Java的JWT(JavaWebToken)是一种安全有效的身份验证策略,主要使用JSON和签名机制来确保信息在传输过程中的安全。
一、JWT的基本结构
JWT主要包括三个部分:头部(Header),有效载荷(Payload),签名(Signature)。每个部分都通过'.'JWT字符串连接在一起形成。
Header header = Jwts.header();header.setType("JWT");header.setAlgorithm("HS256");
有效载荷(Payload)包含一些行为信息。一般来说,它包含一些用户的非敏感信息,以及一些其他信息,如token的发布时间、过期时间等。
Claims claims = Jwts.claims();claims.setSubject("user");claims.setIssuedAt(new Date());
签名(Signature)对前两部分进行加密,以确保token在传输过程中不会被篡改。
String jwt = Jwts.builder() .setHeader((Map) header) .setClaims(claims) .signWith(SignatureAlgorithm.HS256, "secret-key") .compact();
二、JWT的工作流程
首先,服务器生成JWT用户信息、一些元数据和密钥,并将其发送给客户端。然后,客户端将存储此代码。每当客户端要求服务器资源时,都需要携带此代码。服务器通过检查此代码来验证请求是否合法。
// 生成JWTString jwt = Jwts.builder() .setHeader((Map) header) .setClaims(claims) .signWith(SignatureAlgorithm.HS256, "secret-key") .compact();// 验证JWTJws<Claims> jws = Jwts.parser() .setSigningKey("secret-key") .parseClaimsJws(jwt);
三、JWT在Java中的实现
JJWT库可用于在Java中生成和验证JWT。
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version></dependency>
然后就可以通过Jwts.builder()等方法生成JWT,通过Jwts.parser().setSigningKey(key).parseClaimsJws(jwt)等方法来校验JWT。
// 生成JWTString jwt = Jwts.builder() .setHeader((Map) header) .setClaims(claims) .signWith(SignatureAlgorithm.HS256, "secret-key") .compact(); // 验证JWTJws<Claims> jws = Jwts.parser() .setSigningKey("secret-key") .parseClaimsJws(jwt);
