什么是JWT
JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。JWT 通常用于在身份提供者和服务提供者之间传输有关用户身份和其他信息的声明。JWT 的主要优势在于它的无状态性和可扩展性,这使得它在分布式系统和微服务架构中非常有用。
JWT 的组成部分
JWT 通常由三个部分组成,这三部分之间用点(.)分隔:
- Header(头部) :包含令牌的元数据,主要是声明了所使用的签名算法(如 HMAC SHA256 或 RSA)。
- Payload(负载) :包含声明(Claims)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型:注册的、公共的和私有的。
- Signature(签名) :是对前两部分的签名,以防止数据被篡改。签名需要使用编码的 Header 中的指定算法以及一个密钥来完成。
JWT 代码示例
以下是使用 Java JWT 的详细步骤,包括生成、验证和解码 JWT 的示例代码:
添加依赖项
首先,你需要在你的项目中添加 com.auth0:java-jwt 依赖项。你可以使用 Maven 或 Gradle:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version> <!-- 使用时请检查最新版本 -->
</dependency>
生成 JWT
使用 JWT.create() 方法创建 JWT 对象,然后设置所需的 claims(声明),包括:
- Issuer (iss): 发行 JWT 的实体。
- Subject (sub): JWT 所代表的主题。
- Audience (aud): 接收 JWT 的目标实体。
- Expiration Time (exp): JWT 过期的时间戳。
- Issued At (iat): JWT 发行的时间戳。
- Custom Claims: 任何你想要添加到 JWT 的其他数据。
最后,使用 sign(Algorithm) 方法使用密钥对 JWT 进行签名。
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtGenerate {
private static final String SECRET = "your_secret_key"; // 替换为你的密钥
public static void main(String[] args) {
String token = generateToken("john.doe", "admin");
System.out.println("生成的 Token: " + token);
}
public static String generateToken(String username, String role) {
try {
Algorithm algorithm = Algorithm.HMAC256(SECRET);
Date now = new Date();
Date expirationDate = new Date(now.getTime() + 1000 * 60 * 60 * 24); // 24 小时
Map<String, Object> claims = new HashMap<>();
claims.put("username", username);
claims.put("role", role);
return JWT.create()
.withIssuer("your_issuer")
.withIssuedAt(now)
.withExpiresAt(expirationDate)
.withClaim("username", username)
.withClaim("role", role)
.sign(algorithm);
} catch (Exception e) {
System.err.println("生成 Token 时出错: " + e.getMessage());
return null;
}
}
}
验证JWT
使用 JWT.require() 方法创建 JWTVerifier 对象,设置密钥和验证规则,然后使用 verify(token) 方法验证 JWT。
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
public class JwtVerify {
private static final String SECRET = "your_secret_key"; // 替换为你的密钥
public static void main(String[] args) {
String token = generateToken("john.doe", "admin"); // 生成一个示例 Token
boolean isValid = verifyToken(token);
System.out.println("Token 有效性: " + isValid);
}
public static boolean verifyToken(String token) {
try {
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWTVerifier verifier = JWT.require(algorithm)
.withIssuer("your_issuer") // 设置发行者
.build();
DecodedJWT jwt = verifier.verify(token);
// 获取 claims
String username = jwt.getClaim("username").asString();
String role = jwt.getClaim("role").asString();
System.out.println("用户名: " + username);
System.out.println("角色: " + role);
return true;
} catch (Exception e) {
System.err.println("验证 Token 时出错: " + e.getMessage());
return false;
}
}
// 生成 Token 的方法,与之前代码一致
public static String generateToken(String username, String role) {
// ...
}
}
解码 JWT
验证 JWT 后,你可以使用 DecodedJWT 对象访问 JWT 的 claims(声明)。
DecodedJWT jwt = verifier.verify(token);
// 获取 claims
String username = jwt.getClaim("username").asString();
String role = jwt.getClaim("role").asString();
System.out.println("用户名: " + username);
System.out.println("角色: " + role);
其他要点
- 密钥管理: 确保你的密钥安全存储和管理。
- 过期时间: 设置合理的过期时间,以控制 JWT 的有效期。
- 安全规则: 根据你的应用程序的安全性需求,设置相应的验证规则,例如:
- 检查发行者(issuer)。
- 检查受众(audience)。
- 检查签名算法。
- 检查过期时间。
- 错误处理: 添加适当的错误处理机制来处理 JWT 验证失败的情况。
