本章节讨论 jwt 在 spring boot 中的应用。意在快速入门 jwt。

  • java jdk1.8
  • maven 3.2+
  • spring boot 2.0+

JSON Web Token(JWT) 他是一个用于 Web 身份验证的令牌。

1 JWT 概述

1.1 什么是JWT

直观的理解 JWT 就是一串字符串,如下(来自于 JWT.IO):

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

细心的你可能会发现字符串是有3个独立的字符串使用.号组合而成,前两个字符串是 Base64 编码,最后一个字符串是一个加密后的字符串。

序号 字符串
1 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
2 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
3 SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT 使用以上3个字符串组成一个字符串,以 xxxxx.yyyyyy.zzzzz 的形式传输给认证服务器

xxxxx.yyyyyy.zzzzz 表示为 Header.Payload.Signature

Header=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload=eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature=SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

我们使用 JWT Debuger 把信息解码可以看出:

1.1.1 Header

Header 头信息,以 json 字符串实现,并压缩成 Base64URL 编码字符串传输

{

  "alg": "HS256",

  "typ": "JWT"

}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。

1.1.2 Payload

Payload 负载,以 json 字符串实现,并压缩成 Base64编码字符串传输

{

  "sub": "1234567890",

  "name": "John Doe",

  "iat": 1516239022

}

官方对 json 内容节点给出了一些建议,我个人觉得意义不大,况且那个建议字段完全是看不出任何含义的缩写。比如 iss、exp、sub、aud、nbf、iat、jti。当然如果大家都能共同遵守,也不存在这些问题。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

1.1.3 Signature

VERIFY SIGNATURE 签名,在服务端指定一个秘钥,把签名两个 json 字符串使用下面方法加密而成的

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  only-save-in-server-secret)

值得注意的是,使用JWT 推荐使用 HTTPS 加密协议

1.1.4 Base64URL

BASE64URL是一种在BASE64的基础上编码形成新的加密方式,为了编码能在网络中安全顺畅传输,需要对BASE64进行的编码,特别是互联网中。

1.2 JWT 是如何工作的

为了能够支持跨域,通常 JWT 的字符串 xxxxx.yyyyyy.zzzzz 通过 Http 的 Head 发送

Authorization: Bearer <token>

也可以放在 Post 数据体重。

2 Spring Boot JWT 示例

在 JWT 官方可以看到,maven: io.jsonwebtoken / jjwt / 0.9.0 这个库是支持最全的。

2.1 新建 Spring Boot Maven 示例工程项目

  1. File > New > Project,如下图选择 Spring Initializr 然后点击 【Next】下一步
  2. 填写 GroupId(包名)、Artifact(项目名) 即可。点击 下一步

    groupId=com.fishpro

    artifactId=jwt
  3. 选择依赖 Spring Web Starter 前面打钩。
  4. 项目名设置为 spring-boot-study-jwt.

2.2 依赖引入 Pom.xml

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>2.1.6.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <groupId>com.fishpro</groupId>

    <artifactId>jwt</artifactId>

    <version>0.0.1-SNAPSHOT</version>

    <name>jwt</name>

    <description>Demo project for Spring Boot</description>

    <properties>

        <java.version>1.8</java.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>com.auth0</groupId>

            <artifactId>java-jwt</artifactId>

            <version>3.4.1</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

            </plugin>

        </plugins>

    </build>

</project>

2.4 编写 JWT 生成与验证代码

本章节知识学习 JWT,不涉及其他知识点,故我们之间在 JwtApplication.java 中来编写代码

package com.fishpro.jwt;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.exceptions.JWTCreationException;

import com.auth0.jwt.exceptions.JWTVerificationException;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import java.util.*;

@SpringBootApplication

public class JwtApplication {

    public static void main(String[] args) {

        SpringApplication.run(JwtApplication.class, args);

        String token=createJWTToken();//获取生成的Token

        verifyJWTToken(token);//验证生成的Token

    }

    /**

     * 生成 JWT Token

     * */

    private static String createJWTToken() throws JWTCreationException {

        String secret="secret";//假设服务端秘钥

        Algorithm algorithm = Algorithm.HMAC256(secret);

        //jwt 头部信息

        Map<String,Object> map=new HashMap<>();

        map.put("alg","HS256");

        map.put("typ","JWT");

        Date nowDate = new Date();

        Date expireDate = AddDate(nowDate,2*60);//120 分钟过期

        String token= JWT.create()

                .withHeader(map)

                .withIssuer("SERVICE") //对应 paylaod iss 节点:签发人

                .withClaim("loginName","fishpro")

                .withSubject("this is a token demo")//对应 paylaod sub 节点:主题

                .withAudience("Client")//对应 paylaod aud 节点:受众

                .withIssuedAt(nowDate)//对应 paylaod iat 节点:生效时间

                .withExpiresAt(expireDate) //对应 paylaod  exp 签发人 节点:过期时间

                .sign(algorithm);

        return  token;

    }

    /**

     * 验证 token

     * */

    private static void verifyJWTToken(String token) throws JWTVerificationException {

        Algorithm algorithm=Algorithm.HMAC256("secret");

        JWTVerifier verifier = JWT.require(algorithm)

                .withIssuer("SERVICE")

                .build();

        DecodedJWT jwt =verifier.verify(token);

        String subject=jwt.getSubject();

        Map<String,Claim> claims=jwt.getClaims();

        Claim claim = claims.get("loginName");

        System.out.println("自定义 claim:"+claim.asString());

        List<String> audience = jwt.getAudience();

        System.out.println("subject 值:"+subject);

        System.out.println("audience 值:"+audience.get(0));

    }

    /**

     * 时间加减法

     * */

    private static Date AddDate(Date date,Integer minute){

        if(null==date)

            date=new Date();

        Calendar cal=new GregorianCalendar();

        cal.setTime(date);

        cal.add(Calendar.MINUTE, minute);

        return cal.getTime();

    }

}

2.5 演示效果

右键 JwtApplication 选择 Run JwtApplication ,观察 console 窗口

Spring Boot JWT 快速入门的更多相关文章

  1. Spring Boot:快速入门教程

    什么是Spring Boot? Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程.该框架使用了特定的方式来进行配置,从而使开发人 ...

  2. Spring Boot【快速入门】简单案例

    Spring Boot[快速入门]   Spring Boot 概述 Build Anything with Spring Boot:Spring Boot is the starting point ...

  3. Spring Boot框架——快速入门

    Spring Boot是Spring 全家桶非常重要的一个模块,通过 Spring Boot 可以快速搭建一个基于 Spring 的 Java 应用程序,Spring Boot 对常用的第三方库提供了 ...

  4. Spring Boot【快速入门】

    Spring Boot 概述 Build Anything with Spring Boot:Spring Boot is the starting point for building all Sp ...

  5. (Spring Boot框架)快速入门

    Spring Boot 系列文章推荐 Spring Boot 入门 Spring Boot 属性配置和使用 Spring Boot 集成MyBatis Spring Boot 静态资源处理 今天介绍一 ...

  6. 【转载】Spring Boot【快速入门】2019.05.19

    原文出处:https://www.cnblogs.com/wmyskxz/p/9010832.html   Spring Boot 概述 Build Anything with Spring Boot ...

  7. Spring Boot WebFlux 快速入门实践

    02:WebFlux 快速入门实践 Spring Boot 2.0 spring.io 官网有句醒目的话是: BUILD ANYTHING WITH SPRING BOOT Spring Boot ( ...

  8. Spring Boot:快速入门

    上一篇讲述什么是Spring Boot,这一篇讲解怎么使用IDE工具快速搭建起来独立项目. 一.构建方式 快速搭建项目有三种方式,官方也有答案给到我们: 二.构建前准备 想要使用IDE运行起来自己的S ...

  9. Spring Boot (十四): 响应式编程以及 Spring Boot Webflux 快速入门

    1. 什么是响应式编程 在计算机中,响应式编程或反应式编程(英语:Reactive programming)是一种面向数据流和变化传播的编程范式.这意味着可以在编程语言中很方便地表达静态或动态的数据流 ...

随机推荐

  1. [蓝桥杯][基础训练]Sine之舞

    Description 最近FJ为它的奶牛开设了数学分析课,FJ知道,若要学好这门课,必须有一个好的三角函数基本功. 所以他为奶牛们做了一个“Sine之舞”的游戏,寓教于乐,提高奶牛的计算能力. 不妨 ...

  2. Flink流处理(三)- 数据流操作

    3. 数据流操作 流处理引擎一般会提供一组内置的操作,用于对流做消费.转换,以及输出.接下来我们介绍一下最常见的流操作. 操作分为无状态的(stateless)与有状态的(stateful).无状态的 ...

  3. 小匠第一周期打卡笔记-Task01

    一.线性回归 知识点记录 线性回归输出是一个连续值,因此适用于回归问题.如预测房屋价格.气温.销售额等连续值的问题.是单层神经网络. 线性判别模型 判别模型 性质:建模预测变量和观测变量之间的关系,亦 ...

  4. ubuntu 终端快捷方式汇总

    terminal 是一个命令行终端,将启动系统默认的shell,shell是一个解释并执行在命令行提示符输入的命令的程序. 启动 terminal1 在 “面板主页” 的应用程序搜索栏中,输入命令gn ...

  5. php curl请求 header头携带参数

    $headers = array(    'api-key:'.$key,    'authorization:'.$authorization,      ); //初始化    $curl = c ...

  6. 【转载】Mapreduce实现自定义的InputFormat

    转自:http://www.cnblogs.com/dlutxm/archive/2011/09/30/2196653.html 在mapreduce程序运行的开始阶段,hadoop需要将待处理的输入 ...

  7. bugku 输入密码查看flag

    首先进入网页会看到一个网页 然后用bp进行爆破 首先点击clear 然后选中刚下随便输入进去的密码点击add然后设置一下类型 然后进行开始攻击 攻击过程中点击length 根据长度可以判断出密码然后回 ...

  8. Nuxt的路由配置以及传参

    Nuxt 路由可以使用a标签进行链接跳转,例如我们创建了一个demo.vue的文件 <p> <a href="/demo">跳转去Demo页面</a& ...

  9. via/route blockage/size blockage/wire/pin guide/pin blockage/partition

    1.via 中文名称互连线通孔.我们知道,芯片的连线有不同层的金属互连线相互连接.而Via的作用就是连接这些不同层的金属.如下图所示: 一个完整的通孔是由三层组成的,包括两个互连层和一个cut层,cu ...

  10. php 基础 字符型转换整形

    示例: 可以得出规律:以有效数字开头的,取有效数字.以非有效数字开头的都转换为0: