Java 和 JWT（JSON Web Tokens）实现 token 鉴权

 代码实现：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtAuthExample {
    // 密钥，应该保存在安全的地方，这里仅作示例
    private static final String SECRET_KEY = "yourSecretKey"; 
    // token 过期时间，单位：毫秒
    private static final long EXPIRATION_TIME = 3600000; 

    // 生成 JWT token
    public static String generateToken(String subject, String role) {
        return Jwts.builder()
             .setSubject(subject)
             .claim("role", role) // 添加角色信息，用于鉴权
             .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
             .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
             .compact();
    }

    // 验证 JWT token 并提取角色信息
    public static String validateToken(String token) {
        try {
            Claims claims = Jwts.parser()
                         .setSigningKey(SECRET_KEY)
                         .parseClaimsJws(token)
                         .getBody();
            String subject = claims.getSubject();
            String role = (String) claims.get("role");
            System.out.println("Subject: " + subject);
            System.out.println("Role: " + role);
            return role;
        } catch (Exception e) {
            System.out.println("Invalid token");
            return null;
        }
    }

    // 检查用户是否有权限
    public static boolean hasPermission(String token, String requiredRole) {
        String userRole = validateToken(token);
        if (userRole == null) {
            return false;
        }
        return userRole.equals(requiredRole);
    }

    public static void main(String[] args) {
        String subject = "exampleUser";
        String role = "admin";
        String token = generateToken(subject, role);
        System.out.println("Generated Token: " + token);

        String extractedRole = validateToken(token);
        System.out.println("Extracted Role: " + extractedRole);

        boolean hasPermission = hasPermission(token, "admin");
        System.out.println("Has Permission: " + hasPermission);
    }
}

代码解释：

• SECRET_KEY：这是一个用于签名和验证 JWT 的密钥，在实际应用中应该存储在安全的地方，不能直接硬编码在代码中。
• EXPIRATION_TIME：定义了 JWT token 的过期时间，这里设置为 1 小时（3600000 毫秒）。
• generateToken 方法：
  • 使用 Jwts.builder() 创建一个 JWT 构建器。
  • setSubject(subject)：设置 JWT 的主题，通常是用户的唯一标识符，例如用户 ID 或用户名。
  • claim("role", role)：添加一个自定义的 role 声明，用于存储用户的角色信息，以便后续鉴权使用。
  • setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))：设置 token 的过期时间为当前时间加上 EXPIRATION_TIME。
  • signWith(SignatureAlgorithm.HS256, SECRET_KEY)：使用 HS256 算法和 SECRET_KEY 对 JWT 进行签名。
  • compact()：将构建好的 JWT 压缩成最终的 token 字符串。
• validateToken 方法：
  • 使用 Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody() 解析并验证 token。
  • claims.getSubject()：提取 JWT 的主题。
  • claims.get("role")：提取存储在 role 声明中的角色信息。
  • 如果解析过程中出现异常，将打印 "Invalid token" 并返回 null。
• hasPermission 方法：
  • 调用 validateToken(token) 验证 token 并提取角色信息。
  • 检查提取的角色是否与所需的角色 requiredRole 匹配，从而判断用户是否有权限。

使用说明：

• 请确保在运行代码前，你已经添加了 io.jsonwebtoken 库的依赖。如果你使用的是 Maven，可以在 pom.xml 中添加以下依赖：

  <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
  </dependency>

• 可以根据实际需求修改 SECRET_KEY 和 EXPIRATION_TIME 的值。
• 对于不同的用户，可以调用 generateToken 方法为其生成包含相应角色信息的 JWT token。
• 当需要验证用户权限时，调用 hasPermission 方法，传入用户的 token 和所需的角色进行检查。
• 密钥的安全性至关重要，不能将其硬编码在代码中，应使用更安全的存储方式，如环境变量或密钥管理服务。
• 在实际应用中，可能需要更复杂的权限管理，例如支持多种角色和权限，此时可以在 JWT 的 claims 中添加更多的自定义声明。
• 对于过期的 token，应该引导用户重新登录或使用刷新 token 机制来获取新的 token。
• 要考虑网络安全问题，例如防止 token 泄露和中间人攻击，确保 token 在传输过程中的安全性。