前言

最近在做一个Python项目的改造，将python项目重构为Java项目，过程中遇到了这个知识点，觉得这个蛮实用的，所以下班后回来趁热打铁写下这篇总结，希望后面的人能够有所借鉴，少走弯路。

一、优势简介

JSON Web Tokens简称jwt，是rest接口的一种安全策略。本身有很多的优势：

解决跨域问题：这种基于Token的访问策略可以克服cookies的跨域问题。

服务端无状态可以横向扩展，Token可完成认证，无需存储Session。

系统解耦，Token携带所有的用户信息，无需绑定一个特定的认证方案，只需要知道加密的方法和密钥就可以进行加密解密，有利于解耦。

防止跨站点脚本攻击，没有cookie技术，无需考虑跨站请求的安全问题。

二、原理简介

JSON Web Tokens的格式组成，jwt是一段被base64编码过的字符序列，用点号分隔，一共由三部分组成，头部header，消息体playload和签名sign。

1.jwt的头部Header是json格式：

{
  "typ":"JWT",
  "alg":"HS256",
  "exp":1491066992916
}

其中typ是type的简写，代表该类型是JWT类型，加密方式声明是HS256，exp代表当前时间.

2.jwt的消息体Playload

{
  "userid":"123456",
  "iss":"companyName"
}

消息体的具体字段可根据业务需要自行定义和添加，只需在解密的时候注意拿字段的key值获取value。

3.签名sign的生成

最后是签名，签名的生成是把header和playload分别使用base64url编码,接着用'.‘把两个编码后的字符串连接起来，再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密，最后再次base64编码下，这就拿到了签名sign. 最后把header和playload和sign用'.‘ 连接起来就生成了整个JWT。

三、校验简介

整个jwt的结构是由header.playload.sign连接组成，只有sign是用密钥加密的，而所有的信息都在header和playload中可以直接获取，sign的作用只是校验header和playload的信息是否被篡改过，所以jwt不能保护数据，但以上的特性可以很好的应用在权限认证上。

1.加密

比如要加密验证的是userid字段，首先按前面的格式组装json消息头header和消息体playload，按header.playload组成字符串，再根据密钥和HS256加密header.playload得到sign签名，最后得到jwtToken为header.playload.sign，在http请求中的url带上参数想后端服务请求认证。

2. 解密

后端服务校验jwtToken是否有权访问接口服务，进行解密认证，如校验访问者的userid，首先

用将字符串按.号切分三段字符串，分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对，如果一样就代表数据没有被篡改，然后从头部取出exp对存活期进行判断，如果超过了存活期就返回空字符串，如果在存活期内返回userid的值。

四、代码示例

1.python代码的加密解密

#!/usr/bin/env python
# coding: utf-8

from itsdangerous import BadTimeSignature, SignatureExpired
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

APP_SECRET_KEY="secret"
MAX_TOKEN_AGE=1800
token_generator = Serializer(APP_SECRET_KEY, expires_in=MAX_TOKEN_AGE)

def generate_auth_token(userid):
  access_token = token_generator.dumps({"userid":userid})
  return access_token
def verify_token(token):
  try:
    user_auth = token_generator.loads(token)
    print type(token_generator)
  except SignatureExpired as e:
    raise e
  except BadTimeSignature as e:
    raise e
  return user_auth

2. java代码的加密解密

package api.test.util;

import java.io.UnsupportedEncodingException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;

import javax.crypto.Mac;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import lombok.extern.slf4j.Slf4j;
import net.sf.json.JSONObject;

/**
 * jwt加解密实现
 * 
 * @author zhengsc
 */
@Slf4j
public class TokenUtil {

  private String ISSUER = "companyName"; // 机构

  private String APP_SECRET_KEY = "secret"; // 密钥

  private long MAX_TOKEN_AGE = 1800; // 存活期

  /**
   * 生成userId的accessToken
   * 
   * @param userid
   * @return
   */
  public String generateAccessToken(String userid) {
    JSONObject claims = new JSONObject();
    claims.put("iss", ISSUER);
    claims.put("userid", userid);
    String accessToken = sign(claims, APP_SECRET_KEY);
    return accessToken;
  }

  /**
   * 解密程序返回userid
   * 
   * @param token
   * @return
   */
  public String verifyToken(String token) {
    String userid = "";
    try {
      String[] splitStr = token.split("\\.");
      String headerAndClaimsStr = splitStr[0] + "." +splitStr[1];
      String veryStr = signHmac256(headerAndClaimsStr, APP_SECRET_KEY);
      // 校验数据是否被篡改
      if (veryStr.equals(splitStr[2])) {
        String header = new String(Base64.decodeBase64(splitStr[0]),"UTF-8");
        JSONObject head = JSONObject.fromObject(header);
        long expire = head.getLong("exp") * 1000L;
        long currentTime = System.currentTimeMillis();
        if (currentTime <= expire){ // 验证accessToken的有效期
          String claims = new String(Base64.decodeBase64(splitStr[1]),"UTF-8");
          JSONObject claim = JSONObject.fromObject(claims);
          userid = (String) claim.get("userid");
        }
      }
    } catch (UnsupportedEncodingException e) {
      log.error(e.getMessage(), e);
    }

    return userid;
  }

  /**
   * 组装加密结果jwt返回
   * 
   * @param claims
   * @param appSecretKey
   * @return
   */
  private String sign(JSONObject claims, String appSecretKey) {
    String headerAndClaimsStr = getHeaderAndClaimsStr(claims);
    String signed256 = signHmac256(headerAndClaimsStr, appSecretKey);
    return headerAndClaimsStr + "." + signed256;
  }

  /**
   * 拼接请求头和声明
   * 
   * @param claims
   * @return
   */
  private String getHeaderAndClaimsStr(JSONObject claims) {
    JSONObject header = new JSONObject();
    header.put("alg", "HS256");
    header.put("typ", "JWT");
    header.put("exp", System.currentTimeMillis() + MAX_TOKEN_AGE * 1000L);
    String headerStr = header.toString();
    String claimsStr = claims.toString();
    String headerAndClaimsStr = Base64.encodeBase64URLSafeString(headerStr.getBytes()) + "."
        + Base64.encodeBase64URLSafeString(claimsStr.getBytes());
    return headerAndClaimsStr;
  }

  /**
   * 将headerAndClaimsStr用SHA1加密获取sign
   * 
   * @param headerAndClaimsStr
   * @param appSecretKey
   * @return
   */
  private String signHmac256(String headerAndClaimsStr, String appSecretKey) {
    SecretKey key = new SecretKeySpec(appSecretKey.getBytes(), "HmacSHA256");
    String result = null;
    try {
      Mac mac;
      mac = Mac.getInstance(key.getAlgorithm());
      mac.init(key);
      result = Base64.encodeBase64URLSafeString(mac.doFinal(headerAndClaimsStr.getBytes()));
    } catch (NoSuchAlgorithmException | InvalidKeyException e) {
      log.error(e.getMessage(), e);
    }
    return result;
  }

}

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，同时也希望多多支持！

# json  # web  # tokens  # token  # 原理  # jwt  # JWT Json Web Token全面详解  # asp.net core 中的Jwt(Json Web Token)的使用详解  # .Net Core授权认证方案JWT(JSON Web Token)初探  # JSON Web Token(JWT)原理入门教程详解  # 详解JSON Web Token 入门教程  # Json Web Token在前后端实践思考分析  # 只需  # 加密解密  # 存活期  # 的人  # 的是  # 后端  # 很好  # 切分  # 班后  # 都在  # 趁热打铁  # 有很多  # 是由  # 这就  # 走弯路  # 可以直接  # 做一个  # 要知道  # 这篇  # 用在 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 惠州网站建设制作推广,惠州市华视达文化传媒有限公司怎么样？  Laravel如何升级到最新版本？（升级指南和步骤）  谷歌Google入口永久地址_Google搜索引擎官网首页永久入口  大同网页,大同瑞慈医院官网？  图册素材网站设计制作软件,图册的导出方式有几种？  如何选择PHP开源工具快速搭建网站？  如何在浏览器中启用Flash_2025年继续使用Flash Player的方法【过时】  Laravel如何安装使用Debugbar工具栏_Laravel性能调试与SQL监控插件【步骤】  Python数据仓库与ETL构建实战_Airflow调度流程详解  Laravel怎么导出Excel文件_Laravel Excel插件使用教程  Laravel如何设置自定义的日志文件名_Laravel根据日期或用户ID生成动态日志【技巧】  猪八戒网站制作视频,开发一个猪八戒网站，大约需要多少？或者自己请程序员，需要什么程序员，多少程序员能完成？  JavaScript数据类型有哪些_如何准确判断一个变量的类型  邀请函制作网站有哪些,有没有做年会邀请函的网站啊？在线制作，模板很多的那种？  Firefox Developer Edition开发者版本入口  Laravel Artisan命令怎么自定义_创建自己的Laravel命令行工具完全指南  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  Laravel怎么生成二维码图片_Laravel集成Simple-QrCode扩展包与参数设置【实战】  零基础网站服务器架设实战：轻量应用与域名解析配置指南  头像制作网站在线观看,除了站酷，还有哪些比较好的设计网站？  如何为不同团队 ID 动态生成多个“认领值班”按钮  Win11怎么关闭透明效果_Windows11辅助功能视觉效果设置  浅谈redis在项目中的应用  Laravel API资源类怎么用_Laravel API Resource数据转换  Laravel Asset编译怎么配置_Laravel Vite前端构建工具使用  Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】  Bootstrap整体框架之CSS12栅格系统  php中::能调用final静态方法吗_final修饰静态方法调用规则【解答】  如何正确选择百度移动适配建站域名？  Python高阶函数应用_函数作为参数说明【指导】  如何在万网开始建站？分步指南解析  如何批量查询域名的建站时间记录？  php打包exe后无法访问网络共享_共享权限设置方法【教程】  香港服务器网站推广：SEO优化与外贸独立站搭建策略  教你用AI润色文章，让你的文字表达更专业  如何在HTML表单中获取用户输入并结合JavaScript动态控制复利计算循环  如何快速完成中国万网建站详细流程？  Laravel中的withCount方法怎么高效统计关联模型数量  高防网站服务器：DDoS防御与BGP线路的AI智能防护方案  Laravel如何使用Blade模板引擎？（完整语法和示例）  制作无缝贴图网站有哪些,3dmax无缝贴图怎么调？  Linux网络带宽限制_tc配置实践解析【教程】  怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  javascript日期怎么处理_如何格式化输出  Laravel如何实现全文搜索_Laravel Scout集成Algolia或Meilisearch教程  LinuxShell函数封装方法_脚本复用设计思路【教程】  Laravel怎么连接多个数据库_Laravel多数据库连接配置  如何使用 jQuery 正确渲染 Instagram 风格的标签列表  Laravel辅助函数有哪些_Laravel Helpers常用助手函数大全  Edge浏览器怎么启用睡眠标签页_节省电脑内存占用优化技巧