1分钟学会使用jwt,(Json Web token)创建token令牌,解析token令牌(通俗的说就是加签,验签,而不是加密 解密)
可以破解jwt的网址:http://jwt.calebb.net/
上代码
public static void main(String[] args) { //用户登录,获取数据库用户表的信息 //假如用户id:1 JwtBuilder builder = Jwts.builder() //设置用户id .setId("1") //设置主题(这个主题是干什么用的?,也可以不设置,感觉可以放其他重要的信息) .setSubject("bwcx123") //设置创建时间 .setIssuedAt(new Date()) //设置过期时间 .setExpiration(new Date(new Date().getTime() + 60000)) //设置角色名称 .claim("roles","admin") //自定义key(可以理解为解密的钥匙一般在配置文件里面) .signWith(SignatureAlgorithm.HS256, "bwcyguil"); //用户登录之后,返回给前端token System.out.println("token..."+builder.compact()); //前端请求带着token,后端解析 Claims claims=Jwts.parser().setSigningKey("bwcyguil").parseClaimsJws(builder.compact()).getBody(); //获取用户id System.out.println("id:"+claims.getId()); //获取主题 System.out.println("subject:"+claims.getSubject()); //获取token创建时间(格式化时间引的jar为org.joda.time.DateTime) System.out.println("IssuedAt:"+ new DateTime(claims.getIssuedAt()).toString("yyyy-MM-dd HH:mm:ss")); //获取角色名称 System.out.println("roles:"+claims.get("roles")); }
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency>
<!-- https://mvnrepository.com/artifact/joda-time/joda-time --> <dependency> <groupId>joda-time</groupId> <artifactId>joda-time</artifactId> <version>2.10</version> </dependency>
得到的token串,使用.分成三部分。第一部分和第二部分都是能够解析的明文,jwt只是做到防窜改里面的信息别人可以解析
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwic3ViIjoiYndjeDEyMyIsImlhdCI6MTU5NjYxNzY4MiwiZXhwIjoxNTk2NjE3NzQyLCJyb2xlcyI6ImFkbWluIn0.agcLJBAOqC2Ukz9yx0JnFT9Sgx--8oMR4jpAaEHm0Eo
第一部分jwt头(存储类型jwt,加密方式HS256):eyJhbGciOiJIUzI1NiJ9
第二部分荷载(就是存的你放进去的信息):eyJqdGkiOiIxIiwic3ViIjoiYndjeDEyMyIsImlhdCI6MTU5NjYxNzY4MiwiZXhwIjoxNTk2NjE3NzQyLCJyb2xlcyI6ImFkbWluIn0
第三部分:使用第一部分给的加密方式,将第一部分+第二部分+密匙进行加密
为什么说jwt防窜改:如果修改了第一部分或者第二部分,服务端再次加密出来的第三部分和客户端的匹配不上