jwt java案例_JWT(二):使用 Java 实现 JWT
介绍
原理在上篇《JWT(一):认识 JSON Web Token》已经说过了,实现起来并不难,你可以自己写一个 jwt 工具类(如果你有兴趣的话)
当然了,重复造轮子不是程序员的风格,我们主张拿来主义!
鲁迅-又拿我说事儿.jpg
JWT 官网提供了多种语言的 JWT 库,详情可以参考 https://jwt.io/#debugger 页面下半部分
jjwt 版本 0.10.7,它和 0.9.x 有很大的区别,一定要注意!!!
本文分5部分
第1部分:以简单例子演示生成、验证、解析 jwt 过程
第2部分:介绍 jjwt 的常用方法
第3部分:封装一个常用的 jwt 工具类
如果只是拿来主义,看到这里就可以了
第4部分:介绍 jjwt 的各种签名算法
第5部分:对 jwt 进行安全加密
简单例子
引入 MAVN 依赖
io.jsonwebtoken
jjwt-api
0.10.7
io.jsonwebtoken
jjwt-impl
0.10.7
runtime
io.jsonwebtoken
jjwt-jackson
0.10.7
runtime
一个例子
// 生成密钥
String key = "0123456789_0123456789_0123456789";
SecretKey secretKey = new SecretKeySpec(key.getBytes(), SignatureAlgorithm.HS256.getJcaName());
// 1. 生成 token
String token = Jwts.builder() // 创建 JWT 对象
.setSubject("JSON Web Token") // 设置主题(声明信息)
.signWith(secretKey) // 设置安全密钥(生成签名所需的密钥和算法)
.compact(); // 生成token(1.编码 Header 和 Payload 2.生成签名 3.拼接字符串)
System.out.println(token);
//token = token + "s";
// 2. 验证token,如果验证token失败则会抛出异常
try {
Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(token);
// OK, we can trust this token
System.out.println("验证成功");
} catch (JwtException e) {
//don't trust the token!
System.out.println("验证失败");
}
// 3. 解析token
Claims body = Jwts.parser() // 创建解析对象
.setSigningKey(secretKey) // 设置安全密钥(生成签名所需的密钥和算法)
.parseClaimsJws(token) // 解析token
.getBody(); // 获取 payload 部分内容
System.out.println(body);
输出结果:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKU09OIFdlYiBUb2tlbiJ9.QwmY_0qXW4BhAHcDpxz62v3xqkFYbg5lsZQhM2t-kVs
验证成功
{sub=JSON Web Token}
常用方法
以下内容建议参考源码获知更多详情
Jwts.builder() 创建了 DefaultJwtBuilder 对象,该对象的常用方法如下:
Header
在 compact() 方法中会自动根据签名算法设置头部信息,当然也可以手动设置
setHeader(Header header): JwtBuilder
setHeader(Map header): JwtBuilder
setHeaderParams(Map params): JwtBuilder
setHeaderParam(String name, Object value): JwtBuilder
参数 Header 对象 可通过 Jwts.header(); 创建,它简单得就像一个 map (把它当做 map 使用即可)
Payload
至少设置一个 claims,否则在生成签名时会抛出异常
setClaims(Claims claims): JwtBuilder
setClaims(Map claims): JwtBuilder
addClaims(Map claims): JwtBuilder
setIssuer(String iss): JwtBuilder
setSubject(String sub): JwtBuilder
setAudience(String aud): JwtBuilder
setExpiration(Date exp): JwtBuilder
setNotBefore(Date nbf): JwtBuilder
setIssuedAt(Date iat): JwtBuilder
setId(String jti): JwtBuilder
claim(String name, Object value: JwtBuilder
参数对象 Claims 同 Header 类似,通过 Jwts.claims() 创建,同样简单得就像一个 map
值得注意的一点是:不要在 setXxx 之后调用 setClaims(Claims claims) 或 setClaims(Map claims),因为这两个方法会覆盖所有已设置的 claim
Signature
signWith(Key key)
signWith(Key key, SignatureAlgorithm alg)
signWith(SignatureAlgorithm alg, byte[] secretKeyBytes)
signWith(SignatureAlgorithm alg, String base64EncodedSecretKey)
signWith(SignatureAlgorithm alg, Key key)
以上方法最终就是设置两个对象:key 和 algorithm,分别代表密钥和算法
方法内部生成密钥使用的方法的和演示中的一样
SecretKey key = new SecretKeySpec(secretKeyBytes, alg.getJcaName());
注意:key 的长度必须符合签名算法的要求(避免生成弱密钥)
HS256:bit 长度要>=256,即字节长度>=32
HS384:bit 长度要>=384,即字节长度>=48
HS512:bit 长度要>=512,即字节长度>=64
在 secret key algorithms 名称中的数字代表了最小bit长度
更多签名算法的详情,请参考签名算法小节
封装 JWT 工具类
package com.liuchuanv.jwt;
import io.jsonwebtoken.*;
import io.jsonwebtoken.security.SignatureException;
import javax.crypto.spec.SecretKeySpec;
import java.security.Key;
import java.util.Date;
import java.util.Map;
import java.util.UUID;
/**
* JSON Web Token 工具类
*
* @author LiuChuanWei
* @date 2019-12-11
*/
public class JwtUtils {
/**
* key(按照签名算法的字节长度设置key)
*/
private final static String SECRET_KEY = "0123456789_0123456789_0123456789";
/**
* 过期时间(毫秒单位)
*/
private final static long TOKEN_EXPIRE_MILLIS = 1000 * 60 * 60;
/**
* 创建token
* @param claimMap
* @return
*/
public static String createToken(Map claimMap) {
long currentTimeMillis = System.currentTimeMillis();
return Jwts.builder()
.setId(UUID.randomUUID().toString())
.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间
.setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间
.addClaims(claimMap)
.signWith(generateKey())
.compact();
}
/**
* 验证token
* @param token
* @return 0 验证成功,1、2、3、4、5 验证失败
*/
public static int verifyToken(String token) {
try {
Jwts.parser().setSigningKey(generateKey()).parseClaimsJws(token);
return 0;
} catch (ExpiredJwtException e) {
e.printStackTrace();
return 1;
} catch (UnsupportedJwtException e) {
e.printStackTrace();
return 2;
} catch (MalformedJwtException e) {
e.printStackTrace();
return 3;
} catch (SignatureException e) {
e.printStackTrace();
return 4;
} catch (IllegalArgumentException e) {
e.printStackTrace();
return 5;
}
}
/**
* 解析token
* @param token
* @return
*/
public static Map parseToken(String token) {
return Jwts.parser() // 得到DefaultJwtParser
.setSigningKey(generateKey()) // 设置签名密钥
.parseClaimsJws(token)
.getBody();
}
/**
* 生成安全密钥
* @return
*/
public static Key generateKey() {
return new SecretKeySpec(SECRET_KEY.getBytes(), SignatureAlgorithm.HS256.getJcaName());
}
}
测试代码如下:
//Map map = new HashMap();
//map.put("userId", 1002);
//map.put("userName", "张晓明");
//map.put("age", 12);
//map.put("address", "山东省青岛市李沧区");
//String token = JwtUtils.createToken(map);
//System.out.println(token);
String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI0ZWM2NWNhNC0wZjVmLTRlOTktOTI5NS1mYWUyN2UwODIzYzQiLCJpYXQiOjE1NzY0OTI4NjYsImV4cCI6MTU3NjQ5NjQ2NiwiYWRkcmVzcyI6IuWxseS4nOecgemdkuWym-W4guadjuayp-WMuiIsInVzZXJOYW1lIjoi5byg5pmT5piOIiwidXNlcklkIjoxMDAyLCJhZ2UiOjEyfQ.6Z18aIA6y52ntQkV3BwlYiVK3hL3R2WFujjTmuvimww";
int result = JwtUtils.verifyToken(token);
System.out.println(result);
Map map = JwtUtils.parseToken(token);
System.out.println(map);
输出结果:
0
{jti=4ec65ca4-0f5f-4e99-9295-fae27e0823c4, iat=1576492866, exp=1576496466, address=山东省青岛市李沧区, userName=张晓明, userId=1002, age=12}
签名算法
12 种签名算法
JWT 规范定义了12种标准签名算法:3种 secret key 算法和9种非对称密钥算法
HS256: HMAC using SHA-256
HS384: HMAC using SHA-384
HS512: HMAC using SHA-512
ES256: ECDSA using P-256 and SHA-256
ES384: ECDSA using P-384 and SHA-384
ES512: ECDSA using P-521 and SHA-512
RS256: RSASSA-PKCS-v1_5 using SHA-256
RS384: RSASSA-PKCS-v1_5 using SHA-384
RS512: RSASSA-PKCS-v1_5 using SHA-512
PS256: RSASSA-PSS using SHA-256 and MGF1 with SHA-256
PS384: RSASSA-PSS using SHA-384 and MGF1 with SHA-384
PS512: RSASSA-PSS using SHA-512 and MGF1 with SHA-512
根据算法名称可分为四类:HSxxx(secret key 算法)、ESxxx、RSxxx、PSxxx
HSxxx、ESxxx 中的 xxx 表示算法 key 最小 Bit 长度
RSxxx、PSxxx 中的 xxx 表示算法 key 最小 Byte 长度
规定key的最小长度是为了避免因 key 过短生成弱密钥
生成密钥
jjwt 生成 secret key 两种方法
String key = "1234567890_1234567890_1234567890";
// 1. 根据key生成密钥(会根据字节参数长度自动选择相应的 HMAC 算法)
SecretKey secretKey1 = Keys.hmacShaKeyFor(key.getBytes());
// 2. 根据随机数生成密钥
SecretKey secretKey2 = Keys.secretKeyFor(SignatureAlgorithm.HS256);
方法 Keys.hmacShaKeyFor(byte[]) 内部也是使用 new SecretKeySpec(bytes, alg.getJcaName()) 来生成密钥的
方法 Keys.secretKeyFor(SignatureAlgorithm) 内部使用 KeyGenerator.generateKey() 生成密钥
jjwt 也提供了非对称密钥对的生成方法
// 1. 使用jjwt提供的方法生成
KeyPair keyPair = Keys.keyPairFor(SignatureAlgorithm.RS256); //or RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512
// 2. 手动生成
int keySize = 1024;
// RSA算法要求有一个可信任的随机数源
SecureRandom secureRandom = new SecureRandom();
// 为RSA算法创建一个KeyPairGenerator对象
KeyPairGenerator keyPairGenerator = null;
try {
keyPairGenerator = KeyPairGenerator.getInstance("RSA");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
// 利用上面的随机数据源初始化这个KeyPairGenerator对象
keyPairGenerator.initialize(keySize, secureRandom);
// 生成密钥对
KeyPair keyPair2 = keyPairGenerator.generateKeyPair();
Keys.keyPairFor(SignatureAlgorithm) 会根据算法自动生成相应长度的
signWith(secretKey) 会根据密钥长度自动选择相应算法,也可以指定任意算法(指定的算法不受密钥长度限制,可任意选择,即用 RS256生成的密钥,可以 signWith(secretKey, SignatureAlgorithm.RS512),但是 JJWT 并不建议这么做)
在加密时使用 keyPair.getPrivate() ,解密时使用 keyPair.getPublic()
不同密钥生成token
以上都是使用同一密钥签名生成所有的token,下面我们使用不同的密钥
这一个特性可以应用于不同用户/角色使用不同的密钥生成的 token,帮助你更好的构建权限系统
首先在 Header(或 claims)中设置一个 keyId
定义一个类,继承 SigningKeyResolverAdapter,并重写 resolveSigningKey() 或 resolveSigningKeyBytes() 方法
public class MySigningKeyResolver extends SigningKeyResolverAdapter {
@Override
public Key resolveSigningKey(JwsHeader header, Claims claims) {
// 除了从 header 中获取 keyId 外,也可以从 claims 中获取(前提是在 claims 中设置了 keyId 声明)
String keyId = header.getKeyId();
// 根据 keyId 查找相应的 key
Key key = lookupVerificationKey(keyId);
return key;
}
public Key lookupVerificationKey(String keyId) {
// TODO 根据 keyId 获取 key,比如从数据库中获取
// 下面语句仅做演示用,绝对不可用于实际开发中!!!
String key = "qwertyuiopasdfghjklzxcvbnm2019_" + keyId;
return Keys.hmacShaKeyFor(key.getBytes());
}
}
解析时,不再调用 setSigningKey(SecretKey) ,而是调用 setSigningKeyResolver(SigningKeyResolver)
// 生成密钥
// TODO 此处 keyId 仅做演示用,实际开发中可以使用 UserId、RoleId 等作为 keyId
String keyId = new Long(System.currentTimeMillis()).toString();
System.out.println("keyId=" + keyId);
String key = "qwertyuiopasdfghjklzxcvbnm2019_" + keyId;
SecretKey secretKey = new SecretKeySpec(key.getBytes(), SignatureAlgorithm.HS256.getJcaName());
// 1. 生成 token
String token = Jwts.builder()
.setHeaderParam(JwsHeader.KEY_ID, keyId) // 设置 keyId(当然也可以在 claims 中设置)
.setSubject("JSON Web Token")
.signWith(secretKey)
.compact();
System.out.println("token=" + token);
// 2. 验证token
// token 使用了不同的密钥生成签名,在解析时就不用调用 setSigningKey(SecretKey) 了
// 而是调用 setSigningKeyResolver(SigningKeyResolver)
try {
Jwts.parser()
.setSigningKeyResolver(new MySigningKeyResolver())
.parseClaimsJws(token);
// OK, we can trust this token
System.out.println("token验证成功");
} catch (JwtException e) {
//don't trust the token!
System.out.println("token验证失败");
}
安全加密
敬请期待 .....
jwt java案例_JWT(二):使用 Java 实现 JWT相关推荐
- 【转】java提高篇(二)-----理解java的三大特性之继承
[转]java提高篇(二)-----理解java的三大特性之继承 原文地址:http://www.cnblogs.com/chenssy/p/3354884.html 在<Think in ja ...
- Java面试题(二)-----简述Java和C++的相同点和不同点
Java面试题(二)-----简述Java和C++的相同点和不同点 文章目录
- 深入理解Java虚拟机(二)Java内存区域与内存溢出异常
一.前言 对于Java程序员来说,在虚拟机自动内存管理机制的帮助下,不再需要为每一个new操作去写配对的delete/free代码,不容易出现内存泄漏和内存溢出问题,看起来由虚拟机管理内存一切都很美好 ...
- Java学习笔记二十:Java中的内部类
Java中的内部类 一:什么是内部类: (1).什么是内部类呢? 内部类( Inner Class )就是定义在另外一个类里面的类.与之对应,包含内部类的类被称为外部类. (2).那为什么要将一个类定 ...
- Java学习(二)----java实现在线翻译
一.主类 package test; import javax.swing.JFrame; public class test1 {public static void main(String[] a ...
- java语言入门(二)之JAVA的基本语法
*关键字和保留字 1.关键字(keyword)的定义和特点 定义:被 Java 语言赋予了特殊含义,用做专门用途的字符串(单词) 特点:关键字中所有字母都为小写 官方地址: https://docs. ...
- java面试笔记二:java的面向对象
java面试笔记二:面向对象 面向对象和面向过程的区别 过程就是函数,就是写方法,就是方法的一种实现. 对象就是将函数,属性的一种封装.用人们思考习惯的方式思考问题. 匿名对象 即:创建对象时没有指定 ...
- JAVA基础(二)JAVA入门
JAVA入门 安装和卸载 安装 Java 开发环境配置 | 菜鸟教程 (runoob.com) 1.搜索JDK8(其他更新的版本特性与JDK8相差不大,而且目前大部分企业都是基于JDK8开发的) 2. ...
- java教程系列二:Java JDK,JRE和JVM分别是什么?
多情只有春庭月,犹为离人照落花. 概述 本章主要了解JDK,JRE和JVM之间的区别.JVM是如何工作的?什么是类加载器,解释器和JIT编译器.还有一些面试问题. Java程序执行过程 在深入了解Ja ...
- java 案例:二月天;求月一共有多少天
最新文章
- linux中vim常用命令总结
- AcWing之从尾到头打印链表
- UE3 预计算可见性
- python3.7.1安装
- 最新图解 github 修改github地址 用户名
- 冲击波内幕点滴 (转)
- matlab仿真元件,matlab电力系统仿真元件[高等教育]
- 【无标题】全国矢量地图下载
- IT行业程序员工资一般多少?发量与薪资成反比
- 佳博打印机驱动安装方法
- 一 . css系列之html需知及ps的基础操作
- 七、决策树算法和集成算法
- java联网游戏_Java实现简易版联网坦克对战小游戏(附源码)
- 快速学习-mocha 简介与入门
- 附加类型”XXXX“的实体失败,因为相同类型的其他实体已具有相同的主键值。在使用 “Attach“ 方法或者将实体的状态设置为 “Unchanged“ 或 “Modified“
- 使用贝塞尔曲线制作网页手鼓猫
- 54/74系列逻辑芯片
- 算法总结(六)Isomap(Isometric mapping等度量映射)和LLE(Locally Linear Embedding)的理解
- LINUX-查看历史操作记录
- 教你5个大咖用的CMD命令,让人一看你就是个电脑高手
热门文章
- 那些被一行代码蒸发1个亿的智能合约,形式化验证了解一下? | 人物志
- Android学习笔记3-开发过程中一些常用操作
- Google Chrome 浏览器翻译失败解决办法
- 取消参考文献自动编号_取消参考文献引用 - 卡饭网
- poj 3345 Bribing FIPA
- 计算机如何连接网络共享文件,电脑之间如何共享文件?
- 手游无限多开器安卓版_无限多开版!使用叶子猪手游模拟器玩大话西游手游教程...
- 畅销书排行榜html作业,制作畅销书排行榜.html
- 【摄像头】图像传感器尺寸、像素大小和成像质量的关系
- DPDK ip分片与重组的设计实现