JWT工具詳解

一、JWT工具類詳解

JSON Web Token (JWT) 工具類是一種基於 JSON 格式的輕量級的傳輸安全的工具，用於在不同應用之間安全地傳遞信息。它主要由三個部分組成：頭部(header)，載荷(payload)，簽名(signature)。在實際使用中，JWT 工具類主要負責 token 的生成和驗證。

下面是一個簡單的 JWT 工具類生成 token 的代碼示例：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    public static String generateToken(String username) {

        long currentTimeMillis = System.currentTimeMillis();
        Date currentDate = new Date(currentTimeMillis);

        Date expirationDate = new Date(currentTimeMillis + 1000 * 60 * 60 * 24); // 1 day

        String token = Jwts.builder()
                .setSubject(username)
                .setIssuedAt(currentDate)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();

        return token;
    }
}

在這個示例中，我們使用 io.jsonwebtoken 庫，定義了一個 generateToken 方法，用於生成一個包含指定 username 的 token。代碼中的 SECRET_KEY 是用於簽名的密鑰，可以根據實際需求設置。

二、JWT解碼工具

當我們接收到一個 token 時，我們需要解碼它才能得到其中的信息。這時候就需要使用 JWT 解碼工具了。接下來的示例展示了如何使用 io.jsonwebtoken 庫對 token 進行解碼：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    // generateToken() implementation

    public static String getUsernameFromToken(String token) {

        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();

        String username = claims.getSubject();

        return username;
    }
}

在上面的示例中，我們定義了一個 getUsernameFromToken 方法，用於從指定的 token 中獲取 username。需要注意的是，解碼方法要使用與生成 token 相同的密鑰(SECRET_KEY)。parseClaimsJws() 方法可以用於解碼 token，並且驗證其簽名是否正確。

三、JWT工具包

雖然我們可以手動編寫一些簡單的方法來生成、解碼或驗證 token，但是這些方法可能存在漏洞，並且不方便使用。為了避免這些問題，我們可以使用一些現成的 JWT 工具包，例如 jjwt、java-jwt、auth0-java-jwt 等。

下面是一個使用 jjwt 庫生成、解碼和驗證 token 的示例：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;

import java.security.Key;
import java.util.Date;

public class JwtUtils {

    private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);

    // generateToken() implementation

    public static Jws parseToken(String token) {

        Jws jws = Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY)
                .build()
                .parseClaimsJws(token);

        return jws;
    }
}

在這個示例中，我們使用了 jjwt 庫，定義了 generateToken 和 parseToken 方法。generateToken 方法用於生成 token，與之前的方法相似；parseToken 方法用於解碼和驗證 token，返回一個包含 Claims 的 Jws 對象。

四、JWT工具箱

JWT 工具箱是一個在命令行中使用的 JWT 工具集。它可以用於生成、解碼和驗證 token，為我們在開發過程中提供了方便。下面是一個使用 java-jwt-toolbox 工具箱生成 token 的示例：

java -jar java-jwt-toolbox.jar \
    encrypt --key mySecretKey \
    --header "alg:HS512" \
    --payload "{\"sub\":\"username\"}"

在這個示例中，我們使用 java-jwt-toolbox 工具箱，使用 encrypt 命令生成一個包含 username 的 HS512 加密的 token。–key 參數用於指定簽名的密鑰，–header 參數用於指定頭部信息，–payload 指定載荷信息。

五、JWT解析工具

除了在代碼中解析 token，我們還可以使用一些在線的 JWT 解析工具，方便我們在調試階段查看 token 中包含的信息。下面是一個使用 jwt.io 網站解析 token 的示例：

首先複製要解析的 token 到網站的 Decoder 欄中，就可以在 Payload 欄中查看其包含的信息了。

六、JWT工具加解密

有時候我們需要在 token 中包含一些敏感信息，為了保障安全，我們需要對其進行加密。下面是一個使用 Auth0 的 JWT 工具加解密的示例：

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    // generateToken() implementation

    public static String encryptToken(String token) {

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        String encryptedToken = JWT.require(algorithm)
                .withClaim("token", token)
                .sign(algorithm);

        return encryptedToken;
    }

    public static String decryptToken(String encryptedToken) {

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        DecodedJWT decodedJWT = JWT.require(algorithm)
                .build()
                .verify(encryptedToken);

        String token = decodedJWT.getClaim("token").asString();

        return token;
    }
}

在這個示例中，我們使用了 Auth0 的 jwt 庫，實現了 encryptToken 和 decryptToken 方法。encryptToken 方法用於對指定的 token 進行加密，而 decryptToken 方法則用於解密加密後的 token。

七、JWT工具類生成、驗證token

下面是一個使用 auth0-java-jwt 庫生成、驗證 token 的示例：

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

public class JwtUtils {

    private static final String SECRET_KEY = "mySecretKey";

    public static String generateToken(String username) {

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);

        String token = JWT.create()
                .withSubject(username)
                .sign(algorithm);

        return token;
    }

    public static boolean verifyToken(String token, String username) {

        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);

            JWT.require(algorithm)
                    .withSubject(username)
                    .build()
                    .verify(token);

            return true;

        } catch (Exception e) {
            return false;
        }
    }
}

在這個示例中，我們使用了 auth0-java-jwt 庫，定義了 generateToken 和 verifyToken 方法。generateToken 方法用於生成 token，verifyToken 方法用於驗證 token 是否合法。