关于使用Java-JWT的笔记

Token的组成规则

一个token分三部分，按顺序为：头部（header)，载荷（payload)，签证（signature) 由三部分生成token ，三部分之间用“.”号做分隔。

例如：“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhdXRoMCJ9.MT8JrEvIB69bH5W9RUR2ap-H3e69fM7LEQCiZF-7FbI”。

1. 头部：Jwt的头部承载两部分信息，声明类型（例如：typ=jwt）和 加密算法（例如 ： alg=HS526）
2. 载荷：载荷存放有效的信息，分为两种：① 标准中注册的声明的数据部分 ② 自定义数据部分。这两部分使用base64加密，然后存入到JWT的claim中 （使用withClaim(“key”:“value”)）。

标准载荷：

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间，这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前，该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

自定义载荷：自定义载荷就是将自己需要的一些 key=>value数据放入到载荷中.

// 下面的 name=>zhangsan , role=>admin 就是自定义载荷数据
String token = JWT.create()
                .withIssuer("auth0")  // issuer 签发者
                .withExpiresAt(new Date(System.currentTimeMillis()+7200*1000)) // token过期时间 2H
                .withClaim("name","zhangsan") // 自定义存储的数据
                .withClaim("role","admin")
                .sign(Algorithm.HMAC256("secret")); // token加签加密

1. 签证（计算过程）：HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload), signature) ，即需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加密钥secret组合加密，然后就构成了jwt的第三部分。

导入POM依赖

 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>4.4.0</version>
 </dependency>

生成token

我的这个例子就通过普通的maven项目来生成token，并不从web项目方面构建，但原理是一致的。

/**
 * 生成token
 * @return
 */
public static String genToken(){
   
    try {
   
        Algorithm algorithm = Algorithm.HMAC256("secret"); // 使用HMAC256加密算法
        String token = JWT.create()
                .withIssuer("auth0")  // issuer 签发者
                .withIssuedAt(new Date(System.currentTimeMillis()))
                .withExpiresAt(new Date(System.currentTimeMillis()+7200*1000)) // token过期时间 2H
                .withAudience("app") // 校验jwt的一方
                .withClaim("name","zhangsan") // 自定义存储的数据
                .withClaim("role","admin")
                .sign(algorithm); // token加签加密
        return token;
    } catch (JWTCreationException exception){
   
        return "";
    }
}

在生成token的方法中，设置了issuer签发者，签发时间，token过期时间，校验token方，以及一些自定义数据载荷，签证加密算法使用 HMAC256。

① 签发时间必须小于过期时间
② 签发时间和过期时间都是使用秒来计算
③ 载荷都可以通过 withClaim 方法来添加，同时JWT也提供了标准载荷的方法，功能是一样的

验证token

/**
 * 校验token是否正确
 * @param token
 * @return
 */
public static DecodedJWT verifyToken(String token){
   
    return  JWT.require(Algorithm.HMAC256("secret")).build().verify(token);
}

/**
 * 校验token，捕获异常并返回错误信息
 * @param token
 * @return
 */
public static String  checkToken(String token){
   
   try {
   
       verifyToken(token);
       return "token正确";
   }catch (SignatureVerificationException e){
   
       return "无效签名";
   }catch (TokenExpiredException e){
   
       return "token过期";
   }catch (AlgorithmMismatchException e){
   
       return "token算法不一致";
   }catch (Exception e){
   
       return "token无效";
   }
}

完整代码

package jwt_test;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.*;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;

/**
 * 使用 java-jwt 生成token 以及 token 验证
 */
public class JwtUtils {
   


    /*
    token: header(头部) + payload(载荷) + signature(签名)
    载荷就是存放有效信息的地方。基本上填2种类型数据
        -标准中注册的声明的数据
        -自定义数据
    (1) eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
    (2) eyJpc3MiOiJhdXRoMCJ9.
    (3) MT8JrEvIB69bH5W9RUR2ap-H3e69fM7LEQCiZF-7FbI
     */

    /**
     * 生成token
     * @return
     */
    public static String genToken(){
   
        try {
   
            Algorithm algorithm = Algorithm.HMAC256("secret"); // 使用HMAC256加密算法
            String token = JWT.create()
                    .withIssuer("auth0")  // issuer 签发者
                    .withIssuedAt(new Date(System.currentTimeMillis()))
                    .withExpiresAt(new Date(System.currentTimeMillis()+7200*1000)) // token过期时间 2H
                    .withAudience("app") // 校验jwt的一方
                    .withClaim("name","zhangsan") // 自定义存储的数据
                    .withClaim("role","admin")
                    .sign(algorithm); // token加签加密
            return token;
        } catch (JWTCreationException exception){
   
            // Invalid Signing configuration / Couldn't convert Claims.
            return "";
        }
    }


    /**
     * 校验token，捕获异常并返回错误信息
     * @param token
     * @return
     */
    public static String  checkToken(String token){
   
       try {
   
           verifyToken(token);
           return "token正确";
       }catch (SignatureVerificationException e){
   
           return "无效签名";
       }catch (TokenExpiredException e){
   
           return "token过期";
       }catch (AlgorithmMismatchException e){
   
           return "token算法不一致";
       }catch (Exception e){
   
           return "token无效";
       }
    }


    /**
     * 校验token是否正确
     * @param token
     * @return
     */
    public static DecodedJWT verifyToken(String token){
   
        return  JWT.require(Algorithm.HMAC256("secret")).build().verify(token);
    }

    public static void main(String[] args) {
   
        String token = genToken();
        System.out.println(token);
        String res = checkToken(token);
        System.out.println(res);
    }
}

Token解析测试

https://config.net.cn/tools/Jwt.html

[说明]
 iss: jwt签发者.    
 sub: jwt针对的用户
 aud: 校验jwt的一方
 exp: jwt的过期时间，过期时间需大于签发时间
 nbf: 定义在什么时间之前该jwt是不可用的.
 iat: jwt的签发时间
 jti: jwt的唯一身份标识，作一次性token,防重放攻击。