Java中JWT技术解析与实践：安全高效的身份认证

jwt常见问题回复&简介

1. 什么是JWT（JSON Web Token）？
   JWT是一种用于身份验证和授权的开放标准（RFC 7519），它是基于JSON格式的轻量级安全令牌。JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。通常，JWT被用于在不同的系统之间传递安全性的声明信息，以便用户在跨域应用中进行身份验证。

2. JWT有什么好处，能干啥？
   JWT的主要优点包括：

• 轻量级：JWT是基于JSON格式的，相比于传统的XML格式，它更加轻巧且易于解析。
• 自包含：JWT中包含了用户的一些声明信息，因此无需查询数据库来验证用户身份，有效降低了服务器的负担。
• 无状态性：JWT本身是无状态的，所有的信息都被包含在令牌中，服务器端无需保存任何状态信息，使得系统易于扩展和维护。
• 安全性：JWT中使用签名进行验证，防止数据被篡改，确保了数据的完整性和安全性。

JWT能够实现的功能包括：

• 用户认证：JWT可以用于用户身份验证，客户端通过携带有效的JWT令牌来请求受限资源。
• 单点登录（SSO）：用户在一个应用登录后，可以获取JWT令牌，然后在其他相互信任的应用中使用该令牌来免登录。
• 授权信息传递：JWT中的载荷可以包含用户的角色、权限等信息，服务器可以根据这些信息做出授权决策（私密信息不要使用JWT 可以被人解析）。

3. JWT的组成：
   JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

• 头部（Header）：通常由两部分组成，令牌类型（typ）和使用的签名算法（alg）。示例：{"alg": "HS256", "typ": "JWT"}
• 载荷（Payload）：包含用户的声明信息，例如过期时间用户ID、角色、权限等。可以自定义其他声明信息。示例：{"sub": "1234567890", "name": "John Doe", "admin": true}
• 签名（Signature）：通过对头部和载荷进行签名，保证数据的完整性和安全性。签名的生成通常使用密钥进行加密，只有持有密钥的服务器才能验证签名的有效性。

4. 如何使用JWT？
   使用JWT通常包括以下步骤：

• 用户登录：用户提供用户名和密码进行登录验证。
• 服务器验证：服务器验证用户提供的信息是否正确，并生成JWT令牌。
• 令牌传递：服务器将JWT令牌发送回客户端。
• 客户端使用：客户端在后续请求中携带JWT令牌，发送给服务器进行身份验证和授权。

5. 系统中的JWT是如何使用的，在什么时候使用的？
   在一个系统中，JWT通常用于实现用户身份验证和授权。当用户登录成功后，服务器会生成一个JWT令牌并发送给客户端，客户端保存该令牌，并在后续的请求中将令牌添加到请求头或请求参数中。服务器在收到请求时，会解析JWT令牌并验证其合法性和有效性，从而判断用户是否已经登录以及是否有权限访问请求的资源。

   JWT的使用可以简化系统的身份验证和授权流程，提高系统的安全性和性能。同时，由于JWT本身是无状态的，不需要在服务器端保存会话信息，使得系统更易于扩展和维护。引入jwt，并使用生成token

使用步骤

当使用JWT进行用户身份验证和授权时，通常包含以下步骤：

1. 用户登录认证：

   • 用户提供用户名和密码进行登录。
   • 服务器接收用户提交的用户名和密码，通过UserService类中的authenticateUser方法验证用户名和密码是否正确。
   • 如果用户名和密码验证通过，认为用户登录成功，可以继续下一步生成JWT令牌。

2. 生成JWT令牌：

   • 在登录成功后，服务器使用JwtUtils工具类中的generateJwtToken方法生成JWT令牌。
   • generateJwtToken方法接收三个参数：
     • subject：即载荷（Payload）中的”sub”字段，通常用于标识用户的唯一标识，例如用户ID、用户名等。
     • expirationMillis：令牌的有效期，以毫秒为单位。令牌过期后将无效，需要重新登录获取新的令牌。
     • SECRET_KEY：用于签名的密钥，确保密钥保密，不要泄露给他人。
   • generateJwtToken方法会使用Jwts类的builder方法构建JWT令牌，并设置令牌的头部（Header）、载荷（Payload）、过期时间（Expiration）等信息。
   • 最后，使用指定的签名算法（此处使用HS256）对令牌进行签名，生成签名（Signature）部分，得到最终的JWT令牌。

3. 返回JWT令牌：

   • 服务器将生成的JWT令牌返回给客户端，通常通过将令牌添加到响应的Header或Body中。

4. 客户端携带JWT令牌：

   • 在后续的请求中，客户端需要在请求头或请求参数中携带JWT令牌，通常使用”Authorization”字段来传递令牌。
   • 例如，可以将JWT令牌添加到请求头的”Authorization”字段中，格式为”Bearer <JWT_Token>“，其中”<JWT_Token>”为生成的JWT令牌。

5. 解析和验证JWT令牌：

   • 服务器接收到带有JWT令牌的请求后，需要对令牌进行解析和验证，以验证用户身份和授权信息。
   • 使用JwtUtils工具类中的parseJwtToken方法对JWT令牌进行解析和验证。
   • parseJwtToken方法接收一个JWT令牌作为参数，并使用之前设置的密钥SECRET_KEY对令牌进行解析。
   • 如果解析和验证成功，parseJwtToken方法将返回载荷（Payload）中的”sub”字段的值，即之前设置的用户唯一标识。
   • 如果解析和验证失败，可能是令牌过期、签名验证不通过等，服务器将拒绝请求，要求客户端重新登录获取新的令牌。

6. 用户访问控制：

   • 在服务器端验证JWT令牌成功后，可以根据令牌中携带的用户信息（例如用户角色、权限等）进行访问控制和授权决策。
   • 服务器可以根据令牌中的信息判断用户是否有权限访问请求的资源，并执行相应的业务逻辑。

精简版案例：

客户端生成令牌：
public void generateJWT() {
    JwtBuilder builder = Jwts.builder();
    String token = builder
        // 头部
        .setHeaderParam("typ", "JWT")
        .setHeaderParam("alg", "HS256")
        // 载荷数据/过期时间
        .claim("id", 10001)
        .claim("nickName", "老王")
        // 设置过期时间，这里设置为当前时间加上一小时
        .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60))
        // 设置JWT的唯一标识（ID），这里使用UUID生成唯一ID
        .setId(UUID.randomUUID().toString())
        // 签名，使用HS256算法和指定的密钥（key）进行签名
        .signWith(SignatureAlgorithm.HS256, key)
        // 构造JWT令牌
        .compact();

    System.out.println(token);
}

/**
 * 服务器解析JWT
 */
@Test
public void verifyJWT() {
    // 要解析的JWT令牌
    String jwt = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MTAwMDEsIm5pY2tOYW1lIjoi6ICB546LIiwiZXhwIjoxNjkwMjc0NTg3LCJqdGkiOiIxZTY0MWExMS0yMjJkLTQ4YjMtODQ1OS05ZTlmNDUxZjIyZGQifQ.nby2Lp7nx4BLuk3SFAk0ZLPbhliLQ0l3eWOADnX5Kfc";

    // 创建JwtParser对象，用于解析JWT令牌
    JwtParser parser = Jwts.parser();

    // 解析JWT令牌并验证签名
    Jws<Claims> claimsJws = null;
    try {
        claimsJws = parser
                .setSigningKey(key) // 设置验证签名所使用的密钥（与生成JWT时使用的密钥相同）
                .parseClaimsJws(jwt); // 解析JWT令牌
        Claims body = claimsJws.getBody(); // 获取解析后的JWT令牌的载荷（Payload）
        System.out.println(body); // 输出解析后的JWT令牌的载荷内容
    } catch (Exception e) {
        // 验证失败，抛出异常
        throw new RuntimeException(e);
    }
}

常用案例

借助jjwt库来生成和解析JWT令牌。

首先，确保在项目中导入jjwt库的依赖：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

接下来，我们定义一个简单的JWT工具类来生成和解析JWT令牌：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtils {

    private static final String SECRET_KEY = "your-secret-key"; // 替换为自己的密钥

    public static String generateJwtToken(String subject, long expirationMillis) {
        Date now = new Date();
        Date expirationDate = new Date(now.getTime() + expirationMillis);

        return Jwts.builder()
                .setSubject(subject)
                .setIssuedAt(now)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    public static String parseJwtToken(String jwtToken) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwtToken)
                .getBody();
        return claims.getSubject();
    }
}

在上面的代码中，我们定义了generateJwtToken方法用于生成JWT令牌，parseJwtToken方法用于解析JWT令牌。需要注意的是，我们在生成和解析JWT令牌时都使用了同一个密钥SECRET_KEY，确保密钥保密，不要泄露给他人。

这里的密钥可以使用算法生成

 public static String generateRandomKey() {
        // 生成256位的随机字节数组
        byte[] keyBytes = new byte[32];
        SecureRandom secureRandom = new SecureRandom();
        secureRandom.nextBytes(keyBytes);

        // 将字节数组转换为Base64编码的字符串
        String key = Base64.getEncoder().encodeToString(keyBytes);
        System.out.println(key + "==============");

        return key;
    }

在这段代码中，我们使用Jwts.builder()来创建JWT令牌（JSON Web Token）。Jwts是jjwt库中的一个类，用于构建JWT令牌。

接下来，我们可以使用这个JWT工具类来实现用户登录和认证的功能：

public class UserService {

    // 模拟用户数据库
    private Map<String, String> userDatabase = new HashMap<>();
    {
        userDatabase.put("user1", "password1");
        userDatabase.put("user2", "password2");
    }

    public boolean authenticateUser(String username, String password) {
        String storedPassword = userDatabase.get(username);
        return storedPassword != null && storedPassword.equals(password);
    }
}

在上面的示例中，我们假设有一个UserService类，其中authenticateUser方法用于验证用户的用户名和密码是否正确。请注意，这里只是一个简化的模拟用户数据库，实际应用中应该使用更安全和可靠的方式来存储和验证用户信息。

接下来，我们可以在主类中使用这些组件来演示JWT的使用：

public class Main {
    public static void main(String[] args) {
        UserService userService = new UserService();

        // 用户登录，验证用户名和密码是否正确
        String username = "user1";
        String password = "password1";
        boolean isAuthenticated = userService.authenticateUser(username, password);

        if (isAuthenticated) {
            // 用户登录成功，生成JWT令牌并返回给客户端
            String jwtToken = JwtUtils.generateJwtToken(username, 3600000); // 令牌有效期1小时
            System.out.println("JWT Token: " + jwtToken);

            // 客户端在后续请求中携带JWT令牌，服务器端解析令牌并验证用户身份
            String parsedUsername = JwtUtils.parseJwtToken(jwtToken);
            System.out.println("Parsed Username: " + parsedUsername);
        } else {
            System.out.println("Authentication failed. Invalid username or password.");
        }
    }
}

在这个示例中，我们首先进行用户登录认证，如果用户名和密码验证通过，我们就生成JWT令牌并返回给客户端。在后续的请求中，客户端需要在请求头或请求参数中携带这个JWT令牌，服务器端解析令牌并验证用户身份，从而实现了用户的身份验证和授权功能。

请注意，实际应用中，我们应该更加完善和安全地管理JWT令牌，例如设置更短的过期时间、使用HTTPS等。此外，建议使用第三方库来处理JWT令牌的生成和解析，以确保安全性和正确性。

关于代码的解释

下面逐个方法来解释这段代码的含义：

1. setSubject(subject)：设置JWT令牌的主题（Subject）。在JWT中，主题是令牌所针对的用户，通常用于标识用户的唯一标识，例如用户ID或用户名。这个方法用于将用户的唯一标识作为主题设置到JWT令牌中。
2. setIssuedAt(now)：设置JWT令牌的签发时间（Issued At）。在JWT中，签发时间表示令牌的创建时间。这个方法用于将当前时间设置为令牌的签发时间。
3. setExpiration(expirationDate)：设置JWT令牌的过期时间（Expiration）。在JWT中，过期时间表示令牌的有效期截止时间。在过期时间之后，令牌将失效，需要重新登录获取新的令牌。这个方法用于将指定的过期时间设置到JWT令牌中。
4. signWith(SignatureAlgorithm.HS256, SECRET_KEY)：对JWT令牌进行签名。在JWT中，签名是为了保证令牌的完整性和安全性。签名需要一个密钥来进行加密，确保只有服务器持有密钥才能验证令牌的有效性。这个方法使用指定的签名算法（此处使用HS256）和密钥（SECRET_KEY）对令牌进行签名。
5. compact()：将JWT令牌压缩成一个字符串形式。在上面的代码中，Jwts.builder()用于构建JWT令牌的各个部分，compact()方法将JWT令牌压缩成最终的字符串形式，以便返回给客户端。

综合起来，这段代码的作用是创建一个包含指定主题、签发时间和过期时间的JWT令牌，并使用指定的签名算法和密钥对令牌进行签名，最后将JWT令牌压缩成字符串形式并返回给客户端。生成的JWT令牌将包含在响应中，客户端可以在后续的请求中携带该令牌进行身份验证和授权。服务器在接收到带有JWT令牌的请求后，可以使用相同的密钥对令牌进行解析和验证，以确认令牌的合法性和有效性。

在这段代码中，我们定义了一个静态方法parseJwtToken，用于解析JWT令牌并获取其中的主题（Subject）信息。parseJwtToken方法接收一个JWT令牌（字符串形式）作为参数，并返回解析后的主题信息。

下面逐个方法来解释这段代码的含义：

1. Jwts.parser()：创建一个JWT解析器。在jjwt库中，Jwts类的parser()方法用于创建一个JWT解析器，用于解析JWT令牌的内容。
2. setSigningKey(SECRET_KEY)：设置JWT解析器的验证密钥。在解析JWT令牌时，需要使用相同的密钥来验证令牌的签名。这个方法使用之前生成JWT令牌时使用的密钥SECRET_KEY来设置JWT解析器的验证密钥。
3. parseClaimsJws(jwtToken)：解析JWT令牌并获取Claims对象。在jjwt库中，parseClaimsJws方法用于解析JWT令牌，并返回一个Jws<Claims>对象，其中包含了JWT令牌的头部、载荷和签名等信息。
4. getBody()：从Jws<Claims>对象中获取JWT令牌的载荷（Payload）。在JWT中，载荷部分是一个JSON对象，包含了令牌的各种信息，例如主题（Subject）、签发时间（Issued At）、过期时间（Expiration）等。这个方法获取JWT令牌的载荷，并返回一个Claims对象，其中包含了令牌的所有信息。
5. claims.getSubject()：从Claims对象中获取主题信息。在JWT令牌的载荷中，通常使用”sub”字段来标识主题，即令牌所针对的用户唯一标识，例如用户ID或用户名。这个方法获取JWT令牌的主题信息，并返回给调用方。

综合起来，这段代码的作用是解析传入的JWT令牌，并从令牌的载荷中获取主题信息。这个主题信息通常用于标识令牌所针对的用户，服务器可以根据主题信息来验证用户身份和进行访问控制。如果JWT令牌的签名验证通过且令牌没有过期，parseJwtToken方法将返回令牌的主题信息，否则可能会抛出异常或返回null，取决于解析过程中是否出现异常。

总结：
JWT的使用过程包括用户登录认证、生成JWT令牌、返回令牌给客户端、客户端携带令牌访问资源、服务器解析和验证令牌、根据令牌中的信息进行用户访问控制。JWT的无状态特性使得服务器无需保存会话信息，提高了系统的性能和可伸缩性。同时，使用合适的签名算法和保密的密钥，JWT令牌能够提供一定程度的安全性，确保令牌的完整性和安全性。