該筆記介紹SpringBoot中JWT令牌的使用，內(nèi)容涵蓋Maven依賴坐標(biāo)配置、JWT生成方法（設(shè)置算法、自定義聲明、簽名及過(guò)期時(shí)間）、JWT解析驗(yàn)證（驗(yàn)證簽名、過(guò)期時(shí)間等）以及配置映射（YAML配置與JwtProperties類(lèi)實(shí)現(xiàn)配置管理），并提供了完整的Java代碼實(shí)現(xiàn)示例。

Maven坐標(biāo)

<dependency> 
    <groupId>io.jsonwebtoken</groupId> 
    <artifactId>jjwt</artifactId> 
    <version>${jjwt}</version> 
</dependency>

生成jwt

• 指定簽名的時(shí)候使用的簽名算法

• SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

1. 構(gòu)建 JWT：使用 Jwts.builder() 創(chuàng)建一個(gè) JWT 構(gòu)建器對(duì)象，并進(jìn)行三項(xiàng)核心設(shè)置：

   • 設(shè)置自定義聲明：.setClaims(claims) 將用戶提供的自定義信息添加到令牌中

   • 設(shè)置簽名信息：.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8)) 使用指定算法和密鑰生成簽名

   編碼處理：密鑰在使用前通過(guò) getBytes(StandardCharsets.UTF_8) 轉(zhuǎn)換為 UTF-8 編碼的字節(jié)數(shù)組，確?？缙脚_(tái)一致性。

   • 設(shè)置過(guò)期時(shí)間：.setExpiration(exp) 設(shè)置令牌的有效期

2. 生成最終令牌：通過(guò) builder.compact() 方法將構(gòu)建的 JWT 對(duì)象序列化為最終的字符串形式。

/**
 * 生成jwt
 * 使用Hs256算法, 私匙使用固定秘鑰
 *
 * @param secretKey jwt秘鑰
 * @param ttlMillis jwt過(guò)期時(shí)間(毫秒)
 * @param claims    設(shè)置的信息
 * @return
 */
public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
    // 指定簽名的時(shí)候使用的簽名算法，也就是header那部分
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    // 生成JWT的時(shí)間
    long expMillis = System.currentTimeMillis() + ttlMillis;
    Date exp = new Date(expMillis);

    // 設(shè)置jwt的body
    JwtBuilder builder = Jwts.builder()
            // 如果有私有聲明，一定要先設(shè)置這個(gè)自己創(chuàng)建的私有的聲明，這個(gè)是給builder的claim賦值，一旦寫(xiě)在標(biāo)準(zhǔn)的聲明賦值之后，就是覆蓋了那些標(biāo)準(zhǔn)的聲明的
            .setClaims(claims)
            // 設(shè)置簽名使用的簽名算法和簽名使用的秘鑰
            .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
            // 設(shè)置過(guò)期時(shí)間
            .setExpiration(exp);

    return builder.compact();
}

解析jwt

1. 創(chuàng)建解析器: 通過(guò) Jwts.parser() 創(chuàng)建一個(gè) JWT 解析器實(shí)例

2. 設(shè)置驗(yàn)證密鑰: 使用 setSigningKey() 方法設(shè)置用于驗(yàn)證簽名的密鑰，這里同樣將密鑰轉(zhuǎn)換為 UTF-8 編碼的字節(jié)數(shù)組

3. 解析并驗(yàn)證令牌: 調(diào)用 parseClaimsJws(token) 方法解析令牌，這個(gè)方法會(huì)自動(dòng)驗(yàn)證：

   • 令牌的簽名是否有效（使用提供的密鑰）

   • 令牌是否已過(guò)期

   • 令牌的格式是否正確

4. 獲取聲明信息: 通過(guò) getBody() 方法獲取令牌中包含的所有聲明信息

/**
 * Token解密
 *
 * @param secretKey jwt秘鑰 此秘鑰一定要保留好在服務(wù)端, 不能暴露出去, 否則sign就可以被偽造, 如果對(duì)接多個(gè)客戶端建議改造成多個(gè)
 * @param token     加密后的token
 * @return
 */
public static Claims parseJWT(String secretKey, String token) {
    // 得到DefaultJwtParser
    Claims claims = Jwts.parser()
            // 設(shè)置簽名的秘鑰
            .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
            // 設(shè)置需要解析的jwt
            .parseClaimsJws(token).getBody();
    return claims;
}

映射配置

sky:
  jwt:
    # 設(shè)置jwt簽名加密時(shí)使用的秘鑰
    admin-secret-key: itcast
    # 設(shè)置jwt過(guò)期時(shí)間
    admin-ttl: 7200000
    # 設(shè)置前端傳遞過(guò)來(lái)的令牌名稱
    admin-token-name: token
    # 登錄用戶jwt的配置信息
    user-secret-key: itcast
    user-ttl: 7200000
    # 設(shè)置前端傳遞過(guò)來(lái)的令牌名稱
    user-token-name: authentication

創(chuàng)建一個(gè)JwtProperties類(lèi)進(jìn)行配置映射

@Component
@ConfigurationProperties(prefix = "sky.jwt")
@Data
public class JwtProperties {

    /**
     * 管理端員工生成jwt令牌相關(guān)配置
     */
    private String adminSecretKey;
    private long adminTtl;
    private String adminTokenName;

    /**
     * 用戶端微信用戶生成jwt令牌相關(guān)配置
     */
    private String userSecretKey;
    private long userTtl;
    private String userTokenName;

}