JSON Web Token(JWT)使用步骤说明

Github: https://github.com/auth0/java-jwt

Gradle下依赖:

1
compile 'com.auth0:java-jwt:3.10.2'

示例介绍:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

public class Test {

/**
* APP登录Token的生成和解析
*/
/** token秘钥,请勿泄露,请勿随便修改 backups:JKKLJOoasdlfj */
public static final String SECRET = "JKKLJOoasdlfj";
/** token 过期时间: 10天 */
public static final int calendarField = Calendar.DATE;
public static final int calendarInterval = 10;

/**
* JWT生成Token.<br/>
*
* JWT构成: header, payload, signature
*
* @param user_id 登录成功后用户user_id, 参数user_id不可传空
*/
public static String createToken(Long user_id) throws Exception {
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField, calendarInterval);
Date expiresDate = nowTime.getTime();

// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");

// build token
// param backups {iss:Service, aud:APP}
String token = JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
.sign(Algorithm.HMAC256(SECRET)); // signature

return token;
}

/**
* 解密Token
*
* @param token
* @return
* @throws Exception
*/
public static Map<String, Claim> verifyToken(String token) {
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
jwt = verifier.verify(token);
} catch (Exception e) {
// e.printStackTrace();
// token 校验失败, 抛出Token验证非法异常
}
return jwt.getClaims();
}

/**
* 根据Token获取user_id
*
* @param token
* @return user_id
*/
public static Long getAppUID(String token) {
Map<String, Claim> claims = verifyToken(token);
Claim user_id_claim = claims.get("user_id");
if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
// token 校验失败, 抛出Token验证非法异常
}
return Long.valueOf(user_id_claim.asString());
}
}

最终存放的数据在JWT内部的实体claims里,它是存放数据的地方。

概念介绍

JWT消息构成

一个token分3部分,按顺序为

  • 头部 (header)
  • 载荷 (payload)
  • 签证 (signature)

由3部分生成token,3部分之间用.号做分隔。例如:

1
eyJ0eXBlIjoiSldUIiwiYWxnIjoiSFMyNTYiLCJ0eXAiOiJKV1QifQ.eyJzdWIiOiJBcHBCbG9nLkNOIiwibmFtZSI6IkpvZS5ZZSIsImlzcyI6InNzbyIsImV4cCI6MTU4Njg2NzE5MSwiaWF0IjoxNTE2MjM5MDIyfQ.ewygJqt1Pj_79Mcz8ta7GktMl-MOvWpNvklnUcLy_lQ

头部

Jwt的头部承载两部分信息:

  • 声明类型,这里是JWT
  • 声明加密的算法,通常直接使用HMAC-SHA256(注:算法可以有多种选择)

使用代码如下

1
2
3
4
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");

playload

载荷就是存放有效信息的地方,基本上填2种类型数据:

  • 标准中注册的声明的数据
  • 自定义数据

由这2部分内部做base64加密。最终数据进入JWT的chaims里存放。

可以进行解密:https://www.sojson.com/base64.html

标准中注册的声明 (建议但不强制使用)

1
2
3
4
5
6
7
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

使用方法:

1
2
3
4
5
JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP")
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time

自定义数据

这个就比较简单,存放我们想放在token中存放的key-value

使用方法:

1
2
3
JWT.create().withHeader(map) // header
.withClaim("name", "Joe.Ye") // payload
.withClaim("user_id", "10086");

签名signature

JWT的第三部分是一个签证信息,这个签证信息算法如下:

1
base64UrlEncode(header) + "." + base64UrlEncode(payload) + your-256-bit-secret

这个部分需要Base64加密后的header和Base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了JWT的第三部分。

基本上至此,JWT的API相关知识已经讲解完毕,但是API不够有好,不停的用withClaim存放数据。不够友好。下面推荐一款框架,相当于对JWT的实现框架

JJWT

它是为了更友好在JVM上使用JWT,是基本于JWT, JWS, JWE, JWK框架的Java实现。

Github: https://github.com/jwtk/jjwt

Gradle:

1
2
3
dependencies {
  compile 'io.jsonwebtoken:jjwt:0.11.1'
}

使用方法

生成token:getJwtToken 是生成 jjwt 里的 token 方法。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
import com.sun.javafx.scene.traversal.Algorithm;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.DefaultJwsHeader;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

private String SECRET = "AppBlog.CN";
private void getJwtToken(){
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
//有10天有效期
nowTime.add(Calendar.DATE, 10);
Date expiresDate = nowTime.getTime();
Claims claims = Jwts.claims();
claims.put("name", "Joe.Ye");
claims.put("userId", "10086");
claims.setAudience("test");
claims.setIssuer("appblog.cn");
String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();
}

上面将token中的载荷放在chaims中,其实chaims是JWT内部维持的一个存放有效信息的地方,不论使用任何API,最终都使用chaims保存信息。

setClaims有2个重载:

1
2
JwtBuilder setClaims(Claims claims);
JwtBuilder setClaims(Map<String, Object> claims);

我们也可以直接传入map值对象。

解析token

parseJwtToken方法是解析token

1
2
3
4
5
6
public void parseJwtToken(String token) {
Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
String signature = jws.getSignature();
Map<String, String> header = jws.getHeader();
Claims Claims = jws.getBody();
}

Powered by AppBlog.CN     浙ICP备14037229号

Copyright © 2012 - 2020 APP开发技术博客 All Rights Reserved.

访客数 : | 访问量 :