JWT工具详解

一、JWT工具类详解

JSON Web Token (JWT) 工具类是一种基于 JSON 格式的轻量级的传输安全的工具，用于在不同应用之间安全地传递信息。它主要由三个部分组成：头部(header)，载荷(payload)，签名(signature)。在实际使用中，JWT 工具类主要负责 token 的生成和验证。

下面是一个简单的 JWT 工具类生成 token 的代码示例：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    public static String generateToken(String username) {

        long currentTimeMillis = System.currentTimeMillis();
        Date currentDate = new Date(currentTimeMillis);

        Date expirationDate = new Date(currentTimeMillis + 1000 * 60 * 60 * 24); // 1 day

        String token = Jwts.builder()
                .setSubject(username)
                .setIssuedAt(currentDate)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();

        return token;
    }
}

在这个示例中，我们使用 io.jsonwebtoken 库，定义了一个 generateToken 方法，用于生成一个包含指定 username 的 token。代码中的 SECRET_KEY 是用于签名的密钥，可以根据实际需求设置。

二、JWT解码工具

当我们接收到一个 token 时，我们需要解码它才能得到其中的信息。这时候就需要使用 JWT 解码工具了。接下来的示例展示了如何使用 io.jsonwebtoken 库对 token 进行解码：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    // generateToken() implementation

    public static String getUsernameFromToken(String token) {

        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();

        String username = claims.getSubject();

        return username;
    }
}

在上面的示例中，我们定义了一个 getUsernameFromToken 方法，用于从指定的 token 中获取 username。需要注意的是，解码方法要使用与生成 token 相同的密钥(SECRET_KEY)。parseClaimsJws() 方法可以用于解码 token，并且验证其签名是否正确。

三、JWT工具包

虽然我们可以手动编写一些简单的方法来生成、解码或验证 token，但是这些方法可能存在漏洞，并且不方便使用。为了避免这些问题，我们可以使用一些现成的 JWT 工具包，例如 jjwt、java-jwt、auth0-java-jwt 等。

下面是一个使用 jjwt 库生成、解码和验证 token 的示例：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;

import java.security.Key;
import java.util.Date;

public class JwtUtils {

    private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);

    // generateToken() implementation

    public static Jws parseToken(String token) {

        Jws jws = Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY)
                .build()
                .parseClaimsJws(token);

        return jws;
    }
}

在这个示例中，我们使用了 jjwt 库，定义了 generateToken 和 parseToken 方法。generateToken 方法用于生成 token，与之前的方法相似；parseToken 方法用于解码和验证 token，返回一个包含 Claims 的 Jws 对象。

四、JWT工具箱

JWT 工具箱是一个在命令行中使用的 JWT 工具集。它可以用于生成、解码和验证 token，为我们在开发过程中提供了方便。下面是一个使用 java-jwt-toolbox 工具箱生成 token 的示例：

java -jar java-jwt-toolbox.jar \
    encrypt --key mySecretKey \
    --header "alg:HS512" \
    --payload "{\"sub\":\"username\"}"

在这个示例中，我们使用 java-jwt-toolbox 工具箱，使用 encrypt 命令生成一个包含 username 的 HS512 加密的 token。–key 参数用于指定签名的密钥，–header 参数用于指定头部信息，–payload 指定载荷信息。

五、JWT解析工具

除了在代码中解析 token，我们还可以使用一些在线的 JWT 解析工具，方便我们在调试阶段查看 token 中包含的信息。下面是一个使用 jwt.io 网站解析 token 的示例：

首先复制要解析的 token 到网站的 Decoder 栏中，就可以在 Payload 栏中查看其包含的信息了。

六、JWT工具加解密

有时候我们需要在 token 中包含一些敏感信息，为了保障安全，我们需要对其进行加密。下面是一个使用 Auth0 的 JWT 工具加解密的示例：

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    // generateToken() implementation

    public static String encryptToken(String token) {

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        String encryptedToken = JWT.require(algorithm)
                .withClaim("token", token)
                .sign(algorithm);

        return encryptedToken;
    }

    public static String decryptToken(String encryptedToken) {

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        DecodedJWT decodedJWT = JWT.require(algorithm)
                .build()
                .verify(encryptedToken);

        String token = decodedJWT.getClaim("token").asString();

        return token;
    }
}

在这个示例中，我们使用了 Auth0 的 jwt 库，实现了 encryptToken 和 decryptToken 方法。encryptToken 方法用于对指定的 token 进行加密，而 decryptToken 方法则用于解密加密后的 token。

七、JWT工具类生成、验证token

下面是一个使用 auth0-java-jwt 库生成、验证 token 的示例：

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    public static String generateToken(String username) {

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);

        String token = JWT.create()
                .withSubject(username)
                .sign(algorithm);

        return token;
    }

    public static boolean verifyToken(String token, String username) {

        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);

            JWT.require(algorithm)
                    .withSubject(username)
                    .build()
                    .verify(token);

            return true;

        } catch (Exception e) {
            return false;
        }
    }
}

在这个示例中，我们使用了 auth0-java-jwt 库，定义了 generateToken 和 verifyToken 方法。generateToken 方法用于生成 token，verifyToken 方法用于验证 token 是否合法。