Spring boot 使用jwt，和自己手写jwt

谁借莪１个温暖的怀抱￠ 2023-09-24 13:13 65阅读 0赞

### JWT使用及原理 ###

## 1.导入相关依赖 ##

<dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>0.9.1</version>
            </dependency>

## 2.使用JWT依赖中api生成token ##

HashMap<String, Object> map = new HashMap<>(); //存放到payload中的数据
                map.put("type",user.getType());
                map.put("name",user.getUserName());
                JwtBuilder builder = Jwts.builder();
                String token = builder.setClaims(map)
                        .setSubject(name)
                        .setIssuedAt(new Date())
                        .setId(user.getId() + "")
                        .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 24 * 7 * 1000)) //设置过期时间
                        .signWith(SignatureAlgorithm.HS256, "keleReal") //加密方式，和盐值
                        .compact();

## 3添加jwt解密Util类 ##

public class JwtUtil {
        
        public static Claims jwtParse(String token){
        
            JwtParser parser = Jwts.parser();
            //前面加的盐值
            parser.setSigningKey("keleReal");
            Jws<Claims> claimsJws = parser.parseClaimsJws(token);
            return  claimsJws.getBody();
        }
    }

以上就是JWT基本使用的方法，下面就来开始手写JWT的实现方式

## 1.创建一个JwtUtil类 ##

### 1.1 一个jwt主要分为三部分 ###

#### 第一部分： header 主要存放的头部指定信息 ####

JSONObject header = new JSONObject();
            header.put("Alg","HS256");

过后转换成BASE64编码

//将jsonObject对象转换为base64
            String jwtHeader = Base64.getEncoder().encodeToString(header.toJSONString().getBytes());

#### 第二部分： payload 主要存放装载的数据，也就是自己想存放的数据 ####

JSONObject payload = new JSONObject();
            payload.put("userName","kele");
            payload.put("userAge","23");
            payload.put("userId","1");
    //        可以让每次生成的数据不一致，不加否则每次生成的都一样
    //        payload.put("rd", UUID.randomUUID());

过后转换成BASE64编码

//将jsonObject对象转换为base64
     String JwtPayload = Base64.getEncoder().encodeToString(payload.toJSONString().getBytes());

#### 第三部分： veriey signture 验证签名 ####

这里的签名是通过paylod中的数据进行md5加密方式生成，但是考虑到安全问题，可以在payload数据后面进行加一些指定的盐值

//        盐值
            String signingKey= "kele";
            //签名  加盐 通过md5加密
            String sign = DigestUtils.md5Hex(payload.toJSONString() + signingKey);

最后通过字符串拼接，每部分拼接一个英文符号 **.** ，就是原生JWT生成的格式相同

//        生成完整的jwt值
            String jwt =jwtHeader+"." + JwtPayload +"." + sign;

### 生成token完整代码 ###

//        手写jwt加密案例
    //        header
            JSONObject header = new JSONObject();
            header.put("Alg","HS256");
    //        payload  存放定义的值
            JSONObject payload = new JSONObject();
            payload.put("userName","kele");
            payload.put("userAge","23");
            payload.put("userId","1");
    //        可以让每次生成的数据不一致，不加否则每次生成的都一样
    //        payload.put("rd", UUID.randomUUID());
            //将jsonObject对象转换为base64
            String jwtHeader = Base64.getEncoder().encodeToString(header.toJSONString().getBytes());
            String JwtPayload = Base64.getEncoder().encodeToString(payload.toJSONString().getBytes());
    //        盐值
            String signingKey= "kele";
            //签名  加盐 通过md5加密
            String sign = DigestUtils.md5Hex(payload.toJSONString() + signingKey);
    //        生成完整的jwt值
            String jwt =jwtHeader+"." + JwtPayload +"." + sign;
    //        此处可以把值拿到jwt官网进行解析，判断是否正确

### 解码代码 ###

//        解码
            String payloadStr = new String(Base64.getDecoder().decode(jwt.split("\\.")[1].getBytes()),"UTF-8");
    //       \\代表转义符
            String jwtSign= jwt.split("\\.")[2];
            System.out.println(DigestUtils.md5Hex(payloadStr+signingKey).equals(jwtSign));

### 个人学习记录，有不对的请见谅 ###