在JSON Web Token(JWT)原理和用法介紹中,我們了解了JSON Web Token的原理和用法的基本介紹。本文我們着重講一下其使用的步驟:
一、JWT基本使用
Gradle下依賴 :
compile \'com.auth0:java-jwt:3.4.0\' 示例介紹:
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
public class Test {
/**
* APP登入Token的生成和解析
*/
/** token秘鑰,請勿洩露,請勿随便修改 backups:JKKLJOoasdlfj */
public static final String SECRET = "JKKLJOoasdlfj";
/** token 過期時間: 10天 */
public static final int calendarField = Calendar.DATE;
public static final int calendarInterval = 10;
/**
* JWT生成Token.<br/>
*
* JWT構成: header, payload, signature
*
* @param user_id 登入成功後使用者user_id, 參數user_id不可傳空
*/
public static String createToken(Long user_id) throws Exception {
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField, calendarInterval);
Date expiresDate = nowTime.getTime();
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
// build token
// param backups {iss:Service, aud:APP}
String token = JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
.sign(Algorithm.HMAC256(SECRET)); // signature
return token;
}
/**
* 解密Token
*
* @param token
* @return
* @throws Exception
*/
public static Map<String, Claim> verifyToken(String token) {
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
jwt = verifier.verify(token);
} catch (Exception e) {
// e.printStackTrace();
// token 校驗失敗, 抛出Token驗證非法異常
}
return jwt.getClaims();
}
/**
* 根據Token擷取user_id
*
* @param token
* @return user_id
*/
public static Long getAppUID(String token) {
Map<String, Claim> claims = verifyToken(token);
Claim user_id_claim = claims.get("user_id");
if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
// token 校驗失敗, 抛出Token驗證非法異常
}
return Long.valueOf(user_id_claim.asString());
}
} 最終存放的資料在JWT内部的實體claims裡。它是存放資料的地方。
二、概念介紹
1. JWT消息構成
一個token分3部分,按順序為
頭部(header)
其為載荷(payload)
簽證(signature)
由三部分生成token
3部分之間用“.”号做分隔。例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c 2. 頭部
Jwt的頭部承載兩部分資訊:
- 聲明類型,這裡是 jwt。
- 聲明加密的算法,通常直接使用 HMAC SHA256。
(注:算法可以有多種選擇,這裡不再贅述)
使用代碼如下
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT"); 3. playload
載荷就是存放有效資訊的地方,基本上填2種類型資料:
- 标準中注冊的聲明的資料
- 自定義資料
由這2部分内部做base64加密。最張資料進入JWT的chaims裡存放。
4. 标準中注冊的聲明 (建議但不強制使用)
iss: jwt簽發者
sub: jwt所面向的使用者
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大于簽發時間
nbf: 定義在什麼時間之前,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份辨別,主要用來作為一次性token,進而回避重播攻擊。 使用方法:
JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP")
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time 5. 自定義資料
這個就比較簡單,存放我們想放在token中存放的key-value值
使用方法:
JWT.create().withHeader(map) // header
.withClaim("name", "cy") // payload
.withClaim("user_id", "11222"); 6. 簽名signature
jwt的第三部分是一個簽證資訊,這個簽證資訊算法如下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
這個部分需要base64加密後的header和base64加密後的payload使用.連接配接組成的字元串,然後通過header中聲明的加密方式進行加鹽secret組合加密,然後就構成了jwt的第三部分。
基本上至此,JWT的API相關知識已經學完了,但是API不夠有好,不停的用withClaim放資料。不夠友好。下面推薦一款架構,相當于對JWT的實作架構
三、JJWT
它是為了更友好在JVM上使用JWT,是基本于JWT, JWS, JWE, JWK架構的Java實作。
Gradle:
dependencies {
compile \'io.jsonwebtoken:jjwt:0.9.0\'
} 1. 使用方法
生成token:getJwtToken 是生成 jjwt 裡的 token 方法。
import com.sun.javafx.scene.traversal.Algorithm;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.DefaultJwsHeader;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
private String SECRET = "DyoonSecret_0581";
private void getJwtToken(){
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
//有10天有效期
nowTime.add(Calendar.DATE, 10);
Date expiresDate = nowTime.getTime();
Claims claims = Jwts.claims();
claims.put("name","cy");
claims.put("userId", "222");
claims.setAudience("cy");
claims.setIssuer("cy");
String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();
} 上面将token中的載荷放在chaims中,其實chaims是JWT内部維持的一個存放有效資訊的地方,不論使用任何API,最終都使用chaims儲存資訊。
setClaims有2個重載:
JwtBuilder setClaims(Claims claims);
JwtBuilder setClaims(Map<String, Object> claims); 不能就是說,我們也可以直接傳入map值對象。
2. 解析token
parseJwtToken方法是解析token。
public void parseJwtToken(String token) {
try{
}catch (Exception e){
}
Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
String signature = jws.getSignature();
Map<String, String> header = jws.getHeader();
Claims Claims = jws.getBody();
}