jwt常见问题回复&简介
什么是JWT(JSON Web Token)? JWT是一种用于身份验证和授权的开放标准(RFC 7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用中进行身份验证。 JWT有什么好处,能干啥? JWT的主要优点包括:
轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。自包含:JWT中包含了用户的一些声明信息,因此无需查询数据库来验证用户身份,有效降低了服务器的负担。无状态性:JWT本身是无状态的,所有的信息都被包含在令牌中,服务器端无需保存任何状态信息,使得系统易于扩展和维护。安全性:JWT中使用签名进行验证,防止数据被篡改,确保了数据的完整性和安全性。
JWT能够实现的功能包括:
用户认证:JWT可以用于用户身份验证,客户端通过携带有效的JWT令牌来请求受限资源。单点登录(SSO):用户在一个应用登录后,可以获取JWT令牌,然后在其他相互信任的应用中使用该令牌来免登录。授权信息传递:JWT中的载荷可以包含用户的角色、权限等信息,服务器可以根据这些信息做出授权决策(私密信息不要使用JWT 可以被人解析)。
JWT的组成: JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
头部(Header):通常由两部分组成,令牌类型(typ)和使用的签名算法(alg)。示例:{"alg": "HS256", "typ": "JWT"}载荷(Payload):包含用户的声明信息,例如过期时间用户ID、角色、权限等。可以自定义其他声明信息。示例:{"sub": "1234567890", "name": "John Doe", "admin": true}签名(Signature):通过对头部和载荷进行签名,保证数据的完整性和安全性。签名的生成通常使用密钥进行加密,只有持有密钥的服务器才能验证签名的有效性。
如何使用JWT? 使用JWT通常包括以下步骤:
用户登录:用户提供用户名和密码进行登录验证。服务器验证:服务器验证用户提供的信息是否正确,并生成JWT令牌。令牌传递:服务器将JWT令牌发送回客户端。客户端使用:客户端在后续请求中携带JWT令牌,发送给服务器进行身份验证和授权。
系统中的JWT是如何使用的,在什么时候使用的? 在一个系统中,JWT通常用于实现用户身份验证和授权。当用户登录成功后,服务器会生成一个JWT令牌并发送给客户端,客户端保存该令牌,并在后续的请求中将令牌添加到请求头或请求参数中。服务器在收到请求时,会解析JWT令牌并验证其合法性和有效性,从而判断用户是否已经登录以及是否有权限访问请求的资源。 JWT的使用可以简化系统的身份验证和授权流程,提高系统的安全性和性能。同时,由于JWT本身是无状态的,不需要在服务器端保存会话信息,使得系统更易于扩展和维护。引入jwt,并使用生成token
使用步骤
当使用JWT进行用户身份验证和授权时,通常包含以下步骤:
用户登录认证:
用户提供用户名和密码进行登录。服务器接收用户提交的用户名和密码,通过UserService类中的authenticateUser方法验证用户名和密码是否正确。如果用户名和密码验证通过,认为用户登录成功,可以继续下一步生成JWT令牌。 生成JWT令牌:
在登录成功后,服务器使用JwtUtils工具类中的generateJwtToken方法生成JWT令牌。generateJwtToken方法接收三个参数:
subject:即载荷(Payload)中的"sub"字段,通常用于标识用户的唯一标识,例如用户ID、用户名等。expirationMillis:令牌的有效期,以毫秒为单位。令牌过期后将无效,需要重新登录获取新的令牌。SECRET_KEY:用于签名的密钥,确保密钥保密,不要泄露给他人。 generateJwtToken方法会使用Jwts类的builder方法构建JWT令牌,并设置令牌的头部(Header)、载荷(Payload)、过期时间(Expiration)等信息。最后,使用指定的签名算法(此处使用HS256)对令牌进行签名,生成签名(Signature)部分,得到最终的JWT令牌。 返回JWT令牌:
服务器将生成的JWT令牌返回给客户端,通常通过将令牌添加到响应的Header或Body中。 客户端携带JWT令牌:
在后续的请求中,客户端需要在请求头或请求参数中携带JWT令牌,通常使用"Authorization"字段来传递令牌。例如,可以将JWT令牌添加到请求头的"Authorization"字段中,格式为"Bearer
服务器接收到带有JWT令牌的请求后,需要对令牌进行解析和验证,以验证用户身份和授权信息。使用JwtUtils工具类中的parseJwtToken方法对JWT令牌进行解析和验证。parseJwtToken方法接收一个JWT令牌作为参数,并使用之前设置的密钥SECRET_KEY对令牌进行解析。如果解析和验证成功,parseJwtToken方法将返回载荷(Payload)中的"sub"字段的值,即之前设置的用户唯一标识。如果解析和验证失败,可能是令牌过期、签名验证不通过等,服务器将拒绝请求,要求客户端重新登录获取新的令牌。 用户访问控制:
在服务器端验证JWT令牌成功后,可以根据令牌中携带的用户信息(例如用户角色、权限等)进行访问控制和授权决策。服务器可以根据令牌中的信息判断用户是否有权限访问请求的资源,并执行相应的业务逻辑。
精简版案例:
客户端生成令牌:
public void generateJWT() {
JwtBuilder builder = Jwts.builder();
String token = builder
// 头部
.setHeaderParam("typ", "JWT")
.setHeaderParam("alg", "HS256")
// 载荷数据/过期时间
.claim("id", 10001)
.claim("nickName", "老王")
// 设置过期时间,这里设置为当前时间加上一小时
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60))
// 设置JWT的唯一标识(ID),这里使用UUID生成唯一ID
.setId(UUID.randomUUID().toString())
// 签名,使用HS256算法和指定的密钥(key)进行签名
.signWith(SignatureAlgorithm.HS256, key)
// 构造JWT令牌
.compact();
System.out.println(token);
}
/**
* 服务器解析JWT
*/
@Test
public void verifyJWT() {
// 要解析的JWT令牌
String jwt = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MTAwMDEsIm5pY2tOYW1lIjoi6ICB546LIiwiZXhwIjoxNjkwMjc0NTg3LCJqdGkiOiIxZTY0MWExMS0yMjJkLTQ4YjMtODQ1OS05ZTlmNDUxZjIyZGQifQ.nby2Lp7nx4BLuk3SFAk0ZLPbhliLQ0l3eWOADnX5Kfc";
// 创建JwtParser对象,用于解析JWT令牌
JwtParser parser = Jwts.parser();
// 解析JWT令牌并验证签名
Jws
try {
claimsJws = parser
.setSigningKey(key) // 设置验证签名所使用的密钥(与生成JWT时使用的密钥相同)
.parseClaimsJws(jwt); // 解析JWT令牌
Claims body = claimsJws.getBody(); // 获取解析后的JWT令牌的载荷(Payload)
System.out.println(body); // 输出解析后的JWT令牌的载荷内容
} catch (Exception e) {
// 验证失败,抛出异常
throw new RuntimeException(e);
}
}
常用案例
借助jjwt库来生成和解析JWT令牌。
首先,确保在项目中导入jjwt库的依赖:
接下来,我们定义一个简单的JWT工具类来生成和解析JWT令牌:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtils {
private static final String SECRET_KEY = "your-secret-key"; // 替换为自己的密钥
public static String generateJwtToken(String subject, long expirationMillis) {
Date now = new Date();
Date expirationDate = new Date(now.getTime() + expirationMillis);
return Jwts.builder()
.setSubject(subject)
.setIssuedAt(now)
.setExpiration(expirationDate)
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
public static String parseJwtToken(String jwtToken) {
Claims claims = Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(jwtToken)
.getBody();
return claims.getSubject();
}
}
在上面的代码中,我们定义了generateJwtToken方法用于生成JWT令牌,parseJwtToken方法用于解析JWT令牌。需要注意的是,我们在生成和解析JWT令牌时都使用了同一个密钥SECRET_KEY,确保密钥保密,不要泄露给他人。
这里的密钥可以使用算法生成
public static String generateRandomKey() {
// 生成256位的随机字节数组
byte[] keyBytes = new byte[32];
SecureRandom secureRandom = new SecureRandom();
secureRandom.nextBytes(keyBytes);
// 将字节数组转换为Base64编码的字符串
String key = Base64.getEncoder().encodeToString(keyBytes);
System.out.println(key + "==============");
return key;
}
在这段代码中,我们使用Jwts.builder()来创建JWT令牌(JSON Web Token)。Jwts是jjwt库中的一个类,用于构建JWT令牌。
接下来,我们可以使用这个JWT工具类来实现用户登录和认证的功能:
public class UserService {
// 模拟用户数据库
private Map
{
userDatabase.put("user1", "password1");
userDatabase.put("user2", "password2");
}
public boolean authenticateUser(String username, String password) {
String storedPassword = userDatabase.get(username);
return storedPassword != null && storedPassword.equals(password);
}
}
在上面的示例中,我们假设有一个UserService类,其中authenticateUser方法用于验证用户的用户名和密码是否正确。请注意,这里只是一个简化的模拟用户数据库,实际应用中应该使用更安全和可靠的方式来存储和验证用户信息。
接下来,我们可以在主类中使用这些组件来演示JWT的使用:
public class Main {
public static void main(String[] args) {
UserService userService = new UserService();
// 用户登录,验证用户名和密码是否正确
String username = "user1";
String password = "password1";
boolean isAuthenticated = userService.authenticateUser(username, password);
if (isAuthenticated) {
// 用户登录成功,生成JWT令牌并返回给客户端
String jwtToken = JwtUtils.generateJwtToken(username, 3600000); // 令牌有效期1小时
System.out.println("JWT Token: " + jwtToken);
// 客户端在后续请求中携带JWT令牌,服务器端解析令牌并验证用户身份
String parsedUsername = JwtUtils.parseJwtToken(jwtToken);
System.out.println("Parsed Username: " + parsedUsername);
} else {
System.out.println("Authentication failed. Invalid username or password.");
}
}
}
在这个示例中,我们首先进行用户登录认证,如果用户名和密码验证通过,我们就生成JWT令牌并返回给客户端。在后续的请求中,客户端需要在请求头或请求参数中携带这个JWT令牌,服务器端解析令牌并验证用户身份,从而实现了用户的身份验证和授权功能。
请注意,实际应用中,我们应该更加完善和安全地管理JWT令牌,例如设置更短的过期时间、使用HTTPS等。此外,建议使用第三方库来处理JWT令牌的生成和解析,以确保安全性和正确性。
关于代码的解释
下面逐个方法来解释这段代码的含义:
setSubject(subject):设置JWT令牌的主题(Subject)。在JWT中,主题是令牌所针对的用户,通常用于标识用户的唯一标识,例如用户ID或用户名。这个方法用于将用户的唯一标识作为主题设置到JWT令牌中。setIssuedAt(now):设置JWT令牌的签发时间(Issued At)。在JWT中,签发时间表示令牌的创建时间。这个方法用于将当前时间设置为令牌的签发时间。setExpiration(expirationDate):设置JWT令牌的过期时间(Expiration)。在JWT中,过期时间表示令牌的有效期截止时间。在过期时间之后,令牌将失效,需要重新登录获取新的令牌。这个方法用于将指定的过期时间设置到JWT令牌中。signWith(SignatureAlgorithm.HS256, SECRET_KEY):对JWT令牌进行签名。在JWT中,签名是为了保证令牌的完整性和安全性。签名需要一个密钥来进行加密,确保只有服务器持有密钥才能验证令牌的有效性。这个方法使用指定的签名算法(此处使用HS256)和密钥(SECRET_KEY)对令牌进行签名。compact():将JWT令牌压缩成一个字符串形式。在上面的代码中,Jwts.builder()用于构建JWT令牌的各个部分,compact()方法将JWT令牌压缩成最终的字符串形式,以便返回给客户端。
综合起来,这段代码的作用是创建一个包含指定主题、签发时间和过期时间的JWT令牌,并使用指定的签名算法和密钥对令牌进行签名,最后将JWT令牌压缩成字符串形式并返回给客户端。生成的JWT令牌将包含在响应中,客户端可以在后续的请求中携带该令牌进行身份验证和授权。服务器在接收到带有JWT令牌的请求后,可以使用相同的密钥对令牌进行解析和验证,以确认令牌的合法性和有效性。
在这段代码中,我们定义了一个静态方法parseJwtToken,用于解析JWT令牌并获取其中的主题(Subject)信息。parseJwtToken方法接收一个JWT令牌(字符串形式)作为参数,并返回解析后的主题信息。
下面逐个方法来解释这段代码的含义:
Jwts.parser():创建一个JWT解析器。在jjwt库中,Jwts类的parser()方法用于创建一个JWT解析器,用于解析JWT令牌的内容。setSigningKey(SECRET_KEY):设置JWT解析器的验证密钥。在解析JWT令牌时,需要使用相同的密钥来验证令牌的签名。这个方法使用之前生成JWT令牌时使用的密钥SECRET_KEY来设置JWT解析器的验证密钥。parseClaimsJws(jwtToken):解析JWT令牌并获取Claims对象。在jjwt库中,parseClaimsJws方法用于解析JWT令牌,并返回一个Jws
综合起来,这段代码的作用是解析传入的JWT令牌,并从令牌的载荷中获取主题信息。这个主题信息通常用于标识令牌所针对的用户,服务器可以根据主题信息来验证用户身份和进行访问控制。如果JWT令牌的签名验证通过且令牌没有过期,parseJwtToken方法将返回令牌的主题信息,否则可能会抛出异常或返回null,取决于解析过程中是否出现异常。
总结: JWT的使用过程包括用户登录认证、生成JWT令牌、返回令牌给客户端、客户端携带令牌访问资源、服务器解析和验证令牌、根据令牌中的信息进行用户访问控制。JWT的无状态特性使得服务器无需保存会话信息,提高了系统的性能和可伸缩性。同时,使用合适的签名算法和保密的密钥,JWT令牌能够提供一定程度的安全性,确保令牌的完整性和安全性。
推荐链接
您阅读本篇文章共花了:
发表评论