JWT（JSON WEB TOKEN）详解

本文主要是介绍JWT（JSON WEB TOKEN）详解，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

JWT（JSON WEB TOKEN）详解

文章目录

JWT（JSON WEB TOKEN）详解
- 一、定义
- 二、TOKNE的理解
- 三、JWT的结构
- - - 头部信息
    - 载荷
    - 签名
- 四、JWT的使用
- - - 1. 添加依赖
    - 2. 生成JWT
    - 3. 解析JWT

一、定义

在Java中，JWT（JSON Web Token）是一种用于安全地在客户端和服务器之间传输信息的紧凑、独立的令牌。JWT通常用于认证和授权场景，特别是在无状态的Web应用程序中。

理解：JWT实际上就是令牌的一种生成策略

二、TOKNE的理解

我们做前后分离的项目的时候一般情况下我们的前端登陆之后后台会给前端返回一个令牌。

这个令牌就叫token。

当登陆之后要访问其他资源的时候我们每一次都会携带这个token去进行身份认证如果是认证成功那么就允许访问资源如果认证不成功那么就不允许访问资源。

简单的说就是令牌的一种生成策略

token不要以为他有多高深实际上这个token就是一个字符串

只不过这个字符串拥有一定的生成格式（结构）

三、JWT的结构

Header（头部）：通常包含令牌类型和签名算法的声明。
Payload（载荷）：包含声明（claims），即实际传输的信息。常见的声明包括用户ID、角色、权限等。
Signature（签名）：用于验证消息在传输过程中没有被篡改。签名是通过对头部和负载部分进行编码并使用特定的算法（如HMAC SHA256）进行加密生成的。

最终的JWT的样式：

头信息.载荷.签名

样式示例：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

头部信息

{"alg": "HS256","typ": "JWT"
}

第一部分是如何生成的呢?

上述的JSON格式字符进行base64编码形成第一部分

载荷

{"sub": "1234567890",// 注册声明"name": "John Doe",// 公共声明"admin": true // 私有声明
}

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间，这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前，该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击

第二部分是用来存放业务数据的(用户名用户id) 就存储到第二部分

第二部分的JSON格式进行Base64编码 形成第二部分

签名

第一部分+“.”+“第二部分”+密钥进行HS256的算法 生成第三部分

四、JWT的使用

在Java中，常见的库如 jjwt（Java JWT）可以用于生成和解析JWT。

1. 添加依赖

如果使用Maven，可以在pom.xml中添加如下依赖：

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.5</version>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.5</version><scope>runtime</scope>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId><version>0.11.5</version><scope>runtime</scope>
</dependency>

2. 生成JWT

使用jjwt库生成JWT的示例代码如下：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;public class JwtExample {private static final String SECRET_KEY = "mySecretKey";public static void main(String[] args) {String jwt = Jwts.builder().setSubject("1234567890").setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + 86400000))  // 1 day expiration.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();System.out.println("Generated JWT: " + jwt);}
}

3. 解析JWT

解析JWT并提取其中的信息：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;public class JwtExample {private static final String SECRET_KEY = "mySecretKey";public static void main(String[] args) {String jwt = "your.jwt.token.here";Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(jwt).getBody();System.out.println("Subject: " + claims.getSubject());System.out.println("Issued at: " + claims.getIssuedAt());System.out.println("Expiration: " + claims.getExpiration());}
}