一、JWT工具类详解
JSON Web Token (JWT) 工具类是一种基于 JSON 格式的轻量级的传输安全的工具,用于在不同应用之间安全地传递信息。它主要由三个部分组成:头部(header),载荷(payload),签名(signature)。在实际使用中,JWT 工具类主要负责 token 的生成和验证。
下面是一个简单的 JWT 工具类生成 token 的代码示例:
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtils { private static final String SECRET_KEY = "mySecretKey"; public static String generateToken(String username) { long currentTimeMillis = System.currentTimeMillis(); Date currentDate = new Date(currentTimeMillis); Date expirationDate = new Date(currentTimeMillis + 1000 * 60 * 60 * 24); // 1 day String token = Jwts.builder() .setSubject(username) .setIssuedAt(currentDate) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); return token; } }
在这个示例中,我们使用 io.jsonwebtoken 库,定义了一个 generateToken 方法,用于生成一个包含指定 username 的 token。代码中的 SECRET_KEY 是用于签名的密钥,可以根据实际需求设置。
二、JWT解码工具
当我们接收到一个 token 时,我们需要解码它才能得到其中的信息。这时候就需要使用 JWT 解码工具了。接下来的示例展示了如何使用 io.jsonwebtoken 库对 token 进行解码:
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; public class JwtUtils { private static final String SECRET_KEY = "mySecretKey"; // generateToken() implementation public static String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); String username = claims.getSubject(); return username; } }
在上面的示例中,我们定义了一个 getUsernameFromToken 方法,用于从指定的 token 中获取 username。需要注意的是,解码方法要使用与生成 token 相同的密钥(SECRET_KEY)。parseClaimsJws() 方法可以用于解码 token,并且验证其签名是否正确。
三、JWT工具包
虽然我们可以手动编写一些简单的方法来生成、解码或验证 token,但是这些方法可能存在漏洞,并且不方便使用。为了避免这些问题,我们可以使用一些现成的 JWT 工具包,例如 jjwt、java-jwt、auth0-java-jwt 等。
下面是一个使用 jjwt 库生成、解码和验证 token 的示例:
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtils { private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256); // generateToken() implementation public static JwsparseToken(String token) { Jws jws = Jwts.parserBuilder() .setSigningKey(SECRET_KEY) .build() .parseClaimsJws(token); return jws; } }
在这个示例中,我们使用了 jjwt 库,定义了 generateToken 和 parseToken 方法。generateToken 方法用于生成 token,与之前的方法相似;parseToken 方法用于解码和验证 token,返回一个包含 Claims 的 Jws 对象。
四、JWT工具箱
JWT 工具箱是一个在命令行中使用的 JWT 工具集。它可以用于生成、解码和验证 token,为我们在开发过程中提供了方便。下面是一个使用 java-jwt-toolbox 工具箱生成 token 的示例:
java -jar java-jwt-toolbox.jar \ encrypt --key mySecretKey \ --header "alg:HS512" \ --payload "{\"sub\":\"username\"}"
在这个示例中,我们使用 java-jwt-toolbox 工具箱,使用 encrypt 命令生成一个包含 username 的 HS512 加密的 token。--key 参数用于指定签名的密钥,--header 参数用于指定头部信息,--payload 指定载荷信息。
五、JWT解析工具
除了在代码中解析 token,我们还可以使用一些在线的 JWT 解析工具,方便我们在调试阶段查看 token 中包含的信息。下面是一个使用 jwt.io 网站解析 token 的示例:
首先复制要解析的 token 到网站的 Decoder 栏中,就可以在 Payload 栏中查看其包含的信息了。
六、JWT工具加解密
有时候我们需要在 token 中包含一些敏感信息,为了保障安全,我们需要对其进行加密。下面是一个使用 Auth0 的 JWT 工具加解密的示例:
import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; public class JwtUtils { private static final String SECRET_KEY = "mySecretKey"; // generateToken() implementation public static String encryptToken(String token) { Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); String encryptedToken = JWT.require(algorithm) .withClaim("token", token) .sign(algorithm); return encryptedToken; } public static String decryptToken(String encryptedToken) { Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); DecodedJWT decodedJWT = JWT.require(algorithm) .build() .verify(encryptedToken); String token = decodedJWT.getClaim("token").asString(); return token; } }
在这个示例中,我们使用了 Auth0 的 jwt 库,实现了 encryptToken 和 decryptToken 方法。encryptToken 方法用于对指定的 token 进行加密,而 decryptToken 方法则用于解密加密后的 token。
七、JWT工具类生成、验证token
下面是一个使用 auth0-java-jwt 库生成、验证 token 的示例:
import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; public class JwtUtils { private static final String SECRET_KEY = "mySecretKey"; public static String generateToken(String username) { Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); String token = JWT.create() .withSubject(username) .sign(algorithm); return token; } public static boolean verifyToken(String token, String username) { try { Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); JWT.require(algorithm) .withSubject(username) .build() .verify(token); return true; } catch (Exception e) { return false; } } }
在这个示例中,我们使用了 auth0-java-jwt 库,定义了 generateToken 和 verifyToken 方法。generateToken 方法用于生成 token,verifyToken 方法用于验证 token 是否合法。