了較大變化，pom依賴要引入多個(gè)

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

標(biāo)準(zhǔn)規(guī)范中對(duì)各種加密算法的secretKey的長(zhǎng)度有如下要求：

HS256：要求至少 256 bits (32 bytes)
HS384：要求至少384 bits (48 bytes)
HS512：要求至少512 bits (64 bytes)
RS256 and PS256：至少2048 bits
RS384 and PS384：至少3072 bits
RS512 and PS512：至少4096 bits
ES256：至少256 bits (32 bytes)
ES384：至少384 bits (48 bytes)
ES512：至少512 bits (64 bytes)

在jjwt0.10版本之前，沒(méi)有強(qiáng)制要求，secretKey長(zhǎng)度不滿足要求時(shí)也可以簽名成功。但是0.10版本后強(qiáng)制要求secretKey滿足規(guī)范中的長(zhǎng)度要求，否則生成jws時(shí)會(huì)拋出異常

新版本的jjwt中，之前的簽名和驗(yàn)簽方法都是傳入密鑰的字符串，已經(jīng)過(guò)時(shí)。最新的方法需要傳入Key對(duì)象

public class JwtUtils {
    // token時(shí)效：24小時(shí)
    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    // 簽名哈希的密鑰，對(duì)于不同的加密算法來(lái)說(shuō)含義不同
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHOsdadasdasfdssfeweee";

    /**
     * 根據(jù)用戶id和昵稱生成token
     * @param id  用戶id
     * @param nickname 用戶昵稱
     * @return JWT規(guī)則生成的token
     */
    public static String getJwtToken(String id, String nickname){
        String JwtToken = Jwts.builder()
                .setSubject("baobao-user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
                // 傳入Key對(duì)象
                .signWith(Keys.hmacShaKeyFor(APP_SECRET.getBytes(StandardCharsets.UTF_8)), SignatureAlgorithm.HS256)
                .compact();
        return JwtToken;
    }

    /**
     * 判斷token是否存在與有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true，否則返回false
     */
    public static Jws<Claims> decode(String jwtToken) {
        // 傳入Key對(duì)象
        Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(Keys.hmacShaKeyFor(APP_SECRET.getBytes(StandardCharsets.UTF_8))).build().parseClaimsJws(jwtToken);
        return claimsJws;
    }
}

2.2 非對(duì)稱簽名

生成jwt串的時(shí)候需要指定私鑰，解析jwt串的時(shí)候需要指定公鑰

private static final String RSA_PRIVATE_KEY = "...";
private static final String RSA_PUBLIC_KEY = "...";

/**
     * 根據(jù)用戶id和昵稱生成token
     * @param id  用戶id
     * @param nickname 用戶昵稱
     * @return JWT規(guī)則生成的token
     */
public static String getJwtTokenRsa(String id, String nickname){
    // 利用hutool創(chuàng)建RSA
    RSA rsa = new RSA(RSA_PRIVATE_KEY, null);
    RSAPrivateKey privateKey = (RSAPrivateKey) rsa.getPrivateKey();
    String JwtToken = Jwts.builder()
        .setSubject("baobao-user")
        .setIssuedAt(new Date())
        .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
        .claim("id", id)
        .claim("nickname", nickname)
        // 簽名指定私鑰
        .signWith(privateKey, SignatureAlgorithm.RS256)
        .compact();
    return JwtToken;
}

/**
     * 判斷token是否存在與有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true，否則返回false
     */
public static Jws<Claims> decodeRsa(String jwtToken) {
    RSA rsa = new RSA(null, RSA_PUBLIC_KEY);
    RSAPublicKey publicKey = (RSAPublicKey) rsa.getPublicKey();
    // 驗(yàn)簽指定公鑰
    Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(publicKey).build().parseClaimsJws(jwtToken);
    return claimsJws;
}

實(shí)際開(kāi)發(fā)中的應(yīng)用

在實(shí)際的SpringBoot項(xiàng)目中，一般我們可以用如下流程做登錄：

在登錄驗(yàn)證通過(guò)后，給用戶生成一個(gè)對(duì)應(yīng)的隨機(jī)token(注意這個(gè)token不是指jwt，可以用uuid等算法生成)，然后將這個(gè)token作為key的一部分，用戶信息作為value存入Redis，并設(shè)置過(guò)期時(shí)間，這個(gè)過(guò)期時(shí)間就是登錄失效的時(shí)間
將第1步中生成的隨機(jī)token作為JWT的payload生成JWT字符串返回給前端
前端之后每次請(qǐng)求都在請(qǐng)求頭中的Authorization字段中攜帶JWT字符串
后端定義一個(gè)攔截器，每次收到前端請(qǐng)求時(shí)，都先從請(qǐng)求頭中的Authorization字段中取出JWT字符串并進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后解析出payload中的隨機(jī)token，然后再用這個(gè)隨機(jī)token得到key，從Redis中獲取用戶信息，如果能獲取到就說(shuō)明用戶已經(jīng)登錄

public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String JWT = request.getHeader("Authorization");
        try {
            // 1.校驗(yàn)JWT字符串
            DecodedJWT decodedJWT = JWTUtils.decode(JWT);
            // 2.取出JWT字符串載荷中的隨機(jī)token，從Redis中獲取用戶信息
            ...
            return true;
        }catch (SignatureVerificationException e){
            System.out.println("無(wú)效簽名");
            e.printStackTrace();
        }catch (TokenExpiredException e){
            System.out.println("token已經(jīng)過(guò)期");
            e.printStackTrace();
        }catch (AlgorithmMismatchException e){
            System.out.println("算法不一致");
            e.printStackTrace();
        }catch (Exception e){
            System.out.println("token無(wú)效");
            e.printStackTrace();
        }
        return false;
    }
}