jwt常見(jiàn)問(wèn)題回復(fù)&簡(jiǎn)介

1. 什么是JWT（JSON Web Token）？
   JWT是一種用于身份驗(yàn)證和授權(quán)的開(kāi)放標(biāo)準(zhǔn)（RFC 7519），它是基于JSON格式的輕量級(jí)安全令牌。JWT由三部分組成：頭部（Header）、載荷（Payload）和簽名（Signature）。通常，JWT被用于在不同的系統(tǒng)之間傳遞安全性的聲明信息，以便用戶(hù)在跨域應(yīng)用中進(jìn)行身份驗(yàn)證。

2. JWT有什么好處，能干啥？
   JWT的主要優(yōu)點(diǎn)包括：

• 輕量級(jí)：JWT是基于JSON格式的，相比于傳統(tǒng)的XML格式，它更加輕巧且易于解析。
• 自包含：JWT中包含了用戶(hù)的一些聲明信息，因此無(wú)需查詢(xún)數(shù)據(jù)庫(kù)來(lái)驗(yàn)證用戶(hù)身份，有效降低了服務(wù)器的負(fù)擔(dān)。
• 無(wú)狀態(tài)性：JWT本身是無(wú)狀態(tài)的，所有的信息都被包含在令牌中，服務(wù)器端無(wú)需保存任何狀態(tài)信息，使得系統(tǒng)易于擴(kuò)展和維護(hù)。
• 安全性：JWT中使用簽名進(jìn)行驗(yàn)證，防止數(shù)據(jù)被篡改，確保了數(shù)據(jù)的完整性和安全性。

JWT能夠?qū)崿F(xiàn)的功能包括：

• 用戶(hù)認(rèn)證：JWT可以用于用戶(hù)身份驗(yàn)證，客戶(hù)端通過(guò)攜帶有效的JWT令牌來(lái)請(qǐng)求受限資源。
• 單點(diǎn)登錄（SSO）：用戶(hù)在一個(gè)應(yīng)用登錄后，可以獲取JWT令牌，然后在其他相互信任的應(yīng)用中使用該令牌來(lái)免登錄。
• 授權(quán)信息傳遞：JWT中的載荷可以包含用戶(hù)的角色、權(quán)限等信息，服務(wù)器可以根據(jù)這些信息做出授權(quán)決策（私密信息不要使用JWT 可以被人解析）。

3. JWT的組成：
   JWT由三部分組成：頭部（Header）、載荷（Payload）和簽名（Signature）。

• 頭部（Header）：通常由兩部分組成，令牌類(lèi)型（typ）和使用的簽名算法（alg）。示例：{"alg": "HS256", "typ": "JWT"}
• 載荷（Payload）：包含用戶(hù)的聲明信息，例如過(guò)期時(shí)間用戶(hù)ID、角色、權(quán)限等?？梢宰远x其他聲明信息。示例：{"sub": "1234567890", "name": "John Doe", "admin": true}
• 簽名（Signature）：通過(guò)對(duì)頭部和載荷進(jìn)行簽名，保證數(shù)據(jù)的完整性和安全性。簽名的生成通常使用密鑰進(jìn)行加密，只有持有密鑰的服務(wù)器才能驗(yàn)證簽名的有效性。

4. 如何使用JWT？
   使用JWT通常包括以下步驟：

• 用戶(hù)登錄：用戶(hù)提供用戶(hù)名和密碼進(jìn)行登錄驗(yàn)證。
• 服務(wù)器驗(yàn)證：服務(wù)器驗(yàn)證用戶(hù)提供的信息是否正確，并生成JWT令牌。
• 令牌傳遞：服務(wù)器將JWT令牌發(fā)送回客戶(hù)端。
• 客戶(hù)端使用：客戶(hù)端在后續(xù)請(qǐng)求中攜帶JWT令牌，發(fā)送給服務(wù)器進(jìn)行身份驗(yàn)證和授權(quán)。

5. 系統(tǒng)中的JWT是如何使用的，在什么時(shí)候使用的？
   在一個(gè)系統(tǒng)中，JWT通常用于實(shí)現(xiàn)用戶(hù)身份驗(yàn)證和授權(quán)。當(dāng)用戶(hù)登錄成功后，服務(wù)器會(huì)生成一個(gè)JWT令牌并發(fā)送給客戶(hù)端，客戶(hù)端保存該令牌，并在后續(xù)的請(qǐng)求中將令牌添加到請(qǐng)求頭或請(qǐng)求參數(shù)中。服務(wù)器在收到請(qǐng)求時(shí)，會(huì)解析JWT令牌并驗(yàn)證其合法性和有效性，從而判斷用戶(hù)是否已經(jīng)登錄以及是否有權(quán)限訪(fǎng)問(wèn)請(qǐng)求的資源。

   JWT的使用可以簡(jiǎn)化系統(tǒng)的身份驗(yàn)證和授權(quán)流程，提高系統(tǒng)的安全性和性能。同時(shí)，由于JWT本身是無(wú)狀態(tài)的，不需要在服務(wù)器端保存會(huì)話(huà)信息，使得系統(tǒng)更易于擴(kuò)展和維護(hù)。引入jwt，并使用生成token

使用步驟

當(dāng)使用JWT進(jìn)行用戶(hù)身份驗(yàn)證和授權(quán)時(shí)，通常包含以下步驟：

1. 用戶(hù)登錄認(rèn)證：

   • 用戶(hù)提供用戶(hù)名和密碼進(jìn)行登錄。
   • 服務(wù)器接收用戶(hù)提交的用戶(hù)名和密碼，通過(guò)UserService類(lèi)中的authenticateUser方法驗(yàn)證用戶(hù)名和密碼是否正確。
   • 如果用戶(hù)名和密碼驗(yàn)證通過(guò)，認(rèn)為用戶(hù)登錄成功，可以繼續(xù)下一步生成JWT令牌。

2. 生成JWT令牌：

   • 在登錄成功后，服務(wù)器使用JwtUtils工具類(lèi)中的generateJwtToken方法生成JWT令牌。
   • generateJwtToken方法接收三個(gè)參數(shù)：
     • subject：即載荷（Payload）中的"sub"字段，通常用于標(biāo)識(shí)用戶(hù)的唯一標(biāo)識(shí)，例如用戶(hù)ID、用戶(hù)名等。
     • expirationMillis：令牌的有效期，以毫秒為單位。令牌過(guò)期后將無(wú)效，需要重新登錄獲取新的令牌。
     • SECRET_KEY：用于簽名的密鑰，確保密鑰保密，不要泄露給他人。
   • generateJwtToken方法會(huì)使用Jwts類(lèi)的builder方法構(gòu)建JWT令牌，并設(shè)置令牌的頭部（Header）、載荷（Payload）、過(guò)期時(shí)間（Expiration）等信息。
   • 最后，使用指定的簽名算法（此處使用HS256）對(duì)令牌進(jìn)行簽名，生成簽名（Signature）部分，得到最終的JWT令牌。

3. 返回JWT令牌：

   • 服務(wù)器將生成的JWT令牌返回給客戶(hù)端，通常通過(guò)將令牌添加到響應(yīng)的Header或Body中。

4. 客戶(hù)端攜帶JWT令牌：

   • 在后續(xù)的請(qǐng)求中，客戶(hù)端需要在請(qǐng)求頭或請(qǐng)求參數(shù)中攜帶JWT令牌，通常使用"Authorization"字段來(lái)傳遞令牌。
   • 例如，可以將JWT令牌添加到請(qǐng)求頭的"Authorization"字段中，格式為"Bearer <JWT_Token>“，其中”<JWT_Token>"為生成的JWT令牌。

5. 解析和驗(yàn)證JWT令牌：

   • 服務(wù)器接收到帶有JWT令牌的請(qǐng)求后，需要對(duì)令牌進(jìn)行解析和驗(yàn)證，以驗(yàn)證用戶(hù)身份和授權(quán)信息。
   • 使用JwtUtils工具類(lèi)中的parseJwtToken方法對(duì)JWT令牌進(jìn)行解析和驗(yàn)證。
   • parseJwtToken方法接收一個(gè)JWT令牌作為參數(shù)，并使用之前設(shè)置的密鑰SECRET_KEY對(duì)令牌進(jìn)行解析。
   • 如果解析和驗(yàn)證成功，parseJwtToken方法將返回載荷（Payload）中的"sub"字段的值，即之前設(shè)置的用戶(hù)唯一標(biāo)識(shí)。
   • 如果解析和驗(yàn)證失敗，可能是令牌過(guò)期、簽名驗(yàn)證不通過(guò)等，服務(wù)器將拒絕請(qǐng)求，要求客戶(hù)端重新登錄獲取新的令牌。

6. 用戶(hù)訪(fǎng)問(wèn)控制：

   • 在服務(wù)器端驗(yàn)證JWT令牌成功后，可以根據(jù)令牌中攜帶的用戶(hù)信息（例如用戶(hù)角色、權(quán)限等）進(jìn)行訪(fǎng)問(wèn)控制和授權(quán)決策。
   • 服務(wù)器可以根據(jù)令牌中的信息判斷用戶(hù)是否有權(quán)限訪(fǎng)問(wèn)請(qǐng)求的資源，并執(zhí)行相應(yīng)的業(yè)務(wù)邏輯。

精簡(jiǎn)版案例：

客戶(hù)端生成令牌：
public void generateJWT() {
    JwtBuilder builder = Jwts.builder();
    String token = builder
        // 頭部
        .setHeaderParam("typ", "JWT")
        .setHeaderParam("alg", "HS256")
        // 載荷數(shù)據(jù)/過(guò)期時(shí)間
        .claim("id", 10001)
        .claim("nickName", "老王")
        // 設(shè)置過(guò)期時(shí)間，這里設(shè)置為當(dāng)前時(shí)間加上一小時(shí)
        .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60))
        // 設(shè)置JWT的唯一標(biāo)識(shí)（ID），這里使用UUID生成唯一ID
        .setId(UUID.randomUUID().toString())
        // 簽名，使用HS256算法和指定的密鑰（key）進(jìn)行簽名
        .signWith(SignatureAlgorithm.HS256, key)
        // 構(gòu)造JWT令牌
        .compact();

    System.out.println(token);
}

/**
 * 服務(wù)器解析JWT
 */
@Test
public void verifyJWT() {
    // 要解析的JWT令牌
    String jwt = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MTAwMDEsIm5pY2tOYW1lIjoi6ICB546LIiwiZXhwIjoxNjkwMjc0NTg3LCJqdGkiOiIxZTY0MWExMS0yMjJkLTQ4YjMtODQ1OS05ZTlmNDUxZjIyZGQifQ.nby2Lp7nx4BLuk3SFAk0ZLPbhliLQ0l3eWOADnX5Kfc";

    // 創(chuàng)建JwtParser對(duì)象，用于解析JWT令牌
    JwtParser parser = Jwts.parser();

    // 解析JWT令牌并驗(yàn)證簽名
    Jws<Claims> claimsJws = null;
    try {
        claimsJws = parser
                .setSigningKey(key) // 設(shè)置驗(yàn)證簽名所使用的密鑰（與生成JWT時(shí)使用的密鑰相同）
                .parseClaimsJws(jwt); // 解析JWT令牌
        Claims body = claimsJws.getBody(); // 獲取解析后的JWT令牌的載荷（Payload）
        System.out.println(body); // 輸出解析后的JWT令牌的載荷內(nèi)容
    } catch (Exception e) {
        // 驗(yàn)證失敗，拋出異常
        throw new RuntimeException(e);
    }
}

常用案例

借助jjwt庫(kù)來(lái)生成和解析JWT令牌。

首先，確保在項(xiàng)目中導(dǎo)入jjwt庫(kù)的依賴(lài)：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

接下來(lái)，我們定義一個(gè)簡(jiǎn)單的JWT工具類(lèi)來(lái)生成和解析JWT令牌：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtils {

    private static final String SECRET_KEY = "your-secret-key"; // 替換為自己的密鑰

    public static String generateJwtToken(String subject, long expirationMillis) {
        Date now = new Date();
        Date expirationDate = new Date(now.getTime() + expirationMillis);

        return Jwts.builder()
                .setSubject(subject)
                .setIssuedAt(now)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    public static String parseJwtToken(String jwtToken) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwtToken)
                .getBody();
        return claims.getSubject();
    }
}

在上面的代碼中，我們定義了generateJwtToken方法用于生成JWT令牌，parseJwtToken方法用于解析JWT令牌。需要注意的是，我們?cè)谏珊徒馕鯦WT令牌時(shí)都使用了同一個(gè)密鑰SECRET_KEY，確保密鑰保密，不要泄露給他人。

這里的密鑰可以使用算法生成

 public static String generateRandomKey() {
        // 生成256位的隨機(jī)字節(jié)數(shù)組
        byte[] keyBytes = new byte[32];
        SecureRandom secureRandom = new SecureRandom();
        secureRandom.nextBytes(keyBytes);

        // 將字節(jié)數(shù)組轉(zhuǎn)換為Base64編碼的字符串
        String key = Base64.getEncoder().encodeToString(keyBytes);
        System.out.println(key + "==============");

        return key;
    }

在這段代碼中，我們使用Jwts.builder()來(lái)創(chuàng)建JWT令牌（JSON Web Token）。Jwts是jjwt庫(kù)中的一個(gè)類(lèi)，用于構(gòu)建JWT令牌。

接下來(lái)，我們可以使用這個(gè)JWT工具類(lèi)來(lái)實(shí)現(xiàn)用戶(hù)登錄和認(rèn)證的功能：

public class UserService {

    // 模擬用戶(hù)數(shù)據(jù)庫(kù)
    private Map<String, String> userDatabase = new HashMap<>();
    {
        userDatabase.put("user1", "password1");
        userDatabase.put("user2", "password2");
    }

    public boolean authenticateUser(String username, String password) {
        String storedPassword = userDatabase.get(username);
        return storedPassword != null && storedPassword.equals(password);
    }
}

在上面的示例中，我們假設(shè)有一個(gè)UserService類(lèi)，其中authenticateUser方法用于驗(yàn)證用戶(hù)的用戶(hù)名和密碼是否正確。請(qǐng)注意，這里只是一個(gè)簡(jiǎn)化的模擬用戶(hù)數(shù)據(jù)庫(kù)，實(shí)際應(yīng)用中應(yīng)該使用更安全和可靠的方式來(lái)存儲(chǔ)和驗(yàn)證用戶(hù)信息。

接下來(lái)，我們可以在主類(lèi)中使用這些組件來(lái)演示JWT的使用：

public class Main {
    public static void main(String[] args) {
        UserService userService = new UserService();

        // 用戶(hù)登錄，驗(yàn)證用戶(hù)名和密碼是否正確
        String username = "user1";
        String password = "password1";
        boolean isAuthenticated = userService.authenticateUser(username, password);

        if (isAuthenticated) {
            // 用戶(hù)登錄成功，生成JWT令牌并返回給客戶(hù)端
            String jwtToken = JwtUtils.generateJwtToken(username, 3600000); // 令牌有效期1小時(shí)
            System.out.println("JWT Token: " + jwtToken);

            // 客戶(hù)端在后續(xù)請(qǐng)求中攜帶JWT令牌，服務(wù)器端解析令牌并驗(yàn)證用戶(hù)身份
            String parsedUsername = JwtUtils.parseJwtToken(jwtToken);
            System.out.println("Parsed Username: " + parsedUsername);
        } else {
            System.out.println("Authentication failed. Invalid username or password.");
        }
    }
}

在這個(gè)示例中，我們首先進(jìn)行用戶(hù)登錄認(rèn)證，如果用戶(hù)名和密碼驗(yàn)證通過(guò)，我們就生成JWT令牌并返回給客戶(hù)端。在后續(xù)的請(qǐng)求中，客戶(hù)端需要在請(qǐng)求頭或請(qǐng)求參數(shù)中攜帶這個(gè)JWT令牌，服務(wù)器端解析令牌并驗(yàn)證用戶(hù)身份，從而實(shí)現(xiàn)了用戶(hù)的身份驗(yàn)證和授權(quán)功能。

請(qǐng)注意，實(shí)際應(yīng)用中，我們應(yīng)該更加完善和安全地管理JWT令牌，例如設(shè)置更短的過(guò)期時(shí)間、使用HTTPS等。此外，建議使用第三方庫(kù)來(lái)處理JWT令牌的生成和解析，以確保安全性和正確性。

關(guān)于代碼的解釋

下面逐個(gè)方法來(lái)解釋這段代碼的含義：

1. setSubject(subject)：設(shè)置JWT令牌的主題（Subject）。在JWT中，主題是令牌所針對(duì)的用戶(hù)，通常用于標(biāo)識(shí)用戶(hù)的唯一標(biāo)識(shí)，例如用戶(hù)ID或用戶(hù)名。這個(gè)方法用于將用戶(hù)的唯一標(biāo)識(shí)作為主題設(shè)置到JWT令牌中。
2. setIssuedAt(now)：設(shè)置JWT令牌的簽發(fā)時(shí)間（Issued At）。在JWT中，簽發(fā)時(shí)間表示令牌的創(chuàng)建時(shí)間。這個(gè)方法用于將當(dāng)前時(shí)間設(shè)置為令牌的簽發(fā)時(shí)間。
3. setExpiration(expirationDate)：設(shè)置JWT令牌的過(guò)期時(shí)間（Expiration）。在JWT中，過(guò)期時(shí)間表示令牌的有效期截止時(shí)間。在過(guò)期時(shí)間之后，令牌將失效，需要重新登錄獲取新的令牌。這個(gè)方法用于將指定的過(guò)期時(shí)間設(shè)置到JWT令牌中。
4. signWith(SignatureAlgorithm.HS256, SECRET_KEY)：對(duì)JWT令牌進(jìn)行簽名。在JWT中，簽名是為了保證令牌的完整性和安全性。簽名需要一個(gè)密鑰來(lái)進(jìn)行加密，確保只有服務(wù)器持有密鑰才能驗(yàn)證令牌的有效性。這個(gè)方法使用指定的簽名算法（此處使用HS256）和密鑰（SECRET_KEY）對(duì)令牌進(jìn)行簽名。
5. compact()：將JWT令牌壓縮成一個(gè)字符串形式。在上面的代碼中，Jwts.builder()用于構(gòu)建JWT令牌的各個(gè)部分，compact()方法將JWT令牌壓縮成最終的字符串形式，以便返回給客戶(hù)端。

綜合起來(lái)，這段代碼的作用是創(chuàng)建一個(gè)包含指定主題、簽發(fā)時(shí)間和過(guò)期時(shí)間的JWT令牌，并使用指定的簽名算法和密鑰對(duì)令牌進(jìn)行簽名，最后將JWT令牌壓縮成字符串形式并返回給客戶(hù)端。生成的JWT令牌將包含在響應(yīng)中，客戶(hù)端可以在后續(xù)的請(qǐng)求中攜帶該令牌進(jìn)行身份驗(yàn)證和授權(quán)。服務(wù)器在接收到帶有JWT令牌的請(qǐng)求后，可以使用相同的密鑰對(duì)令牌進(jìn)行解析和驗(yàn)證，以確認(rèn)令牌的合法性和有效性。

在這段代碼中，我們定義了一個(gè)靜態(tài)方法parseJwtToken，用于解析JWT令牌并獲取其中的主題（Subject）信息。parseJwtToken方法接收一個(gè)JWT令牌（字符串形式）作為參數(shù)，并返回解析后的主題信息。

下面逐個(gè)方法來(lái)解釋這段代碼的含義：

1. Jwts.parser()：創(chuàng)建一個(gè)JWT解析器。在jjwt庫(kù)中，Jwts類(lèi)的parser()方法用于創(chuàng)建一個(gè)JWT解析器，用于解析JWT令牌的內(nèi)容。
2. setSigningKey(SECRET_KEY)：設(shè)置JWT解析器的驗(yàn)證密鑰。在解析JWT令牌時(shí)，需要使用相同的密鑰來(lái)驗(yàn)證令牌的簽名。這個(gè)方法使用之前生成JWT令牌時(shí)使用的密鑰SECRET_KEY來(lái)設(shè)置JWT解析器的驗(yàn)證密鑰。
3. parseClaimsJws(jwtToken)：解析JWT令牌并獲取Claims對(duì)象。在jjwt庫(kù)中，parseClaimsJws方法用于解析JWT令牌，并返回一個(gè)Jws<Claims>對(duì)象，其中包含了JWT令牌的頭部、載荷和簽名等信息。
4. getBody()：從Jws<Claims>對(duì)象中獲取JWT令牌的載荷（Payload）。在JWT中，載荷部分是一個(gè)JSON對(duì)象，包含了令牌的各種信息，例如主題（Subject）、簽發(fā)時(shí)間（Issued At）、過(guò)期時(shí)間（Expiration）等。這個(gè)方法獲取JWT令牌的載荷，并返回一個(gè)Claims對(duì)象，其中包含了令牌的所有信息。
5. claims.getSubject()：從Claims對(duì)象中獲取主題信息。在JWT令牌的載荷中，通常使用"sub"字段來(lái)標(biāo)識(shí)主題，即令牌所針對(duì)的用戶(hù)唯一標(biāo)識(shí)，例如用戶(hù)ID或用戶(hù)名。這個(gè)方法獲取JWT令牌的主題信息，并返回給調(diào)用方。

綜合起來(lái)，這段代碼的作用是解析傳入的JWT令牌，并從令牌的載荷中獲取主題信息。這個(gè)主題信息通常用于標(biāo)識(shí)令牌所針對(duì)的用戶(hù)，服務(wù)器可以根據(jù)主題信息來(lái)驗(yàn)證用戶(hù)身份和進(jìn)行訪(fǎng)問(wèn)控制。如果JWT令牌的簽名驗(yàn)證通過(guò)且令牌沒(méi)有過(guò)期，parseJwtToken方法將返回令牌的主題信息，否則可能會(huì)拋出異?；蚍祷豱ull，取決于解析過(guò)程中是否出現(xiàn)異常。

總結(jié)：
JWT的使用過(guò)程包括用戶(hù)登錄認(rèn)證、生成JWT令牌、返回令牌給客戶(hù)端、客戶(hù)端攜帶令牌訪(fǎng)問(wèn)資源、服務(wù)器解析和驗(yàn)證令牌、根據(jù)令牌中的信息進(jìn)行用戶(hù)訪(fǎng)問(wèn)控制。JWT的無(wú)狀態(tài)特性使得服務(wù)器無(wú)需保存會(huì)話(huà)信息，提高了系統(tǒng)的性能和可伸縮性。同時(shí)，使用合適的簽名算法和保密的密鑰，JWT令牌能夠提供一定程度的安全性，確保令牌的完整性和安全性。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-752630.html

到了這里，關(guān)于Java中JWT技術(shù)解析與實(shí)踐：安全高效的身份認(rèn)證的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！