1分钟学会使用jwt,(Json Web token)创建token令牌,解析token令牌(通俗的说就是加签,验签,而不是加密 解密)

可以破解jwt的网址:http://jwt.calebb.net/

上代码

public static void main(String[] args) {
        //用户登录,获取数据库用户表的信息
        //假如用户id:1
        JwtBuilder builder = Jwts.builder()
                //设置用户id
                .setId("1")
                //设置主题(这个主题是干什么用的?,也可以不设置,感觉可以放其他重要的信息)
                .setSubject("bwcx123")
                //设置创建时间
                .setIssuedAt(new Date())
                //设置过期时间
                .setExpiration(new Date(new Date().getTime() + 60000))
                //设置角色名称
                .claim("roles","admin")
                //自定义key(可以理解为解密的钥匙一般在配置文件里面)
                .signWith(SignatureAlgorithm.HS256, "bwcyguil");
        //用户登录之后,返回给前端token
        System.out.println("token..."+builder.compact());

        //前端请求带着token,后端解析
        Claims claims=Jwts.parser().setSigningKey("bwcyguil").parseClaimsJws(builder.compact()).getBody();
        //获取用户id
        System.out.println("id:"+claims.getId());
        //获取主题
        System.out.println("subject:"+claims.getSubject());
        //获取token创建时间(格式化时间引的jar为org.joda.time.DateTime)
        System.out.println("IssuedAt:"+ new DateTime(claims.getIssuedAt()).toString("yyyy-MM-dd HH:mm:ss"));
        //获取角色名称
        System.out.println("roles:"+claims.get("roles"));
    }
<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>
<!-- https://mvnrepository.com/artifact/joda-time/joda-time -->
        <dependency>
            <groupId>joda-time</groupId>
            <artifactId>joda-time</artifactId>
            <version>2.10</version>
        </dependency>

得到的token串,使用.分成三部分。第一部分和第二部分都是能够解析的明文,jwt只是做到防窜改里面的信息别人可以解析

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwic3ViIjoiYndjeDEyMyIsImlhdCI6MTU5NjYxNzY4MiwiZXhwIjoxNTk2NjE3NzQyLCJyb2xlcyI6ImFkbWluIn0.agcLJBAOqC2Ukz9yx0JnFT9Sgx--8oMR4jpAaEHm0Eo

第一部分jwt头(存储类型jwt,加密方式HS256):eyJhbGciOiJIUzI1NiJ9

第二部分荷载(就是存的你放进去的信息):eyJqdGkiOiIxIiwic3ViIjoiYndjeDEyMyIsImlhdCI6MTU5NjYxNzY4MiwiZXhwIjoxNTk2NjE3NzQyLCJyb2xlcyI6ImFkbWluIn0

第三部分:使用第一部分给的加密方式,将第一部分+第二部分+密匙进行加密

为什么说jwt防窜改:如果修改了第一部分或者第二部分,服务端再次加密出来的第三部分和客户端的匹配不上

可参考博客:https://www.jianshu.com/p/836df92c06eb

posted @ 2020-04-22 14:55  createcoc  阅读(1181)  评论(0编辑  收藏  举报