springboot中整合JWT

原创已于 2024-01-31 09:46:22 修改 · 2k 阅读

23 ·

CC 4.0 BY-SA版权

文章标签：

#spring boot

于 2024-01-31 09:37:46 首次发布

本文介绍了JWT（JSONWebToken）的概念、用途（如授权和信息交换），其结构（包括Header、Payload和Signature），以及如何在SpringBoot项目中使用JWT，包括添加依赖、配置和创建/验证JWT实例。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、什么是JWT？

JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

二、JWT能做什么？

1.授权
这是使用JWT的最常见方案。一旦用户登录，每个后续请求将包括JWT，从而授权允许的路由，服务和资源。单点登录是当今广泛使用JWT的一项功能，因为它的开销很小并且可以在不同的域中轻松使用。
2.信息交换
JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名（例如，使用公钥/私钥对），所以您可以确保发件人是他们所说的人。此外，由于签名是使用标头和有效负载计算的，因此您还可以验证内容是否遭到篡改。
注意：jwt跟session不一样，jwt存储在客户端，session存储在服务器端，服务器断电后session就没了，而jwt因为存储在客户端，所以就不会被影响，只要jwt不过期，就可以继续使用。
:::
基于JWT的认证过程：

在登录过程中用户名&密码的传输建议采用SSL加密的传输（https协议），从而避免敏感信息被嗅探。

三、JWT的结构

token string ====> header.payload.singnature token
1.令牌组成

1.标头(Header)
2.有效载荷(Payload)
3.签名(Signature)
因此，JWT通常如下所示:xxxxx.yyyyy.zzzzz ** Header.Payload.Signature**

2.Header

标头通常由两部分组成：令牌的类型（即JWT）和所使用的签名算法，例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。
注意:Base64是一种编码，也就是说，它是可以被翻译回原来的样子来的。它并不是一种加密过程。
{
“alg”: “HS256”,
“typ”: “JWT”
}

3.Payload

令牌的第二部分是有效负载，其中包含声明。声明是有关实体
（通常是用户）和其他数据的声明。同样的，它会使用 Base64 编码组成 JWT 结构的第二部分

{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}

4.Signature

前面两部分都是使用 Base64 进行编码的，即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload以及我们提供的一个密钥，然后使用 header 中指定的签名算法（HS256）进行签名。签名的作用是保证 JWT 没有被篡改过
如:
HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret);
签名目的
最后一步签名的过程，实际上是对头部以及负载内容进行签名，防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合形成新的JWT的话，那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务器加密时用的密钥的话，得出来的签名也是不一样的。
信息安全问题
在这里大家一定会问一个问题：Base64是一种编码，是可逆的，那么我的信息不就被暴露了吗？
是的。所以，在JWT中，不应该在负载里面加入任何敏感的数据。在上面的例子中，我们传输的是用户的User ID。这个值实际上不是什么敏感内容，一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中，那么怀有恶意的第三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统，甚至实现Web应用的单点登录。
:::

四、SpringBoot内使用JWT

第一步、添加依赖：


<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

第二步、在application.yml中添加jwt配置文件

# JWT 配置
jwt:
  # 加密密钥
  secret: 1817416238
  # token有效时长 S
  expire: 1800

第三步、添加Jwt工具类

package com.example.template.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.template.common.constant.TokenConstant;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.util.Calendar;
import java.util.HashMap;
import java.util.Map;


@Component
public class JwtUtil {

    @Value("${jwt.secret}")
    public  String secret;

    @Value("${jwt.expire}")
    public  Integer tokenExpire;

    @Autowired
    private RedisUtil redisUtil;

    /**
     * 传入payload信息获取token
     * @param map payload
     * @return token
     */
    public  String getToken(Map<String, Object> map,String clientType) {
        System.out.println(secret+tokenExpire);
        JWTCreator.Builder builder = JWT.create();
        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,(String) v);
        });
        map.put("client_type",clientType);
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, tokenExpire); //默认1800秒过期
        builder.withExpiresAt(instance.getTime());//指定令牌的过期时间
        String token = builder.sign(Algorithm.HMAC256(secret));
        String userId = (String) map.get("userId");
        if (userId != null){
            redisUtil.hmset("token:" + userId, map);
        }
        return token;
    }

    /**
     * 验证token 合法性
     */
    public  DecodedJWT verify(String token) {
        //如果有任何验证异常，此处都会抛出异常
        return JWT.require(Algorithm.HMAC256(secret)).build().verify(token);
    }


    //传入token携带的信息 与redis比对
    public boolean checkToken(Map<String,String> map,String clientType){
        if (clientType ==null || clientType.isEmpty()){
           clientType = TokenConstant.CLIENT_TYPE_WEB;
        }
        Map<Object, Object> redisMap = redisUtil.hmget(TokenConstant.TOKEN_KEY_PREFIX + map.get("userId"));
        if (redisMap != null){
            if (redisMap.get("client_type").equals(clientType)&&redisMap.get("userId").equals(map.get("userId"))&&
            redisMap.get("username").equals(map.get("username"))){
                return true;
            }
        }
        return false;
    }

    /**
     * 获取token信息方法
     */
    public Map<String, String> getTokenInfo(String token) {
        Map<String, String> tokenInfo = new HashMap<>();
        Map<String, Claim> decodedClaims = JWT.require(Algorithm.HMAC256(secret)).build().verify(token).getClaims();
        // 将解码后的声明信息存入 tokenInfo map 中
        for (Map.Entry<String, Claim> entry : decodedClaims.entrySet()) {
            String claimName = entry.getKey();
            String claimValue = entry.getValue().asString();

            tokenInfo.put(claimName, claimValue);
        }

        return tokenInfo;
    }

}