JWT（JSON Web Tokens) 详细介绍

什么是JWT?

JWT（JSON Web Tokens）是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。JWT可以传递信息，这个信息是经过数字签名的，因此可以验证其完整性及被签发人。JWT广泛用于身份验证和信息交换，特别是在客户端和服务器之间的通信中。

JWT的组成部分

JWT通常由三部分组成，它们之间用.（点）分隔：

1. Header（头部）：头部包含两部分信息：

   • typ：表示令牌的类型，对于JWT，此值固定为JWT。
   • alg：表示签名所使用的算法，如HMAC SHA256或RSA。

   例如：

   {
     "alg": "HS256",
     "typ": "JWT"
   }
   

   然后使用Base64对这个JSON进行编码。

2. Payload（负载）：负载部分包含声明（claims）。声明是关于实体（通常是用户）和其他数据的声明。声明有三种类型：注册的、公共的和私有的。

   • 注册声明（Registered claims）：建议但不强制使用的一组预定义声明，如iss（签发者）、exp（过期时间）、sub（主题）等。
   • 公共声明（Public claims）：可以随意定义。
   • 私有声明（Private claims）：用于在同意使用它们的各方之间共享信息，既不是注册也不是公共的声明。

   例如：

   {
     "sub": "1234567890",
     "name": "John Doe",
     "admin": true
   }
   

   这部分也使用Base64编码。

3. Signature（签名）：签名部分是对前两部分的签名，以防止数据被篡改。首先，需要指定的头部中指定的算法对编码后的头部和编码后的负载进行签名。
   签名过程为：

   • 对Header和Payload进行Base64编码后的字符串使用.连接。
   • 使用Header中指定的签名算法（如HMAC SHA256）和密钥对连接后的字符串进行签名。

JWT的使用场景

JWT因其简洁、自包含的特点，广泛用于以下场景：

• 身份验证：JWT允许用户登录后，服务器返回一个JWT，以后用户只需携带JWT访问资源即可，无需携带用户名和密码。
• 信息交换：JWT可以在不同服务间安全地传输用户信息，无需多次查询数据库。

优点

• 紧凑：可以通过URL、POST参数或在HTTP头部中发送，易于传输。
• 自包含：负载中包含了所有必要的信息，减少了需要查询信息的需求。
• 安全性：通过签名可以验证消息的完整性及签发人。

缺点

• 令牌大小：由于包含的信息较多，JWT可能会比其他令牌（如简单的token字符串）更大。
• 性能：每次请求都需要验证JWT，可能会对性能产生影响。
• 令牌泄露：如果JWT被拦截，攻击者将能够在令牌有效期内冒充用户。因此，必须确保HTTPS的使用来防止中间人攻击。
  总的来说，JWT提供了一种轻量级、安全的方式，用于在双方之间传递信息，特别适用于身份验证和信息交换的场景。

Java中如何实现JWT编解码

在Java中实现JWT的编解码，你通常会使用一些流行的库，如jjwt（Java JWT）或nimbus-jose-jwt。这些库提供了生成JWT、验证JWT、解析JWT等功能的简便方法。下面我将以jjwt为例，介绍如何在Java中实现JWT的编解码。

引入JJWT依赖

首先，你需要在你的项目中引入JJWT的依赖。如果你使用的是Maven，可以在pom.xml中添加如下依赖：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version> <!-- 请检查最新版本 -->
</dependency>

编码JWT

编码JWT通常涉及到创建一个Claims对象，设置你需要的声明（claims），然后使用密钥对其进行签名。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtil {

    private static final String SECRET_KEY = "your-256-bit-secret"; // 密钥

    public static String generateToken(String subject) {
        return Jwts.builder()
                .setSubject(subject) // 设置主题
                .setIssuedAt(new Date()) // 设置签发时间
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 设置过期时间，这里设置为10小时后过期
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 使用HS256算法和密钥进行签名
                .compact(); // 压缩并返回JWT字符串
    }
}

解码JWT

解码JWT涉及到验证签名并解析JWT中的声明。

public static Claims parseToken(String token) {
    try {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY) // 设置用于签名的密钥
                .parseClaimsJws(token) // 解析JWT
                .getBody(); // 获取Claims对象
    } catch (Exception e) {
        // 可以在这里处理异常，比如返回null或抛出运行时异常
        e.printStackTrace();
        return null;
    }
}

使用示例

public class Main {
    public static void main(String[] args) {
        String token = JwtUtil.generateToken("user123");
        System.out.println("Generated Token: " + token);

        Claims claims = JwtUtil.parseToken(token);
        if (claims != null) {
            System.out.println("Subject: " + claims.getSubject());
            // 你还可以获取其他声明，如过期时间、签发时间等
        }
    }
}

请注意，在实际应用中，你需要将SECRET_KEY替换为一个安全且难以猜测的密钥。此外，JWT的安全性也依赖于密钥的保密性，因此请确保你的密钥不被泄露。

此外，JWT的过期时间、签发者、受众等声明可以根据你的需求进行设置。JJWT库提供了丰富的API来支持这些功能。