简单讲解JWT身份验证工作原理
最编程
2024-07-28 12:32:29
...
JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安全地传输声明。JWT 是一个开放标准,它定义了一种紧凑且自包含的方式,用于将信息作为 JSON 对象传输,该对象可以验证和信任,因为它是数字签名的。
JWT 由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature):
- Header:由两部分组成,分别是令牌类型和签名算法类型,一般为{"alg":"HS256","typ":"JWT"};
- Payload:即负载,是存放实际需要传输的信息的地方,一般为 {"sub":"1234567890","name":"John Doe","iat":1516239022};
- Signature:是由头部和负载进行加密生成的,用来验证 JWT 是否合法的字符串。
JWT 认证的过程如下:
-
用户登录,服务器验证用户名和密码是否正确。
-
服务器将用户信息写入 Payload 中,生成 JWT。
-
服务器将 JWT 返回给客户端,客户端收到后存储在本地。
-
客户端后续请求带上 JWT,服务器接收到请求后从 JWT 中获取用户信息并进行权限校验。
-
服务器返回响应数据给客户端。
在 Java 中,我们一般使用第三方库来实现 JWT 认证,比如 jjwt、Auth0 的 Java JWT 和 Nimbus JOSE+JWT 等。
下面是一个使用 jjwt 库实现 JWT 认证的示例:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtil {
// 密钥
private static final String SECRET_KEY = "your_secret_key";
// 过期时间,单位毫秒
private static final long EXPIRATION_TIME = 864_000_000;
// 创建 JWT
public static String createJwt(String subject) {
return Jwts.builder()
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
.setSubject(subject)
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
// 验证 JWT 的合法性
public static boolean validateJwt(String jwt) {
try {
Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(jwt).getBody();
return claims.getExpiration().after(new Date());
} catch (Exception e) {
return false;
}
}
// 获取 JWT 中的信息
public static String getSubjectFromJwt(String jwt) {
Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(jwt).getBody();
return claims.getSubject();
}
}
在上面的示例中,我们实现了三个方法:
- createJwt:用于生成 JWT,参数为用户信息;
- validateJwt:用于验证 JWT 是否合法,参数为 JWT;
- getSubjectFromJwt:用于从 JWT 中获取用户信息,参数为 JWT。
以上就是 Java 中使用 jjwt 库实现 JWT 认证的详细介绍。
上一篇: JWT认证