快捷導(dǎo)航

Java如何簡單快速入門JWT(token生成與驗(yàn)證)

更新時(shí)間：2023年12月23日 10:06:51 作者：new個字符串

這篇文章主要給大家介紹了關(guān)于Java如何簡單快速入門JWT(token生成與驗(yàn)證)的相關(guān)資料,JWT是一個加密的字符串,JWT傳輸?shù)男畔⒔?jīng)過了數(shù)字簽名,因此傳輸?shù)男畔⒖梢员或?yàn)證和信任,需要的朋友可以參考下

一、Token簡單介紹

簡單來說，token就是一個將信息加密之后的密文，而jwt也是token的實(shí)現(xiàn)方式之一，用于服務(wù)器端進(jìn)行身份驗(yàn)證和授權(quán)訪問控制。由于是快速入門，這里簡單介紹一下jwt的生成原理

jwt由三部分組成。分別是

1.Header（標(biāo)頭），一般用于指明token的類型和加密算法

2.PayLoad（載荷），存儲token有效時(shí)間及各種自定義信息，如用戶名，id、發(fā)行者等

3.Signature（簽名），是用標(biāo)頭提到的算法對前兩部分進(jìn)行加密，在簽名認(rèn)證時(shí)，防止止信息被修改

而Header和PayLoad最初都是json格式的鍵值對，格式如下

Header：

{
  "alg": "HS256",  #簽名加密所用的算法
  "typ": "JWT"     #表名token的格式
}

PayLoad：此段json中保存了用戶的部分信息

{
  "sub": "1234567890",  #主題
  "name": "John Doe",  #用戶名
  "isVIP": true,     #是否為vip用戶
  "exp": 1677740800   #過期時(shí)間
}

Signature：簽名，首先將Header和PayLoad的json字符串進(jìn)行Base64Url加密后，得到兩個加密后的字符串，然后把這兩個字符串由‘.’拼接起來，然后再將拼接好的字符串再用之前 Header中提到的算法與一個密鑰（一般為一個字符串）進(jìn)行加密后得到一個新的字符串，最后把這個新字符串和之前使用Base64Url加密后的兩段字符串進(jìn)行連接，最終得到token字符串，然后就可以把它發(fā)送給客戶端進(jìn)行存儲了。

一般jwt格式token格式如下

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiam9rZXIiLCJleHAiOjE2OTQxODE2NDUsInB3ZCI6IjEyMyJ9.vDrOQp-FkmRCQBzfaZsxzkef-iNjkAuAaqvT7Ns5Ab0
#(Header).(PayLoad).(Signature)

當(dāng)然，作為快速上手jwt的文章，這里就不對jwt及token進(jìn)行更加深入的講解了，以上內(nèi)容只需要做簡單了解有個映像即可，總而言之：

token就是一個在服務(wù)器端生成，包含了部分用戶信息，最后發(fā)送給客戶端進(jìn)行保管的加密字符串，當(dāng)客戶端向服務(wù)器再次發(fā)起請求時(shí)，請求需攜帶token，服務(wù)器端對token進(jìn)行驗(yàn)證，以確定用戶是否有權(quán)訪問。（以此來實(shí)現(xiàn)，登錄驗(yàn)證，權(quán)限校驗(yàn)，記住密碼等功能）

接下來做一個簡單的代碼實(shí)現(xiàn)

二、代碼實(shí)現(xiàn)

導(dǎo)入相關(guān)依賴jar包（此jwt框架功能比較齊全且簡單，適合初學(xué)者)

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.2.1</version>
</dependency>

jwt生成

首先需要一個字符串密鑰進(jìn)行加密，這個字符串可自定義，然后提前規(guī)劃好你項(xiàng)目的jwt想要儲存哪些自定義信息，例如用戶名，密碼，id，等等（這里為了方便演示，這里就把用戶名以及密鑰字符串設(shè)為常量了）

package com.example.jwtdemo.Controller;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@RestController
@Controller("/")
public class TestController {
    //用戶的用戶名
    private static final String USERNAME = "admin"; 

    //用于簽名加密的密鑰，為一個字符串（需嚴(yán)格保密）
    private static final String KEY = "the_key";


    @GetMapping("/jwt")
    public String setToken() {
        
        //獲取jwt生成器
        JWTCreator.Builder jwtBuilder = JWT.create();

        //由于該生成器設(shè)置Header的參數(shù)為一個<String, Object>的Map,
        //所以我們提前準(zhǔn)備好
        Map<String, Object> headers = new HashMap<>();

        headers.put("typ", "jwt");   //設(shè)置token的type為jwt
        headers.put("alg", "hs256");  //表明加密的算法為HS256

        //開始生成token
        //我們將之前準(zhǔn)備好的header設(shè)置進(jìn)去
        String token = jwtBuilder.withHeader(headers)

                //接下來為設(shè)置PayLoad,Claim中的鍵值對可自定義
                //設(shè)置用戶名
                .withClaim("username", USERNAME) 
                   
                //是否為VIP用戶
                .withClaim("isVIP", true)
                
                //設(shè)置用戶id
                .withClaim("userId", 123)

                //token失效時(shí)間，這里為一天后失效
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24))
                //設(shè)置該jwt的發(fā)行時(shí)間，一般為當(dāng)前系統(tǒng)時(shí)間
                .withIssuedAt(new Date(System.currentTimeMillis()))

                //token的發(fā)行者（可自定義）
                .withIssuer("issuer")

                //進(jìn)行簽名，選擇加密算法，以一個字符串密鑰為參數(shù)
                .sign(Algorithm.HMAC256(KEY));

        //token生成完畢，可以發(fā)送給客戶端了，前端可以使用
        //localStorage.setItem("your_token", token)進(jìn)行存儲，在
        //下次請求時(shí)攜帶發(fā)送給服務(wù)器端進(jìn)行驗(yàn)證
        System.out.println(token);
        return token;
    }
}

最終生成的jwt

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJpc3N1ZXIiLCJleHAiOjE2OTQyNzA0OTMsImlhdCI6MTY5NDE4NDA5MywiaXNWSVAiOnRydWUsInVzZXJuYW1lIjoiYWRtaW4ifQ.JiTMn2jDaUTolPXB0TCBBOwSHG1l75W2oy2isdWhQIU

PS：以上代碼中向jwt中注冊的鍵值對不是都為必須的，需按照自己的情況進(jìn)行設(shè)置

jwt驗(yàn)證

我們從客戶端的請求中獲取其攜帶的token進(jìn)行驗(yàn)證，已確定其是否有權(quán)訪問或進(jìn)行其他的業(yè)務(wù)邏輯操作

    @GetMapping("/verify")
    public boolean verify(HttpServletRequest request) {

        /*從請求頭中獲取token（具體要看你的token放在了請求的哪里，
           這里以放在請求頭舉例）
        */
        String token = request.getHeader("token");

        /*判斷token是否存在，若不存在，驗(yàn)證失敗，
            并進(jìn)行驗(yàn)證失敗的邏輯操作（例如跳轉(zhuǎn)到登錄界面，
            或拒絕訪問等等）*/
        if (token == null) return false;
        
        /*獲取jwt的驗(yàn)證器對象，傳入的算法參數(shù)以及密鑰字符串（KEY）必須
        和加密時(shí)的相同*/
        var require = JWT.require(Algorithm.HMAC256(KEY)).build();

        DecodedJWT decode;
        try {
            
            /*開始進(jìn)行驗(yàn)證，該函數(shù)會驗(yàn)證此token是否遭到修改，
                以及是否過期，驗(yàn)證成功會生成一個解碼對象
                ，如果token遭到修改或已過期就會
                拋出異常，我們用try-catch抓一下*/
            decode = require.verify(token);

        } catch (Exception e) {

            //拋出異常，驗(yàn)證失敗
            return false;
        }

        //若驗(yàn)證成功，就可獲取其攜帶的信息進(jìn)行其他操作
        
        //可以一次性獲取所有的自定義參數(shù)，返回Map集合
        Map<String, Claim> claims = decode.getClaims();
        if (claims == null) return false;
        claims.forEach((k, v) -> System.out.println(k + " " + v.asString()));

        //也可以根據(jù)自定義參數(shù)的鍵值來獲取
        if (!decode.getClaim("isVIP").asBoolean()) return false;
        System.out.println(decode.getClaim("username").asString());
        
        //獲取發(fā)送者，沒有設(shè)置則為空
        System.out.println(decode.getIssuer());

        //獲取過期時(shí)間
        System.out.println(decode.getExpiresAt());

        //獲取主題，沒有設(shè)置則為空
        System.out.println(decode.getSubject());
        return true;
    }