Java简单快速入门JWT（token生成与验证）

一、Token简单介绍

        简单来说，token就是一个将信息加密之后的密文，而jwt也是token的实现方式之一，用于服务器端进行身份验证和授权访问控制。由于是快速入门，这里简单介绍一下jwt的生成原理

        jwt由三部分组成。分别是

                1.Header（标头），一般用于指明token的类型和加密算法

                2.PayLoad（载荷），存储token有效时间及各种自定义信息，如用户名，id、发行者等

                3.Signature（签名），是用标头提到的算法对前两部分进行加密，在签名认证时，防止止信息被修改

        而Header和PayLoad最初都是json格式的键值对，格式如下

        Header：

{
  "alg": "HS256",  #签名加密所用的算法
  "typ": "JWT"     #表名token的格式
}

        PayLoad：此段json中保存了用户的部分信息

{
  "sub": "1234567890",  #主题
  "name": "John Doe",  #用户名
  "isVIP": true,     #是否为vip用户
  "exp": 1677740800   #过期时间
}

         Signature：签名，首先将Header和PayLoad的json字符串进行Base64Url加密后，得到两个加密后的字符串，然后把这两个字符串由‘.’拼接起来，然后再将拼接好的字符串再用之前 Header中提到的算法与一个密钥（一般为一个字符串）进行加密后得到一个新的字符串，最后把这个新字符串和之前使用Base64Url加密后的两段字符串进行连接，最终得到token字符串，然后就可以把它发送给客户端进行存储了。

        一般jwt格式token格式如下

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiam9rZXIiLCJleHAiOjE2OTQxODE2NDUsInB3ZCI6IjEyMyJ9.vDrOQp-FkmRCQBzfaZsxzkef-iNjkAuAaqvT7Ns5Ab0


#(Header).(PayLoad).(Signature)

当然，作为快速上手jwt的文章，这里就不对jwt及token进行更加深入的讲解了，以上内容只需要做简单了解有个映像即可，总而言之：

        token就是一个在服务器端生成，包含了部分用户信息，最后发送给客户端进行保管的加密字符串，当客户端向服务器再次发起请求时，请求需携带token，服务器端对token进行验证，以确定用户是否有权访问。（以此来实现，登录验证，权限校验，记住密码等功能）

        接下来做一个简单的代码实现

二、代码实现

• 导入相关依赖jar包（此jwt框架功能比较齐全且简单，适合初学者) 

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.2.1</version>
</dependency>

• jwt生成 

1. 首先需要一个字符串密钥进行加密，这个字符串可自定义，然后提前规划好你项目的jwt想要储存哪些自定义信息，例如用户名，密码，id，等等（这里为了方便演示，这里就把用户名以及密钥字符串设为常量了）

   package com.example.jwtdemo.Controller;
   
   import com.auth0.jwt.JWT;
   import com.auth0.jwt.JWTCreator;
   import com.auth0.jwt.algorithms.Algorithm;
   import org.springframework.stereotype.Controller;
   import org.springframework.web.bind.annotation.GetMapping;
   import org.springframework.web.bind.annotation.RestController;
   
   import java.util.Date;
   import java.util.HashMap;
   import java.util.Map;
   
   @RestController
   @Controller("/")
   public class TestController {
       //用户的用户名
       private static final String USERNAME = "admin"; 
   
       //用于签名加密的密钥，为一个字符串（需严格保密）
       private static final String KEY = "the_key";
   
   
       @GetMapping("/jwt")
       public String setToken() {
           
           //获取jwt生成器
           JWTCreator.Builder jwtBuilder = JWT.create();
   
           //由于该生成器设置Header的参数为一个<String, Object>的Map,
           //所以我们提前准备好
           Map<String, Object> headers = new HashMap<>();
   
           headers.put("typ", "jwt");   //设置token的type为jwt
           headers.put("alg", "hs256");  //表明加密的算法为HS256
   
           //开始生成token
           //我们将之前准备好的header设置进去
           String token = jwtBuilder.withHeader(headers)
   
                   //接下来为设置PayLoad,Claim中的键值对可自定义
                   //设置用户名
                   .withClaim("username", USERNAME) 
                      
                   //是否为VIP用户
                   .withClaim("isVIP", true)
                   
                   //设置用户id
                   .withClaim("userId", 123)
   
                   //token失效时间，这里为一天后失效
                   .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24))
                   //设置该jwt的发行时间，一般为当前系统时间
                   .withIssuedAt(new Date(System.currentTimeMillis()))
   
                   //token的发行者（可自定义）
                   .withIssuer("issuer")
   
                   //进行签名，选择加密算法，以一个字符串密钥为参数
                   .sign(Algorithm.HMAC256(KEY));
   
           //token生成完毕，可以发送给客户端了，前端可以使用
           //localStorage.setItem("your_token", token)进行存储，在
           //下次请求时携带发送给服务器端进行验证
           System.out.println(token);
           return token;
       }
   }
   

   最终生成的jwt

   eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJpc3N1ZXIiLCJleHAiOjE2OTQyNzA0OTMsImlhdCI6MTY5NDE4NDA5MywiaXNWSVAiOnRydWUsInVzZXJuYW1lIjoiYWRtaW4ifQ.JiTMn2jDaUTolPXB0TCBBOwSHG1l75W2oy2isdWhQIU

   PS：以上代码中向jwt中注册的键值对不是都为必须的，需按照自己的情况进行设置

• jwt验证 

        我们从客户端的请求中获取其携带的token进行验证，已确定其是否有权访问或进行其他的业务逻辑操作 

    @GetMapping("/verify")
    public boolean verify(HttpServletRequest request) {

        /*从请求头中获取token（具体要看你的token放在了请求的哪里，
           这里以放在请求头举例）
        */
        String token = request.getHeader("token");

        /*判断token是否存在，若不存在，验证失败，
            并进行验证失败的逻辑操作（例如跳转到登录界面，
            或拒绝访问等等）*/
        if (token == null) return false;
        
        /*获取jwt的验证器对象，传入的算法参数以及密钥字符串（KEY）必须
        和加密时的相同*/
        var require = JWT.require(Algorithm.HMAC256(KEY)).build();

        DecodedJWT decode;
        try {
            
            /*开始进行验证，该函数会验证此token是否遭到修改，
                以及是否过期，验证成功会生成一个解码对象
                ，如果token遭到修改或已过期就会
                抛出异常，我们用try-catch抓一下*/
            decode = require.verify(token);

        } catch (Exception e) {

            //抛出异常，验证失败
            return false;
        }

        //若验证成功，就可获取其携带的信息进行其他操作
        
        //可以一次性获取所有的自定义参数，返回Map集合
        Map<String, Claim> claims = decode.getClaims();
        if (claims == null) return false;
        claims.forEach((k, v) -> System.out.println(k + " " + v.asString()));

        //也可以根据自定义参数的键值来获取
        if (!decode.getClaim("isVIP").asBoolean()) return false;
        System.out.println(decode.getClaim("username").asString());
        
        //获取发送者，没有设置则为空
        System.out.println(decode.getIssuer());

        //获取过期时间
        System.out.println(decode.getExpiresAt());

        //获取主题，没有设置则为空
        System.out.println(decode.getSubject());
        return true;
    }