JSON Web Token（JWT）使用步驟說明

在JSON Web Token（JWT）原理和用法介紹中，咱們瞭解了JSON Web Token的原理和用法的基本介紹。本文咱們着重講一下其使用的步驟：

1、JWT基本使用

Gradle下依賴 ：

compile 'com.auth0:java-jwt:3.4.0'

示例介紹：

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

public class Test {
    /**
     * APP登陸Token的生成和解析 
     */

    /** token祕鑰，請勿泄露，請勿隨便修改 backups:JKKLJOoasdlfj */
    public static final String SECRET = "JKKLJOoasdlfj";
    /** token 過時時間: 10天 */
    public static final int calendarField = Calendar.DATE;
    public static final int calendarInterval = 10;

    /**
     * JWT生成Token.<br/>
     * 
     * JWT構成: header, payload, signature
     * 
     * @param user_id 登陸成功後用戶user_id, 參數user_id不可傳空
     */
    public static String createToken(Long user_id) throws Exception {
        Date iatDate = new Date();
        // expire time
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(calendarField, calendarInterval);
        Date expiresDate = nowTime.getTime();

        // header Map
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        // build token
        // param backups {iss:Service, aud:APP}
        String token = JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time
                .sign(Algorithm.HMAC256(SECRET)); // signature

        return token;
    }

    /**
     * 解密Token
     * 
     * @param token
     * @return
     * @throws Exception
     */
    public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            // e.printStackTrace();
            // token 校驗失敗, 拋出Token驗證非法異常
        }
        return jwt.getClaims();
    }

    /**
     * 根據Token獲取user_id
     * 
     * @param token
     * @return user_id
     */
    public static Long getAppUID(String token) {
        Map<String, Claim> claims = verifyToken(token);
        Claim user_id_claim = claims.get("user_id");
        if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
            // token 校驗失敗, 拋出Token驗證非法異常
        }
        return Long.valueOf(user_id_claim.asString());
    }
}

最終存放的數據在JWT內部的實體claims裏。它是存放數據的地方。

2、概念介紹

1. JWT消息構成

一個token分3部分，按順序爲

頭部（header)
其爲載荷（payload)
簽證（signature)
由三部分生成token
3部分之間用「.」號作分隔。例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c 

2. 頭部

Jwt的頭部承載兩部分信息：

• 聲明類型，這裏是 jwt。
• 聲明加密的算法，一般直接使用 HMAC SHA256。

（注：算法能夠有多種選擇，這裏再也不贅述）

使用代碼以下

// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");

3. playload

載荷就是存放有效信息的地方，基本上填2種類型數據：

- 標準中註冊的聲明的數據 
- 自定義數據 
由這2部份內部作base64加密。最張數據進入JWT的chaims裏存放。

4. 標準中註冊的聲明 (建議但不強制使用)

iss: jwt簽發者

sub: jwt所面向的用戶

aud: 接收jwt的一方

exp: jwt的過時時間，這個過時時間必需要大於簽發時間

nbf: 定義在什麼時間以前，該jwt都是不可用的.

iat: jwt的簽發時間

jti: jwt的惟一身份標識，主要用來做爲一次性token,從而回避重放攻擊。

使用方法：

JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP")
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time

5. 自定義數據

這個就比較簡單，存放咱們想放在token中存放的key-value值 
使用方法：

JWT.create().withHeader(map) // header
.withClaim("name", "cy") // payload
.withClaim("user_id", "11222");

6. 簽名signature

jwt的第三部分是一個簽證信息，這個簽證信息算法以下：
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
這個部分須要base64加密後的header和base64加密後的payload使用.鏈接組成的字符串，而後經過header中聲明的加密方式進行加鹽secret組合加密，而後就構成了jwt的第三部分。

基本上至此，JWT的API相關知識已經學完了，可是API不夠有好，不停的用withClaim放數據。不夠友好。下面推薦一款框架，至關於對JWT的實現框架

3、JJWT

它是爲了更友好在JVM上使用JWT，是基本於JWT, JWS, JWE, JWK框架的Java實現。

Gradle:

dependencies {
　　compile 'io.jsonwebtoken:jjwt:0.9.0'
}

1. 使用方法

生成token：getJwtToken 是生成 jjwt 裏的 token 方法。

import com.sun.javafx.scene.traversal.Algorithm;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.DefaultJwsHeader;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;


private String SECRET = "DyoonSecret_0581";
private void getJwtToken(){
   Date iatDate = new Date();
   // expire time
   Calendar nowTime = Calendar.getInstance();
   //有10天有效期
   nowTime.add(Calendar.DATE, 10);
   Date expiresDate = nowTime.getTime();
   Claims claims = Jwts.claims();
   claims.put("name","cy");
   claims.put("userId", "222");
   claims.setAudience("cy");
   claims.setIssuer("cy");
   String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();
}

上面將token中的載荷放在chaims中，其實chaims是JWT內部維持的一個存放有效信息的地方，不論使用任何API，最終都使用chaims保存信息。
setClaims有2個重載：

JwtBuilder setClaims(Claims claims);
JwtBuilder setClaims(Map<String, Object> claims); 

不能就是說，咱們也能夠直接傳入map值對象。

2. 解析token

parseJwtToken方法是解析token。

public void parseJwtToken(String token) {
    try{

    }catch (Exception e){

    }
    Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
    String signature = jws.getSignature();
    Map<String, String> header = jws.getHeader();
    Claims Claims = jws.getBody();
}