前言
jjwt 库 是一个流行的 Java 库,用于创建和解析 JWT。我在学习spring security 的过程中看到了很多关于jwt的教程,其中最流行的就是使用jjwt实现jwt认证,但是教程之中依然使用的旧版的jjwt库,许多的类与方法已经标记弃用或者是已经被删除了,新版 jjwt 增加了许多新特性和改进,使得生成和验证 JWT 更加方便,故写此文以作记忆。
附上我的博客链接:现代Java开发:使用jjwt实现JWT认证
环境:
- jjwt 0.12.5
- jdk17+
- Maven
- Spring Boot 3.3.1
JWT的相关知识
JSON Web Token (JWT) 是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。由于这些信息是经过数字签名的,因此可以被验证和信任。
JWT 的结构
JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),这三部分用点 (.) 分隔。
-
头部(Header): 头部通常包括两部分:令牌的类型(JWT)和所使用的签名算法(如 HMAC SHA256 或 RSA)。
{"alg": "HS256","typ": "JWT" }这部分会进行 Base64Url 编码,形成 JWT 的第一部分。
-
载荷(Payload): 载荷部分包含声明(Claims),声明是有关实体(通常是用户)和其他数据的声明。有三种类型的声明:注册声明(Registered claims)、公共声明(Public claims)和私有声明(Private claims)。
例如:
{"sub": "1234567890","name": "zfmx","iat": 1516239022 }这部分也会进行 Base64Url 编码,形成 JWT 的第二部分。
-
签名(Signature): 签名部分用于验证消息在传输过程中是否未被篡改。需要将编码后的头部和载荷用点 (
.) 连接在一起,然后使用指定的签名算法(如 HMAC SHA256)和一个密钥对其进行签名。签名的结果是 JWT 的第三部分。
编写JWT工具
引入jjwt库
首先要做的就是把jjwt引入到项目之中
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.12.5</version>
</dependency>
写本文时最新的库应该是0.12.6,但是在引入过程中jjwt-jackson的坐标定位失败,故采用了0.12.5。
定义属性
这里有两个属性需要定义:
- 有效时间:public static final Long JWT_TTL
- 加密密钥:public static final String JWT_KEY
加密方法
传入subject、ttlMillis、uuid生成tooken。
hmacShaKeyFor 方法生成的密钥可以用于 JWT 的签名和验证。
currentTimeMillis 方法生成时间戳
Jwts类构建一个jwt构建器返回
/*** 生成JWT* @param subject 用户信息 json格式* @param ttlMillis 有效时间* @param uuid 自定义uuid* @return JWT令牌*/
private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid){SecretKey secretKey = Keys.hmacShaKeyFor(JwtUtil.JWT_KEY.getBytes(StandardCharsets.UTF_8));long nowMillis = System.currentTimeMillis(); // 当前时间戳Date now = new Date(nowMillis); // 当前时间if(ttlMillis == null){ttlMillis = JwtUtil.JWT_TTL;}long expMillis = nowMillis + ttlMillis; // 过期时间戳Date exp = new Date(expMillis); // 过期时间return Jwts.builder().id(uuid).subject(subject).issuer("zfmx").issuedAt(now).signWith(secretKey).expiration(exp);
}
值得注意的是,原本的setId、setSubject等方法已经在新版jjwt中废弃,这里采用的是新版的写法
生成token
注意这里的getUUID为自己实现的生成uuid方法,重载createJWT方法来适应多种应用情况
/*** 生成JWT* @param subject 用户信息 json格式* @return JWT令牌*/
public static String createJWT(String subject){JwtBuilder jwtBuilder = getJwtBuilder(subject, null, getUUID());return jwtBuilder.compact();
}/*** 生成JWT* @param subject 用户信息 json格式* @param ttlMillis 有效时间* @return JWT令牌*/
public static String createJWT(String subject, Long ttlMillis){JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());return builder.compact();
}/*** 生成JWT* @param id 自定义uuid* @param subject 用户信息 json格式* @param ttlMillis 有效时间* @return JWT令牌*/
public static String createJWT(String id,String subject,Long ttlMillis){JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);return builder.compact();
}// 生成uuid
public static String getUUID(){return UUID.randomUUID().toString().replaceAll("-","");
}
解码方法
/*** 解析JWT* @param jwt JWT令牌* @return Claims* @throws Exception 解析异常*/
public static Claims parseJWT(String jwt) throws Exception{SecretKey secretKey = Keys.hmacShaKeyFor(JwtUtil.JWT_KEY.getBytes());return Jwts.parser().verifyWith(secretKey).build().parseSignedClaims(jwt).getPayload();
}
这里的parser()\parseSignedClaims()等方法都是新版的使用方法。
浅浅测试一下吧
public static void main(String[] args) throws Exception {var token = createJWT("{'name':'zhangsan','age':18}");Claims claims = parseJWT(token);System.out.println(claims);
}
参考
JSON Web 令牌 - 维基百科 — JSON Web Token - Wikipedia
JJWT最新版本0.12.x使用指南,实现登陆功能,JwtUtils_jjwt 0.12-CSDN博客
jjwt/CHANGELOG.md at master · jwtk/jjwt (github.com)
SpringSecurity-从入门到精通-三更草堂 - 起跑线小言 - 博客园 (cnblogs.com)
