隨著網路應用的廣泛使用,安全性問題也逐漸成為重要的議題。為了確保應用程式的安全性,開發人員需要採取各種措施來防止未授權的存取和攻擊。 JWT (JSON Web Token) 就是一種在網路應用中用於聲明的一種安全傳輸方式。
在 Java API 開發中使用 JWT 鑑權,可以有效保護 API 的安全性,並且方便開發過程中的存取控制。
JWT 是由三個部分組成的,分別是 Header、Payload 和 Signature。 Header 用於描述 JWT 的類型和採用的演算法,通常使用 HMAC SHA256 或 RSA 加密。 Payload 用於存放 JWT 的相關訊息,一般包括用戶 ID,過期時間等。 Signature 是對前兩部分進行加密的結果,保證 JWT 的可信性和完整性。
在使用JWT 鑑權前,需要進行以下步驟:
2.1 產生JWT
#產生JWT 需要使用到HMAC SHA256 或RSA 等加密方式。具體實作可參考以下程式碼(僅供參考):
public String generateToken(User user){ String token = null; try { String key = "12898faaca29bde369e281e99193eab4d8"; Algorithm algorithm = Algorithm.HMAC256(key); token = JWT.create() .withClaim("userId", user.getUserId()) .withExpiresAt(new Date(System.currentTimeMillis()+60*60*1000)) .sign(algorithm); } catch (UnsupportedEncodingException e) { e.printStackTrace(); } return token; }
2.2 驗證JWT
驗證JWT 的過程很簡單,只需對JWT 進行解析,並根據其中攜帶的資訊進行驗證即可。一般JWT 的驗證需要滿足以下幾個條件:
具體實作可參考以下程式碼(僅供參考):
public boolean verifyToken(String token){ boolean flag=false; try { String key = "12898faaca29bde369e281e99193eab4d8"; Algorithm algorithm = Algorithm.HMAC256(key); JWTVerifier verifier = JWT.require(algorithm) .build(); DecodedJWT jwt = verifier.verify(token); String userId=jwt.getClaim("userId").asString(); Date expiresAt=jwt.getExpiresAt(); flag=true; } catch (UnsupportedEncodingException e) { e.printStackTrace(); } catch (Exception e){ e.printStackTrace(); } return flag; }
Authorization: Bearer {token}
@RestController public class UserController { @Autowired private UserService userService; @RequestMapping(value = "/login", method = RequestMethod.POST) public ResponseEntity<String> login(@RequestBody User user) { User userExists = userService.validateUser(user); if (userExists != null) { String token = generateToken(userExists); return new ResponseEntity<String>(token, HttpStatus.OK); } else { return new ResponseEntity<String>("User not found!", HttpStatus.UNAUTHORIZED); } } @RequestMapping(value = "/users", method = RequestMethod.GET) public ResponseEntity<List<User>> getUsers(@RequestHeader("Authorization") String token) { if (verifyToken(token)) { List<User> users = userService.getUsers(); return new ResponseEntity<List<User>>(users, HttpStatus.OK); } else { return new ResponseEntity<List<User>>(HttpStatus.UNAUTHORIZED); } } }
以上是Java API 開發中使用 JWT 鑑權的詳細內容。更多資訊請關注PHP中文網其他相關文章!