Skip to content

Springboot2.0整合JWT简单示例

Jump to bottom
zhuoqianmingyue edited this page May 25, 2019 · 4 revisions

查看示例程序说明

最近在学习SpringBoot 2.0 学习的同时将自己的一些学习代码放入到github上,方便自己知识回顾的同时,又可以与大家一起分享我的代码共同学习。每个示例程序都保存在各自的分支中。在克隆项目后通过切换分支查阅每个示例程序的代码(前提是你本地已经安装了git)

Springboot2.0整合JWT简单示例 示例程序对应的分支是: 

lesson7_jwt 或者在master分支上直接查看 master lesson7_jwt

如何学习JWT ?

在这里我们来探讨一下如何学习一门新的技术,我个人总结为 RSA。

  1. R:read 去读官方文档 。
  2. S:search 谷歌或百度先关技术文章或github 去搜索先关信息。
  3. A:ask:可以向技术大牛请教或和自己的同事同学进行探讨。

首先让我们JWT 官网一探究竟。https://jwt.io 图片

JWT 介绍

自己英文不好 使用百度翻译内容如下:

JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间作为JSON对象安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWTS可以使用秘密(使用HMAC算法)或公钥/私钥对使用RSA或ECDSA来签名。

虽然JWTS可以加密,但也提供保密各方之间,我们将重点放在签名令牌。签名的令牌可以验证包含在其中的声明的完整性,而加密的令牌隐藏这些声明以防其他各方。当令牌使用公钥/私钥对签名时,签名也证明只有持有私钥的方才是签名的方。

JWT 使用介绍

接下来我们开始学习如果使用JWT,通过点击上图中 LEARN MORE ABOUT JWT 显示如下图:然后点击START USING THE TOOL

图片

图片

如下图所示 选择对应的语言的jwt 使用教程。我们这里介绍是是 标注有:maven:com.auth0 java-jwt 的版本。

图片

查看 jwt github 示例教程和源码。 https://github.com/auth0/java-jwt

图片

在README.md 文件中有使用介绍和示例程序。

图片

图片

使用jwt 我们需要处理三块内容如下:

  1. 头部信息
  2. 载荷信息
  3. 签名信息

头部信息

 头部信息由2部分组成

  1. 令牌的类型,即JWT
  2. 使用的签名算法 例如HMAC SHA256或RSA。

例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,这个JSON被编码为Base64Url,形成JWT的第一部分。

载荷信息

其中包含声明(claims)。声明可以存放实体(通常是用户)和其他数据的声明,声明包括3种类型

  1. 已注册声明
  2. 公开声明
  3. 私有声明

已注册声明

这些是一组预定义声明,不是强制性的,但建议使用,以提供一组有用的,可互操作的声明。其中一些是:iss(发行人),exp(到期时间),sub(主题),aud(观众)等还有其他

公开声明

可以参考 IANA JSON Web令牌注册表 查看公共的声明

私有声明

根据根据自己的业务需要自定义的一些数据格式。

示例有效负载可以是: { "sub": "1234567890", "name": "John Doe", "admin": true }

签名信息

 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方          式进行加盐secret组合加密,然后就构成了jwt的第三部分。 例如,如果要使用HMAC SHA256算法,将按以下方式创建签名: HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

使用springboot 集成jwt 操作步骤

第一步引入JWT 依赖到pom.xml中

<dependency>
		    <groupId>com.auth0</groupId>
		    <artifactId>java-jwt</artifactId>
		    <version>3.4.1</version>
</dependency>

我们通过三个方法来演示如何使用JWT

  1. createToken() 创建不携带自定义信息的 token
  2. createTokenWithClaim() 创建携带自定义信息的 token
  3. verifyToken() 验证我们的token信息并解析token中的内容

生成JWT token

构建头部信息

Map<String, Object> map = new HashMap<String, Object>();
map.put("alg", "HS256");
map.put("typ", "JWT");

构建密钥信息

 Algorithm algorithm = Algorithm.HMAC256("secret");

我们通过定义注册和自定义声明 并组合头部信息和密钥信息生成jwt token

String token = JWT.create()
		    	.withHeader(map)
		    	/*设置 载荷 Payload*/
		    	.withClaim("loginName", "zhuoqianmingyue")
		        .withIssuer("SERVICE")//签名是有谁生成 例如 服务器
		        .withSubject("this is test token")//签名的主题
		        //.withNotBefore(new Date())//该jwt都是不可用的时间
		        .withAudience("APP")//签名的观众 也可以理解谁接受签名的
		        .withIssuedAt(nowDate) //生成签名的时间
		        .withExpiresAt(expireDate)//签名过期的时间
		        /*签名 Signature */
                        .sign(algorithm);

验证 JWT Token

构建密钥信息

 Algorithm algorithm = Algorithm.HMAC256("secret");
 

//通过密钥信息和签名的发布者的信息生成JWTVerifier (JWT验证类)
JWTVerifier verifier = JWT.require(algorithm)
		        .withIssuer("SERVICE").build();
//通过JWTVerifier 的verify获取 token中的信息。
 DecodedJWT jwt = verifier.verify(token);

如下面代码所示就可以获取到我们之前生成token的 签名的主题,观众 和自定义的声明信息。

  String subject = jwt.getSubject();
  List<String> audience = jwt.getAudience();
  Map<String, Claim> claims = jwt.getClaims();

参考文献:https://blog.csdn.net/achenyuan/article/details/80829401    

Clone this wiki locally