教程：用Java创建和验证JWT

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕？尝试使用Okta API进行托管身份验证，授权和多因素身份验证。

Java对JWT（JSON Web令牌）的支持过去需要进行大量工作：广泛的自定义，花费数小时来解决依赖项，以及仅用于组装简单JWT的代码页。不再！

本教程将向您展示如何使用现有的JWT库做两件事：

生成一个JWT
解码并验证JWT

您会注意到本教程很短。那是因为那很容易。如果您想更深入地了解，请查看JWT规范或深入阅读有关在Spring Boot应用程序中使用JWT进行令牌身份验证的更长的文章。

什么是JWT？

JSON Web令牌是JSON对象，用于在各方之间以紧凑和安全的方式发送信息。 JSON规范（或Javascript对象表示法）定义了一种使用键值对创建纯文本对象的方法。这是一种构造基于原始类型（数字，字符串等）的数据的紧凑方法。您可能已经非常熟悉JSON。就像没有括号的XML。

令牌可用于在各方之间发送任意状态。这里的“当事人”通常是指客户端Web应用程序和服务器。 JWT具有多种用途：身份验证机制，URL安全编码，安全共享私有数据，互操作性，数据过期等。

实际上，此信息通常与两件事有关：授权和会话状态。服务器可以使用JWT告诉客户端应用程序允许用户执行哪些操作（或允许他们访问哪些数据）。

JWT通常还用于存储Web会话的状态相关用户数据。因为JWT是在客户端应用程序和服务器之间来回传递的，这意味着状态数据不必存储在某个地方的数据库中（随后在每个请求中都可以检索到）；因此，它可以很好地扩展。

让我们看一个JWT示例（取自jsonwebtoken.io ）

JWT具有三部分：标头，正文和签名。标头包含有关JWT编码方式的信息。主体是代币的肉（索赔所在的地方）。签名提供了安全性。

关于令牌的编码方式以及信息在体内的存储方式，我们这里不做很多详细介绍。如果需要，请查看前面提到的教程。

不要忘记：加密签名不提供保密性；它们只是检测篡改JWT的一种方式，除非JWT经过专门加密，否则它们是公开可见的。签名只是提供了一种验证内容的安全方法。

大。得到它了？现在，您需要使用JJWT制作令牌！对于本教程，我们使用现有的JWT库。 Java JWT （又名JJWT）由Les Hazlewood （Apache Shiro的主要提交人，Storm的前联合创始人兼CTO，现为Okta自己的高级架构师）创建，JJWT是一个简化JWT创建和验证的Java库。它完全基于JWT ， JWS ， JWE ， JWK和JWA RFC规范，并根据Apache 2.0许可的条款开源。该库还为规范添加了一些不错的功能，例如JWT压缩和声明执行。

用Java生成令牌

这部分超级容易。让我们看一些代码。克隆GitHub存储库：

git clone https://github.com/oktadeveloper/okta-java-jwt-example.git cd okta-java-jwt-example

这个示例非常基础，并且包含一个src/main/java/JWTDemo.java类文件，其中包含两个静态方法： createJWT()和decodeJWT() 。足够巧妙的是，这两种方法创建了一个JWT并对JWT进行解码。看下面的第一种方法。

public static String createJWT(String id, String issuer, String subject, long ttlMillis) {//The JWT signature algorithm we will be using to sign the tokenSignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;long nowMillis = System.currentTimeMillis();Date now = new Date(nowMillis);//We will sign our JWT with our ApiKey secretbyte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(SECRET_KEY);Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());//Let's set the JWT ClaimsJwtBuilder builder = Jwts.builder().setId(id).setIssuedAt(now).setSubject(subject).setIssuer(issuer).signWith(signatureAlgorithm, signingKey);//if it has been specified, let's add the expirationif (ttlMillis > 0) {long expMillis = nowMillis + ttlMillis;Date exp = new Date(expMillis);builder.setExpiration(exp);}  //Builds the JWT and serializes it to a compact, URL-safe stringreturn builder.compact();
}

总而言之， createJWT()方法执行以下操作：

设置哈希算法
获取签发日期索赔的当前日期
使用SECRET_KEY静态属性生成签名密钥
使用流畅的API添加声明并签署JWT
设置到期日期

可以根据您的需求进行定制。例如，如果您想添加其他或自定义声明。

解码令牌

现在看一下更简单的decodeJWT()方法。

public static Claims decodeJWT(String jwt) {//This line will throw an exception if it is not a signed JWS (as expected)Claims claims = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(SECRET_KEY)).parseClaimsJws(jwt).getBody();return claims;
}

该方法再次使用静态SECRET_KEY属性生成签名密钥，并使用该方法来验证JWT是否未被篡改。如果签名与令牌不匹配，则该方法将引发io.jsonwebtoken.SignatureException异常。如果签名确实匹配，则该方法将索赔作为Claims对象返回。

差不多了！

运行JUnit测试

为了获得更多的荣誉，您可以在示例项目中运行JUnit测试。有三个测试，它们演示了JJWT库的一些基本功能。第一个测试显示了一条愉快的路，创建并成功解码了有效的JWT。第二个测试显示了当您尝试将完全伪造的字符串解码为JWT时，JJWT库将如何失败。最后一个测试显示了被JJWT篡改的方式将如何导致decodeJWT()方法引发SignatureException 。

您可以使用以下命令从命令行运行这些测试：