JSON Web Token(JWT)使用步骤说明
在JSON Web Token(JWT)原理和用法介绍中,咱们了解了JSON Web Token的原理和用法的基本介绍。本文咱们着重讲一下其使用的步骤:html
1、JWT基本使用
Gradle下依赖 :java
compile 'com.auth0:java-jwt:3.4.0'
示例介绍:web
import java.util.Calendar; import java.util.Date; import java.util.HashMap; import java.util.Map; import com.alibaba.druid.util.StringUtils; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.Claim; import com.auth0.jwt.interfaces.DecodedJWT; public class Test { /** * APP登陆Token的生成和解析 */ /** token秘钥,请勿泄露,请勿随便修改 backups:JKKLJOoasdlfj */ public static final String SECRET = "JKKLJOoasdlfj"; /** token 过时时间: 10天 */ public static final int calendarField = Calendar.DATE; public static final int calendarInterval = 10; /** * JWT生成Token.<br/> * * JWT构成: header, payload, signature * * @param user_id 登陆成功后用户user_id, 参数user_id不可传空 */ public static String createToken(Long user_id) throws Exception { Date iatDate = new Date(); // expire time Calendar nowTime = Calendar.getInstance(); nowTime.add(calendarField, calendarInterval); Date expiresDate = nowTime.getTime(); // header Map Map<String, Object> map = new HashMap<>(); map.put("alg", "HS256"); map.put("typ", "JWT"); // build token // param backups {iss:Service, aud:APP} String token = JWT.create().withHeader(map) // header .withClaim("iss", "Service") // payload .withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString()) .withIssuedAt(iatDate) // sign time .withExpiresAt(expiresDate) // expire time .sign(Algorithm.HMAC256(SECRET)); // signature return token; } /** * 解密Token * * @param token * @return * @throws Exception */ public static Map<String, Claim> verifyToken(String token) { DecodedJWT jwt = null; try { JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build(); jwt = verifier.verify(token); } catch (Exception e) { // e.printStackTrace(); // token 校验失败, 抛出Token验证非法异常 } return jwt.getClaims(); } /** * 根据Token获取user_id * * @param token * @return user_id */ public static Long getAppUID(String token) { Map<String, Claim> claims = verifyToken(token); Claim user_id_claim = claims.get("user_id"); if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) { // token 校验失败, 抛出Token验证非法异常 } return Long.valueOf(user_id_claim.asString()); } }
最终存放的数据在JWT内部的实体claims里。它是存放数据的地方。算法
2、概念介绍
1. JWT消息构成
一个token分3部分,按顺序为json
头部(header)
其为载荷(payload)
签证(signature)
由三部分生成token
3部分之间用“.”号作分隔。例如:框架
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
2. 头部
Jwt的头部承载两部分信息:post
- 声明类型,这里是 jwt。
- 声明加密的算法,一般直接使用 HMAC SHA256。
(注:算法能够有多种选择,这里再也不赘述)ui
使用代码以下加密
// header Map Map<String, Object> map = new HashMap<>(); map.put("alg", "HS256"); map.put("typ", "JWT");
3. playload
载荷就是存放有效信息的地方,基本上填2种类型数据:url
- 标准中注册的声明的数据
- 自定义数据
由这2部份内部作base64加密。最张数据进入JWT的chaims里存放。
4. 标准中注册的声明 (建议但不强制使用)
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过时时间,这个过时时间必需要大于签发时间
nbf: 定义在什么时间以前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的惟一身份标识,主要用来做为一次性token,从而回避重放攻击。
使用方法:
JWT.create().withHeader(map) // header .withClaim("iss", "Service") // payload .withClaim("aud", "APP") .withIssuedAt(iatDate) // sign time .withExpiresAt(expiresDate) // expire time
5. 自定义数据
这个就比较简单,存放咱们想放在token中存放的key-value值
使用方法:
JWT.create().withHeader(map) // header .withClaim("name", "cy") // payload .withClaim("user_id", "11222");
6. 签名signature
jwt的第三部分是一个签证信息,这个签证信息算法以下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
这个部分须要base64加密后的header和base64加密后的payload使用.链接组成的字符串,而后经过header中声明的加密方式进行加盐secret组合加密,而后就构成了jwt的第三部分。
基本上至此,JWT的API相关知识已经学完了,可是API不够有好,不停的用withClaim放数据。不够友好。下面推荐一款框架,至关于对JWT的实现框架
3、JJWT
它是为了更友好在JVM上使用JWT,是基本于JWT, JWS, JWE, JWK框架的Java实现。
Gradle:
dependencies { compile 'io.jsonwebtoken:jjwt:0.9.0' }
1. 使用方法
生成token:getJwtToken 是生成 jjwt 里的 token 方法。
import com.sun.javafx.scene.traversal.Algorithm; import io.jsonwebtoken.*; import io.jsonwebtoken.impl.DefaultJwsHeader; import java.util.Calendar; import java.util.Date; import java.util.HashMap; import java.util.Map; private String SECRET = "DyoonSecret_0581"; private void getJwtToken(){ Date iatDate = new Date(); // expire time Calendar nowTime = Calendar.getInstance(); //有10天有效期 nowTime.add(Calendar.DATE, 10); Date expiresDate = nowTime.getTime(); Claims claims = Jwts.claims(); claims.put("name","cy"); claims.put("userId", "222"); claims.setAudience("cy"); claims.setIssuer("cy"); String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate).signWith(SignatureAlgorithm.HS512, SECRET).compact(); }
上面将token中的载荷放在chaims中,其实chaims是JWT内部维持的一个存放有效信息的地方,不论使用任何API,最终都使用chaims保存信息。
setClaims有2个重载:
JwtBuilder setClaims(Claims claims);
JwtBuilder setClaims(Map<String, Object> claims);
不能就是说,咱们也能够直接传入map值对象。
2. 解析token
parseJwtToken方法是解析token。
public void parseJwtToken(String token) { try{ }catch (Exception e){ } Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token); String signature = jws.getSignature(); Map<String, String> header = jws.getHeader(); Claims Claims = jws.getBody(); }
相关文章
- 1. 使用json web token(jwt)
- 2. JWT(JSON web Token)
- 3. JSON WEB Token(JWT)
- 4. JSON Web Token(JWT)
- 5. JSON WEB TOKEN-----jwt
- 6. JSON Web Token (JWT)
- 7. JWT--JSON WEB TOKEN
- 8. JWT Json Web Token
- 9. JWT - Json Web Token
- 10. JWT -- JSON Web Token
- 更多相关文章...
- • PHP EOF(heredoc) 使用说明 - PHP教程
- • Eclipse 窗口说明 - Eclipse 教程
- • Composer 安装与使用
- • Github 简明教程
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
