1.简介
JWT(JSON Web Token)是一种用于在不同应用之间安全传输信息的开放标准(RFC 7519)。JWT通常用于Web应用程序和API中的身份验证和授权目的。
JWT由三个部分组成:头部(header)、负载(payload)和签名(signature)。头部通常包含关于令牌类型和使用的签名算法的信息。负载包含有关用户或其他传输数据的声明或陈述。这些声明可以包括用户的身份、权限和其他元数据等信息。签名用于验证令牌的完整性,确保它没有被篡改。
以下是一个JWT令牌的示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
在这个示例中,令牌由三部分组成,以点号(‘.’)分隔。第一部分是头部,第二部分是负载,第三部分是签名。每个部分都经过base64编码,但令牌本身并没有被加密。需要注意的是,JWT不应包含敏感信息,因为任何具有令牌访问权限的人都可以对其进行解码。
JWT通常在身份验证流程中使用,用户登录到Web应用程序时会发出JWT。在成功认证后,服务器会向客户端发出JWT,其中包含相关用户信息,并由服务器使用一个密钥进行签名。然后客户端在后续请求中包含这个JWT,服务器可以验证令牌的真实性并根据令牌中的声明授予对受保护资源的访问权限。
服务器可以解码JWT,使用密钥验证签名,并检查声明以确定用户是否具有访问特定资源的必要权限。如果令牌有效且用户被授权,服务器会相应地响应客户端的请求。
2.JWT的创建和校验
当在Java中实现JWT的创建和校验时,可以使用第三方库,如jjwt(Java JWT)来简化操作。以下是JWT的创建和校验的详细实现示例:
首先,您需要在项目中添加 jjwt 依赖。在 Maven 项目中,可以将以下依赖添加到 pom.xml 文件中:
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.2</version>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.2</version><scope>runtime</scope>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId><version>0.11.2</version><scope>runtime</scope>
</dependency>创建JWT的示例代码如下:
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;import java.util.Date;public class JwtUtil {private static final String SECRET_KEY = "your-secret-key";private static final long EXPIRATION_TIME = 3600000; // 1 hour/*** 创建JWT** @param userId 用户ID* @param role 用户角色* @return JWT字符串*/public static String generateToken(String userId, String role) {Date now = new Date();Date expiration = new Date(now.getTime() + EXPIRATION_TIME);// 构建JWT并返回JWT字符串return Jwts.builder().setSubject(userId) // 设置JWT的主题(Subject).claim("role", role) // 添加自定义声明(Claim).setIssuedAt(now) // 设置JWT的签发时间(Issued At).setExpiration(expiration) // 设置JWT的过期时间.signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 使用HS256算法和密钥对JWT进行签名.compact(); // 生成JWT字符串}
}在上述示例中,我们使用io.jsonwebtoken.Jwts类创建JWT。我们指定了主题(subject)、声明(claim)、发行时间(issuedAt)和过期时间(expiration)。然后,我们使用signWith方法使用秘钥(密钥)和所选的签名算法对JWT进行签名。
接下来,让我们看一下如何校验JWT的示例代码:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;public class JwtUtil {private static final String SECRET_KEY = "your-secret-key";/*** 校验JWT的有效性** @param jwt JWT字符串* @return 校验结果,true表示有效,false表示无效*/public static boolean validateToken(String jwt) {try {Jws<Claims> claims = Jwts.parserBuilder().setSigningKey(SECRET_KEY) // 设置用于校验签名的密钥.build().parseClaimsJws(jwt); // 解析JWT并获取包含声明的Jws对象// 校验通过return true;} catch (Exception e) {// 校验失败e.printStackTrace();return false;}}
}在上述示例中,我们使用io.jsonwebtoken.Jwts类的parserBuilder方法创建一个JWT解析器,并使用给定的秘钥进行解析和验证。如果JWT有效且签名正确,解析过程将不会抛出异常。
需要注意的是,在实际应用中,为了更好的安全性,建议使用更长的和随机的秘钥,并妥善保管秘钥,不要将其直接硬编码在代码中。
3. JWT登录权限案例
下面是一个使用 Java JWT(JSON Web Token)实现登录权限的详细案例。
首先,需要确保已经在项目中添加了适当的依赖项,以使用 JWT。常用的 JWT 库有 jjwt 和 Nimbus-JOSE-JWT,你可以根据自己的喜好选择其中之一。
创建一个 JwtUtil 类,用于生成和验证 JWT。
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;import java.security.Key;
import java.util.Date;public class JwtUtil {private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);private static final long EXPIRATION_TIME = 86400000; // 24 小时/*** 生成 JWT** @param username 用户名* @return JWT*/public static String generateToken(String username) {Date now = new Date();Date expirationDate = new Date(now.getTime() + EXPIRATION_TIME);return Jwts.builder().setSubject(username).setIssuedAt(now).setExpiration(expirationDate).signWith(SECRET_KEY).compact();}/*** 从 JWT 中提取用户名** @param token JWT* @return 用户名*/public static String getUsernameFromToken(String token) {Claims claims = Jwts.parserBuilder().setSigningKey(SECRET_KEY).build().parseClaimsJws(token).getBody();return claims.getSubject();}/*** 验证 JWT 的有效性** @param token JWT* @return 验证结果,true 表示有效,false 表示无效*/public static boolean validateToken(String token) {try {Jwts.parserBuilder().setSigningKey(SECRET_KEY).build().parseClaimsJws(token);return true;} catch (Exception e) {return false;}}
}创建一个简单的登录接口 LoginController,用于生成 JWT:
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;@RestController
public class LoginController {@PostMapping("/login")public String login(@RequestBody LoginRequest loginRequest) {// 根据用户名和密码验证用户if (authenticate(loginRequest.getUsername(), loginRequest.getPassword())) {// 生成 JWTString token = JwtUtil.generateToken(loginRequest.getUsername());return token;} else {return "Invalid credentials.";}}private boolean authenticate(String username, String password) {// 在这里编写你的身份验证逻辑// 可以通过查询数据库、调用外部认证服务等方式进行验证// 这里只是一个简单的示例,模拟用户名为 "admin",密码为 "password" 的用户进行验证if ("admin".equals(username) && "password".equals(password)) {return true;} else {return false;}}
}创建一个受保护的接口 ProtectedController,只允许授权用户访问:
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RestController;@RestController
public class ProtectedController {@GetMapping("/protected")public String protectedEndpoint(@RequestHeader("Authorization") String authorizationHeader) {String token = authorizationHeader.replace("Bearer ", "");if (JwtUtil.validateToken(token)) {String username = JwtUtil.getUsernameFromToken(token);return "Hello, " + username + "! This is a protected endpoint.";} else {return "Invalid token.";}}
}在上述代码中,JwtUtil 类提供了生成和验证 JWT 的方法。generateToken 方法根据给定的用户名生成 JWT,getUsernameFromToken 方法从给定的 JWT 中提取用户名,validateToken 方法验证 JWT 的有效性。
LoginController 的 login 方法接收用户名和密码,调用 authenticate 方法进行身份验证。如果验证通过,则使用 JwtUtil.generateToken 方法生成 JWT,并将其返回给客户端。
ProtectedController 的 protectedEndpoint 方法
