查看原文
其他

面试官:jwt 是什么?java-jwt 呢?懵逼了。。

点击关注 👉 Java面试那些事儿 2023-02-06

大家好,我是D哥

点击关注下方公众号,Java面试资料 都在这里

作者:oscar999

来源:blog.csdn.net/oscar999/article/details/102728303


# JWT介绍


JWT概念


JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证.


简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。


JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。


# JWT流程:


# JWT的构成


JWT字符串:一段加密的JSON字符串。包含了三类信息


  • Header头部:Token类型和加密算法。加密算法常见的有MD5、SHA、HMAC( Hash Message Authentication Code)。

  • PayLoad负载:存放有效信息,包括


标准的声明,类似开发语言总的关键字。包括

iss(Issuser) - 签发者sub Subject 面向主体aud Audience 接收方exp Expiration time 过期时间戳nbf Not Before, 开始生效时间戳iat(Issued at) 签发时间jti(JWT ID):唯一标识


公共的声明:一般添加业务相关的必要信息,因为可解密,不建议敏感信息。


私有的声明:提供者和消费者共同定义的声明,Base64对称解密,不建议敏感信息


Signature签证


签证信息包括三部分:


  • Base64加密的header

  • Base64加密的payload

  • secret-密钥。使用header中声明的加密算法对Header和payload的加密连接字符串进行加盐secret组合加密。


密钥保存在服务端,服务端根据密钥进行解密验证。


# JWT与开发语言


JWT只是一个标准


可以通过不过的开发语言实现,包括Java,.NET, Python,Node Js, JavaScript,Perl, Ruby,Go等。


同一种语言,不同的开发者提供了多种实现库,以Java语言为例有java-jwt、?jose4j、nimbus-jose-jwt、jjwt

# JWT官网


https://jwt.io/


这个网站提供了在线的基于不同算法的字符串和JSON对象的转换工具,同时也收集了不同语言的多种实现库。


# java-jwt


java-jwt是Java语言中推荐的JWT实现库,使用Maven导入如下:

<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.8.3</version></dependency>


# 产生加密Token

String token = JWT.create() .withExpiresAt(newDate(System.currentTimeMillis())) //设置过期时间 .withAudience("user1") //设置接受方信息,一般时登录用户 .sign(Algorithm.HMAC256("111111")); //使用HMAC算法,111111作为密钥加密


# 解密Token获取负载信息并验证Token是否有效

String userId = JWT.decode(token).getAudience().get(0); Assertions.assertEquals("user1", userId); JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("111111")).build(); jwtVerifier.verify(token);


技术交流群


D哥也建了一个技术群,主要针对一些新的技术和开源项目值不值得去研究和IDEA使用的“骚操作”,有兴趣入群的同学,可以长扫描区域二维码,一定要注意事项:城市+昵称+技术方向,根据格式备注,可快速通过。

▲长按扫描


热门推荐:

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存