一、什么是JWT
JSON Web Token(JWT)是一种用于安全传输信息的开放标准,基于 JSON 格式定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。JWT 可以被用作验证身份、信息交换的 token。
一个 JWT 由三个部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature):
{ "alg": "HS256", "typ": "JWT" } . { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } . HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
其中,头部和载荷都是 JSON 格式,签名是根据特定算法生成的字符串,用于验证 JWT 的可靠性。JWT 的优势在于它既可以存放认证信息,又可以存放其他的业务信息,而且用户信息都加密存储,不需要每次都从数据库中读取用户信息。
二、JWT的使用场景
下面列举了一些 JWT 的常见使用场景:
- 用户身份验证:用户登录后服务器返回 JWT,客户端之后访问其他接口时携带 JWT 作为鉴权凭证。
- 应用程序授权:JWT 用于应用程序内部接口的鉴权授权,例如微服务内部的接口访问。
- 密码重置/邮箱验证等场景:发送 JWT 至用户邮箱或者手机,使用 JWT 验证用户身份并执行相应的操作。
三、实现JWT in Java
首先,我们需要添加相关依赖:
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency>
接下来,我们可以创建一个 JWTUtil 来处理操作 JWT:
import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JWTUtil { /** * 根据用户信息生成 jwt */ public static String generateToken(User user) { Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); JwtBuilder builder = Jwts.builder() .setId(user.getId()) .setIssuedAt(now) .setSubject(user.getName()) .setIssuer(user.getName()) .signWith(key); long ttlMillis = 86400000L; //过期时间为1天 if (ttlMillis >= 0) { long expMillis = nowMillis + ttlMillis; Date exp = new Date(expMillis); builder.setExpiration(exp); } return builder.compact(); } /** * 根据 jwt 解析用户信息 */ public static User parseToken(String token) { Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); Claims claims = Jwts.parser() .setSigningKey(key) .parseClaimsJws(token) .getBody(); User user = new User(); user.setId(claims.getId()); user.setName(claims.getSubject()); return user; } }
四、使用 JWT 进行授权认证
在使用 JWT 进行授权认证时,通常需要将 JWT 存储在客户端(如浏览器)中,这样可以在下次访问时带上 JWT,从而进行认证。下面是一个使用 JWT 进行授权认证的示例:
@GetMapping("/users/me") public ResponseEntity currentUser(@RequestHeader(value="Authorization") String token) { // 从请求头中获取 JWT if (token.startsWith("Bearer ")) { token = token.substring(7); } // 验证 JWT 并获取用户信息 User user = JWTUtil.parseToken(token); if (user != null) { return ResponseEntity.ok(user); } return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); }
结语
JWT 是一种非常实用的鉴权方式,它具有跨语言、解耦合等优点。在 Java 中,我们可以使用 jjwt 库来操作 JWT,可以将其用于接口鉴权、用户身份认证等场景。