JWT 实战

上一篇我们讲解了 JWT 的基本原理和结构 你了解JWT吗?,接下来我们具体实战一下!

1. 引入依赖

<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

2. 编写工具类

@Slf4j
public class JwtUtils {

    private static final String SIGN = "!Q@WXDjksWE$";

    /**
     * 生成 Token  header.payload.signature
     */
    public static String getToken(Map<String, String> map) {
        // 指定令牌的过期时间为 7 天
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE, 7);

        // 创建 Jwt builder
        JWTCreator.Builder builder = JWT.create();

        // 循环添加 payload
        map.forEach((k, v) -> builder.withClaim(k, v));

        // 指定过期时间 签名 指定加密算法和密钥
        String token = builder.withExpiresAt(instance.getTime()).sign(Algorithm.HMAC256(SIGN));
        log.info("token = {}", token);
        return token;
    }

    /**
     * 1)验证 Token 合法性【签名一样,token合法,过期校验】
     * 2)如果 Token 校验过程中出现错误,直接抛异常
     *  - SignatureVerificationException:    签名不一致异常
     *  - TokenExpiredException:             令牌过期异常
     *  - AlgorithmMismatchException:	     算法不匹配异常
     *  - InvalidClaimException:	     失效的payload异常
     */
    public static void verify(String token) {
        JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
    }

    /**
     * 获取 token 中信息【先校验 token 合法性,然后再拿 token 中信息】
     */
    public static DecodedJWT getTokenInfo(String token) {
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
        return verify;
    }

}

3. 测试用例

 

@SpringBootTest
@Slf4j
public class TestJwt {

    @Test
    public void testJwt() {
        /**
         * JWT 中 header 默认就是 {"alg": "HS256", "typ": "JWT"} 一般不做改变
         */
        HashMap<String, Object> map = new HashMap<>();
        // 指定令牌的过期时间为 20s
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 1000);

        // 获取令牌
        String token = JWT.create()
                .withHeader(map)
                .withClaim("userId", 21)        // payload
                .withClaim("username", "zhangsan")  // payload
                .withExpiresAt(instance.getTime())           // 指定令牌的过期时间
                .sign(Algorithm.HMAC256("!Q@WXDjksWE$"));    // 签名,指定加密算法和密钥

        log.info("token = {}", token);
    }

    @Test
    public void testValid() {
        // 创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!Q@WXDjksWE$")).build();

        // 校验,获取校验后的结果对象信息【需要将上一个 test 执行的 token 字符串传入,进行校验】
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDMzMzU3NzUsInVzZXJJZCI6MjEsInVzZXJuYW1lIjoiemhhbmdzYW4ifQ.
bLzXG8-QpcwmQSEBEtkoZVBySG2XO5I462fFwTN8MLQ"); log.info("header = {}", verify.getHeader()); log.info("userId = {}, usernmae = {}", verify.getClaims().get("userId").asInt(), verify.getClaims().get("username").asString()); log.info("过期时间 = {}", verify.getExpiresAt()); } }

4. 执行结果

 

 5. 总结

  1)JWT (Json Web Token) 令牌格式:【token = head.payload.signature】

  2)校验Token顺序:a. 校验签名算法是否一样; b. 校验签名是否一样【即:head patload secret 是否一样】;c. 校验Token是否有效【前后是否一致 equals】;d. 校验Token是否过期。

posted @ 2020-10-22 11:27  菜鸟的奋斗之路  阅读(703)  评论(0编辑  收藏  举报