您的位置:

JWT for Java: 详细解析与实践

一、什么是JWT

JSON Web Token(JWT)是一种用于安全传输信息的开放标准,基于 JSON 格式定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。JWT 可以被用作验证身份、信息交换的 token。

一个 JWT 由三个部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature):

{
  "alg": "HS256",
  "typ": "JWT"
}
.
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}
.
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

其中,头部和载荷都是 JSON 格式,签名是根据特定算法生成的字符串,用于验证 JWT 的可靠性。JWT 的优势在于它既可以存放认证信息,又可以存放其他的业务信息,而且用户信息都加密存储,不需要每次都从数据库中读取用户信息。

二、JWT的使用场景

下面列举了一些 JWT 的常见使用场景:

  • 用户身份验证:用户登录后服务器返回 JWT,客户端之后访问其他接口时携带 JWT 作为鉴权凭证。
  • 应用程序授权:JWT 用于应用程序内部接口的鉴权授权,例如微服务内部的接口访问。
  • 密码重置/邮箱验证等场景:发送 JWT 至用户邮箱或者手机,使用 JWT 验证用户身份并执行相应的操作。

三、实现JWT in Java

首先,我们需要添加相关依赖:

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

接下来,我们可以创建一个 JWTUtil 来处理操作 JWT:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.Date;

public class JWTUtil {

  /**
   * 根据用户信息生成 jwt
   */
  public static String generateToken(User user) {
    Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    long nowMillis = System.currentTimeMillis();
    Date now = new Date(nowMillis);

    JwtBuilder builder = Jwts.builder()
        .setId(user.getId())
        .setIssuedAt(now)
        .setSubject(user.getName())
        .setIssuer(user.getName())
        .signWith(key);

    long ttlMillis = 86400000L; //过期时间为1天
    if (ttlMillis >= 0) {
      long expMillis = nowMillis + ttlMillis;
      Date exp = new Date(expMillis);
      builder.setExpiration(exp);
    }

    return builder.compact();
  }

  /**
   * 根据 jwt 解析用户信息
   */
  public static User parseToken(String token) {
    Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    Claims claims = Jwts.parser()
        .setSigningKey(key)
        .parseClaimsJws(token)
        .getBody();

    User user = new User();
    user.setId(claims.getId());
    user.setName(claims.getSubject());

    return user;
  }
}

四、使用 JWT 进行授权认证

在使用 JWT 进行授权认证时,通常需要将 JWT 存储在客户端(如浏览器)中,这样可以在下次访问时带上 JWT,从而进行认证。下面是一个使用 JWT 进行授权认证的示例:

@GetMapping("/users/me")
public ResponseEntity currentUser(@RequestHeader(value="Authorization") String token) {
    // 从请求头中获取 JWT
    if (token.startsWith("Bearer ")) {
        token = token.substring(7);
    }

    // 验证 JWT 并获取用户信息
    User user = JWTUtil.parseToken(token);
    if (user != null) {
        return ResponseEntity.ok(user);
    }

    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}

结语

JWT 是一种非常实用的鉴权方式,它具有跨语言、解耦合等优点。在 Java 中,我们可以使用 jjwt 库来操作 JWT,可以将其用于接口鉴权、用户身份认证等场景。