JWT（JSON WEB TOKEN）详解

JWT（JSON WEB TOKEN）详解


  
一、定义

在Java中，JWT（JSON Web Token）是一种用于安全地在客户端和服务器之间传输信息的紧凑、独立的令牌。JWT通常用于认证和授权场景，特别是在无状态的Web应用步伐中。
理解：JWT现实上就是令牌的一种生成策略
二、TOKNE的理解

我们做前后分离的项目的时候 一般情况下 我们的前端登岸之后 后台会给前端返回一个令牌。
这个令牌就叫token。
当登岸之后 要访问其他资源的时候 我们每一次都会携带这个token去进行身份认证 如果是认证成功 那么就答应访问资源 如果认证不成功 那么就不答应访问资源。
简单的说就是令牌的一种生成策略
token不要以为他有多高深 现实上这个token就是一个字符串
只不过 这个字符串 拥有一定的生成格式（结构）
三、JWT的结构

• Header（头部）：通常包罗令牌范例和签名算法的声明。
  
• Payload（载荷）：包罗声明（claims），即现实传输的信息。常见的声明包括用户ID、脚色、权限等。
  
• Signature（签名）：用于验证消息在传输过程中没有被窜改。签名是通过对头部和负载部分进行编码并使用特定的算法（如HMAC SHA256）进行加密生成的。
  

终极的JWT的样式：
头信息.载荷.签名
样式示例：

1. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

复制代码

头部信息

1. {
2.   "alg": "HS256",
3.   "typ": "JWT"
4. }

复制代码

第一部分是如何生成的呢?
上述的JSON格式字符 进行base64编码形成第一部分
载荷

1. {
2.   "sub": "1234567890",// 注册声明
3.   "name": "John Doe",// 公共声明
4.   "admin": true // 私有声明
5. }

复制代码

iss: jwt签发者
sub: jwt所面向的用户
aud: 吸收jwt的一方
exp: jwt的逾期时间，这个逾期时间必须要大于签发时间
nbf: 定义在什么时间之前，该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识，重要用来作为一次性token,从而回避重放攻击
第二部分是用来存放 业务数据的(用户名 用户id) 就存储到第二部分
第二部分的JSON格式进行Base64编码 形成第二部分
签名

第一部分+“.”+“第二部分”+密钥 进行HS256的算法 生成第三部分
四、JWT的使用

在Java中，常见的库如 jjwt（Java JWT）可以用于生成和解析JWT。
1. 添加依靠

如果使用Maven，可以在pom.xml中添加如下依靠：

1. <dependency>
2.     <groupId>io.jsonwebtoken</groupId>
3.     <artifactId>jjwt-api</artifactId>
4.     <version>0.11.5</version>
5. </dependency>
6. <dependency>
7.     <groupId>io.jsonwebtoken</groupId>
8.     <artifactId>jjwt-impl</artifactId>
9.     <version>0.11.5</version>
10.     <scope>runtime</scope>
11. </dependency>
12. <dependency>
13.     <groupId>io.jsonwebtoken</groupId>
14.     <artifactId>jjwt-jackson</artifactId>
15.     <version>0.11.5</version>
16.     <scope>runtime</scope>
17. </dependency>

复制代码

2. 生成JWT

使用jjwt库生成JWT的示例代码如下：

1. import io.jsonwebtoken.Jwts;
2. import io.jsonwebtoken.SignatureAlgorithm;
3. import java.util.Date;
5. public class JwtExample {
6.     private static final String SECRET_KEY = "mySecretKey";
8.     public static void main(String[] args) {
9.         String jwt = Jwts.builder()
10.             .setSubject("1234567890")
11.             .setIssuedAt(new Date())
12.             .setExpiration(new Date(System.currentTimeMillis() + 86400000))  // 1 day expiration
13.             .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
14.             .compact();
16.         System.out.println("Generated JWT: " + jwt);
17.     }
18. }

复制代码

3. 解析JWT

解析JWT并提取其中的信息：

1. import io.jsonwebtoken.Claims;
2. import io.jsonwebtoken.Jwts;
4. public class JwtExample {
5.     private static final String SECRET_KEY = "mySecretKey";
7.     public static void main(String[] args) {
8.         String jwt = "your.jwt.token.here";
10.         Claims claims = Jwts.parser()
11.             .setSigningKey(SECRET_KEY)
12.             .parseClaimsJws(jwt)
13.             .getBody();
15.         System.out.println("Subject: " + claims.getSubject());
16.         System.out.println("Issued at: " + claims.getIssuedAt());
17.         System.out.println("Expiration: " + claims.getExpiration());
18.     }
19. }

复制代码

总结： 使用JWT在Java中进行认证和授权的利益在于它的无状态性和可扩展性。通过jjwt等库，开发者可以方便地生成和解析JWT，从而实现安全的用户身份验证和授权功能。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。