JWT(JSON Web Tokens)入门与Java实践

2024-01-04 00:20

本文主要是介绍JWT(JSON Web Tokens)入门与Java实践,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、JWT简介

在现代Web应用中,身份验证和授权是确保系统安全性的关键环节。JSON Web Tokens(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络之间安全地传输信息。JWT可以被用作身份验证和授权的一种手段,允许双方之间安全地交换信息。

二、JWT的组成

JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名),这三部分通过点(.)分隔。

  1. Header(头部):通常包含两部分信息:令牌的类型(即JWT)和使用的签名算法,例如HMAC SHA256或RSA。这些信息以JSON形式表示,并被Base64Url编码。

示例:

{"alg": "HS256","typ": "JWT"
}
  1. Payload(负载):包含了一些声明(Claims),这些声明是关于实体(通常是用户)和附加的元数据。标准中定义了三种类型的声明:Registered、Public和Private claims。Registered claims是一组预定义好的声明,如iss(签发者)、exp(过期时间)等。负载信息也是JSON格式,同样被Base64Url编码。

示例:

{"sub": "user123","admin": true,"exp": 1516239022
}
  1. Signature(签名):签名部分用于验证消息的完整性和真实性。它是通过将Header和Payload部分使用Header中指定的算法加上一个密钥进行签名得到的。签名可以防止JWT在传输过程中被篡改。

三、JWT的工作流程

  1. 用户使用用户名和密码向服务器发送登录请求。
  2. 服务器验证用户信息,如果验证通过,则根据用户信息生成一个JWT,并将其返回给客户端。
  3. 客户端收到JWT后,可以将其存储在localStorage、cookie或其他客户端存储中,以便后续请求使用。
  4. 在之后的每次请求中,客户端需要将JWT放在HTTP请求头中的Authorization字段里发送给服务器。通常,这是通过在Authorization字段中添加“Bearer ”前缀来实现的,如“Authorization: Bearer ”。
  5. 服务器接收到请求后,会验证JWT的有效性和完整性。如果验证通过,则服务器会处理该请求;否则,服务器会返回错误响应。

四、Java中使用JWT

在Java中,有多个库可以帮助我们处理JWT,比如jjwt。下面是一个简单的例子,展示如何使用Java生成和验证JWT。

  1. 添加依赖

首先,你需要在项目的pom.xml中添加jjwt库的依赖(如果你使用的是Maven):

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version> <!-- 请检查是否有更新的版本 -->
</dependency>
  1. 生成JWT

下面是一个简单的Java方法,用于生成JWT:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;public class JwtUtil {private static final String SECRET_KEY = "yourSecretKey"; // 密钥,应该保存在安全的地方,不要硬编码在代码中private static final long EXPIRATION_TIME = 604800L; // 过期时间,这里设置为一周(单位为秒)public static String createToken(String userId) {Map<String, Object> claims = new HashMap<>();claims.put("user_id", userId);return Jwts.builder().setClaims(claims).setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME * 1000)).signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();}
}
  1. 验证JWT

验证JWT的方法如下所示:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import java.lang.reflect.Method;public class JwtUtil {// ... 其他方法 ...public static void verifyToken(String token) throws Exception {Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();// 可以从这里获取存储在JWT中的信息,如用户ID等String userId = claims.get("user_id", String.class);System.out.println("User ID from token: " + userId);// 还可以检查token是否过期等其他验证逻辑...}
}

在实际应用中,你可能还需要处理一些异常情况,比如token过期、签名不匹配等。Jwts.parser().parseClaimsJws(token)方法会抛出异常,如果token无效或已过期。因此,在实际使用时,你应该将验证逻辑放在try-catch块中,并相应地处理这些异常。

五、安全性考虑

  • 使用HTTPS来传输JWT,以防止中间人攻击。
  • 不要在JWT中存储敏感信息,因为它们是可以被解码的(尽管它们是被签名的)。
  • 为JWT设置一个合理的过期时间,以防止旧token被长时间使用。
  • 定期更换签名密钥,以增加系统的安全性。
  • 使用安全的存储方式来保存签名密钥,不要将其硬编码在代码中或公开存储。
  • 在服务器端验证JWT时,确保验证其完整性和有效期,并对任何异常情况进行适当处理。

六、总结
本文介绍了JWT的基本概念、组成和工作流程,并提供了Java中使用JWT的示例代码。通过生成和验证JWT,你可以在Web应用中实现安全的身份验证和授权。在使用JWT时,请务必注意安全性考虑,并采取适当的措施来保护系统的安全。

这篇关于JWT(JSON Web Tokens)入门与Java实践的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/567560

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听