现代Java开发：使用jjwt实现JWT认证

前言

jjwt 库 是一个流行的 Java 库，用于创建和解析 JWT。我在学习spring security 的过程中看到了很多关于jwt的教程，其中最流行的就是使用jjwt实现jwt认证，但是教程之中依然使用的旧版的jjwt库，许多的类与方法已经标记弃用或者是已经被删除了，新版 jjwt 增加了许多新特性和改进，使得生成和验证 JWT 更加方便，故写此文以作记忆。

附上我的博客链接：现代Java开发：使用jjwt实现JWT认证

环境：

jjwt 0.12.5
jdk17+
Maven
Spring Boot 3.3.1

JWT的相关知识

JSON Web Token (JWT) 是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于在各方之间以 JSON 对象的形式安全地传输信息。由于这些信息是经过数字签名的，因此可以被验证和信任。

JWT 的结构

JWT 由三部分组成：头部（Header）、载荷（Payload）和签名（Signature），这三部分用点 (.) 分隔。

头部（Header）：头部通常包括两部分：令牌的类型（JWT）和所使用的签名算法（如 HMAC SHA256 或 RSA）。
```
{"alg": "HS256","typ": "JWT"
}
```
这部分会进行 Base64Url 编码，形成 JWT 的第一部分。
载荷（Payload）：载荷部分包含声明（Claims），声明是有关实体（通常是用户）和其他数据的声明。有三种类型的声明：注册声明（Registered claims）、公共声明（Public claims）和私有声明（Private claims）。

例如：
```
{"sub": "1234567890","name": "zfmx","iat": 1516239022
}
```
这部分也会进行 Base64Url 编码，形成 JWT 的第二部分。
签名（Signature）：签名部分用于验证消息在传输过程中是否未被篡改。需要将编码后的头部和载荷用点 (.) 连接在一起，然后使用指定的签名算法（如 HMAC SHA256）和一个密钥对其进行签名。签名的结果是 JWT 的第三部分。

编写JWT工具

引入jjwt库

首先要做的就是把jjwt引入到项目之中

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.12.5</version>
</dependency>

写本文时最新的库应该是0.12.6，但是在引入过程中jjwt-jackson的坐标定位失败，故采用了0.12.5。

定义属性

这里有两个属性需要定义：

有效时间：public static final Long JWT_TTL
加密密钥：public static final String JWT_KEY

加密方法

传入subject、ttlMillis、uuid生成tooken。

hmacShaKeyFor 方法生成的密钥可以用于 JWT 的签名和验证。

currentTimeMillis 方法生成时间戳

Jwts类构建一个jwt构建器返回

 /*** 生成JWT* @param subject 用户信息 json格式* @param ttlMillis 有效时间* @param uuid 自定义uuid* @return JWT令牌*/
private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid){SecretKey secretKey = Keys.hmacShaKeyFor(JwtUtil.JWT_KEY.getBytes(StandardCharsets.UTF_8));long nowMillis = System.currentTimeMillis();    // 当前时间戳Date now = new Date(nowMillis);                 // 当前时间if(ttlMillis == null){ttlMillis = JwtUtil.JWT_TTL;}long expMillis = nowMillis + ttlMillis;     // 过期时间戳Date exp = new Date(expMillis);             // 过期时间return Jwts.builder().id(uuid).subject(subject).issuer("zfmx").issuedAt(now).signWith(secretKey).expiration(exp);
}

值得注意的是，原本的setId、setSubject等方法已经在新版jjwt中废弃，这里采用的是新版的写法

生成token

注意这里的getUUID为自己实现的生成uuid方法，重载createJWT方法来适应多种应用情况

/*** 生成JWT* @param subject 用户信息 json格式* @return JWT令牌*/
public static String createJWT(String subject){JwtBuilder jwtBuilder = getJwtBuilder(subject, null, getUUID());return jwtBuilder.compact();
}/*** 生成JWT* @param subject 用户信息 json格式* @param ttlMillis 有效时间* @return JWT令牌*/
public static String createJWT(String subject, Long ttlMillis){JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());return builder.compact();
}/*** 生成JWT* @param id 自定义uuid* @param subject 用户信息 json格式* @param ttlMillis 有效时间* @return JWT令牌*/
public static String createJWT(String id,String subject,Long ttlMillis){JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);return builder.compact();
}// 生成uuid
public static String getUUID(){return UUID.randomUUID().toString().replaceAll("-","");
}

解码方法

/*** 解析JWT* @param jwt JWT令牌* @return Claims* @throws Exception 解析异常*/
public static Claims parseJWT(String jwt) throws Exception{SecretKey secretKey = Keys.hmacShaKeyFor(JwtUtil.JWT_KEY.getBytes());return Jwts.parser().verifyWith(secretKey).build().parseSignedClaims(jwt).getPayload();
}

这里的parser()\parseSignedClaims()等方法都是新版的使用方法。

浅浅测试一下吧

public static void main(String[] args) throws Exception {var token = createJWT("{'name':'zhangsan','age':18}");Claims claims = parseJWT(token);System.out.println(claims);
}