jwt对token的生成以及验证机制

最新推荐文章于 2025-06-30 20:35:00 发布
最新推荐文章于 2025-06-30 20:35:00 发布
阅读量2k 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java jwt token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28483283/article/details/127897360
本文详细介绍了JWT(JSON Web Token)的工作原理,包括其组成部分Header、Payload和Signature的具体定义及作用。此外,还提供了Java环境下生成及验证JWT Token的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、token解析

token分为三部分来定义:

1 .表头:Header是一个json对象,存储元数据(可逆)

由以下组成:

{
"alg":"HS256",
"typ":"JWT"
}

alg:是签名的算法名称(algorithm),默认是HMAC SHA);

type属性表示这个令牌(token)的类型(type),JWT令牌统一写成JWT。

2.负载:Payload是一个json对象。存放传递的数据,数据分为Public和Private。(可逆)

Public是JWT中规定的一些字段,可以自己选择使用。

iss(issuer):签发人

exp(expiration time):过期时间

sub(subject):该JWT所面向的用户

aud(audience):受众,接受该JWT的一方

nbf(not before):生效时间

iat(Issued At):签发时间

jti(JWT ID):编号

Privote是自己定义的字段
 
{
 
“role":经理,
"name":张凡,
"id":23455
}

Payload默认是没有加密的,以上数据都是明文传输的,所以最好不要存放敏感数据。
【注】前两部分数据都是json对象使用的是base64URL编码,翻译为字符串。

3.Signature:签名。签名是对Header和Payload两部分的签名,目的是为了防止数据被篡改(不可逆)
HMACSHA256(
    base64UrlEncoder(header)+"."+
    base64UrlENcode(paylosd),
    secret)

签名算法:先指定一个secret密匙,把base64URL的header,base64RL的payload和secret秘匙 使用HNAC SHA256生成签名字符串。

最后把三个部分的拼成一个字符串,每个部分之间用点(.)分隔,就可以返回给用户

如:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhcGlfa2V5IjoiWmh1YW5BbiIsImV4cCI6MzU5NzA1NDE5NywiYXBpX3NlY3JldCI6InpodWFuYW4yMDIyIn0.e081v0pU9k4jfSGNFtRbwYJfWggZiR2DO385ClKhKCY

2、token生成以及验证的例子

package com.ruoyi.framework.jwt.utils;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import org.apache.poi.ss.usermodel.DateUtil;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

public class test {
	 

	    public static final String API_KEY = "api_key";
	    public static final String API_SECRET = "api_secret";
	    public static final String HEADS_TYPE_KEY = "type";
	    public static final String HEADS_TYPE_VALUE = "jwt";
	    public static final String HEADS_ALGORITHM_KEY = "alg";
	    public static final String HEADS_ALGORITHM_VALUE = "HS256";
	    public static final String AUTH_HEAD = "Authentication";
	    public static final String SALT = "AWER@#$@";
	    
	     /**
	      * 生产token
	      * @param api_key 约定
	      * @param api_secret 约定
	      * @param time token过期时间,毫秒
	      */
	     public static String generateToken(String api_key, String api_secret, Long time){
	         String token = null;
	         try {
	             //设置token过期时间 :如果想每次生成的token一样,这里的起始时间就写死
	             //Date date = new Date(System.currentTimeMillis()+time);
	             Date date = new Date(new Date().getTime()+time);
	             //设置加密算法
	             Algorithm algorithm = Algorithm.HMAC256(SALT);
	             //设置头部
	             /**
	              * {
	              *  “type”: “JWT”, 声明类型,这里是jwt
	              *  “alg”: “HS256” 声明加密的算法 通常直接使用 HMAC SHA256
	              * }
	              */
	             Map<String ,Object> headers = new HashMap<>();
	             headers.put(HEADS_TYPE_KEY,HEADS_TYPE_VALUE);
	             headers.put(HEADS_ALGORITHM_KEY,HEADS_ALGORITHM_VALUE);
	             //生产token
	             token = JWT.create()
	                     .withClaim(API_KEY,api_key)
	                     .withClaim(API_SECRET,api_secret)
	                     .withExpiresAt(date)
	                     .sign(algorithm);
	         } catch (Exception e) {
	              
	         }
	         return token;    }
	     /**
	      * 校验token
	      * @param token 需要校验的token
	      */
	     public static boolean verification(String token){
	         try {
	             //根据盐获取加解密算法
	             Algorithm algorithm = Algorithm.HMAC256(SALT);
	             //获取解密对象
	             JWTVerifier jwtVerifier = JWT.require(algorithm).build();
	             //解密
	             DecodedJWT decodedJWT = jwtVerifier.verify(token);
	             //获取客户信息
	              
	             return true;
	         }catch (Exception e){
	             
	             return false;
	         }
	     }
	     //测试
	     public static void main(String[] args) throws Exception {
	         //过期时间60年
	         String token = test.generateToken("刘伟", "aaa@", 60*12*31*24*60*60 * 1000L);
	          
	         boolean result = test.verification("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhcGlfa2V5IjoiWmh1YW5BbiIsImV4cCI6MzU5NzA1NDE5NywiYXBpX3NlY3JldCI6InpodWFuYW4yMDIyIn0.e081v0pU9k4jfSGNFtRbwYJfWggZiR2DO385ClKhKCY");
	         System.out.println(token);
	         System.out.println(result);
	     }
	 }
基于jwttoken验证
weixin_34266504的博客
06-06 1175
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
JWT产生和验证Token
aabbyyz的博客
10-30 595
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&a
基于JWT的用户token验证
最新发布
码上悦读
06-30 1069
文章摘要:本文对比分析了两种用户身份验证机制。基于Session的验证通过服务器端存储会话信息,客户端携带SessionID进行验证JWT则采用Token机制,由服务器生成签名Token供客户端存储和携带。详细介绍了二者的工作流程、实现步骤及代码示例(包括Token生成验证和接口测试),并探讨了JWT的失效管理和无感刷新等优化问题。两种方案各具特点,适用于不同应用场景。
基于jwttoken验证、原理及流程
程序员闪充宝
09-18 4129
来源:www.cnblogs.com/better-farther-world2099一、什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...
利用JWT生成Token
兜兜的博客
11-21 1816
开篇 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成Token.JWT生成Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 本篇分3部分进行讲解。 什么是JWT JWT的代码实现,代码将JWT封...
Java简单快速入门JWTtoken生成验证
greatming666的博客
09-08 1万+
java jwt简单了解并快速上手
jwt生成token
热门推荐
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
JWT生成token以及验证token
CKQ_me的博客
06-06 3461
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 JWT的构成 jwt由三个部分组成 第一部分:头部(header),第二部分:playload(称为载荷),第三部分:signature(签证) ...
Token生成方案-JWT
奇遇少年
01-17 3489
JWT的使用简化了用户身份验证的流程,使得开发者能够在Web应用中轻松实现高效的身份认证和信息传递。
JWT Token生成验证
07-16
JWT Token生成验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT 生成Token验证
01-22
JWT生成token验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
JWT token怎么生成
xinshou1_0的博客
11-20 1083
JWT(JSON Web Token)是一种用于在各方之间安全地传输信息的紧凑且自包含的方式。组成部分头部(Header):头部通常由两部分构成:令牌类型(即JWT)和签名算法(如HMAC SHA256或RSA)。例如,头部可以是{"typ": "JWT", "alg": "HS256"}。然后,这个JSON对象被进行Base64Url编码形成JWT的第一部分。载荷(Payload):载荷部分包含声明(claims),即实体(issuer)想要共享的信息。
使用Gin框架集成JWT,源码、详解、面试问题
乐观的阿锡的博客
08-23 1959
使用Gin框架集成JWT,源码、详解、面试问题 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、JWT的组成 1、JWT
使用JWT进行token校验
qq_73868041的博客
06-05 653
*** jwt令牌校验的拦截器*/@Component@Slf4j@Autowired/*** 校验jwt* @return*///判断当前拦截到的是Controller的方法还是其他资源if (!//当前拦截到的不是动态方法,直接放行//1、从请求头中获取令牌//2、校验令牌try {log.info("jwt校验:{}", token);//将当前登录用户id存入ThreadLocallog.info("当前员工id:", empId);
jwttoken生成和解析
花自飘零水自流
07-18 1477
【代码】jwttoken生成和解析。
JWT应用功能
SurepMan的博客
08-03 383
服务端不保存任何客户端请求者信息客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份带来的好处是什么呢?客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务服务端的集群和状态对客户端透明服务端可以任意的迁移和伸缩减小服务端存储压力JWT全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.ioJWT包含三部分数据:声明类型,这里是JWT 自描述信息。
JWT Token生成
weixin_45805672的博客
09-01 5887
Jwt token生成的方式有几种,可根据具体情况决定生成方式,以下为本人使用的一种,仅供参考。 官网地址:https://jwt.io/introduction 1.jwt生成Token格式 eyJhbGciOiJIUzI1NiJ9.eyJqd3RDbGFpbSI6eyJ1c2VySWQiOiIyIiwiYXBpSWRzIjoiMSwyLDMiLCJuYW1lIjpudWxsfSwiaWF0IjoxNjMwNDg3MjA5LCJleHAiOjE2MzA0OTQ0MDl9.apV5AqF6tgeV
JWT Token生成验证方法详细解析
了解JWT Token生成验证和使用对于任何涉及Web服务安全的开发者来说都是必不可少的。同时,需要注意的是,JWT本身不等同于加密,它仅确保了数据的完整性和真实性,而敏感数据仍然需要额外的保护措施。正确使用JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值