可以破解jwt的網址:http://jwt.calebb.net/
上代碼
public static void main(String[] args) { //用戶登錄,獲取數據庫用戶表的信息 //假如用戶id:1 JwtBuilder builder = Jwts.builder() //設置用戶id .setId("1") //設置主題(這個主題是干什么用的?,也可以不設置,感覺可以放其他重要的信息) .setSubject("bwcx123") //設置創建時間 .setIssuedAt(new Date()) //設置過期時間 .setExpiration(new Date(new Date().getTime() + 60000)) //設置角色名稱 .claim("roles","admin") //自定義key(可以理解為解密的鑰匙一般在配置文件里面) .signWith(SignatureAlgorithm.HS256, "bwcyguil"); //用戶登錄之后,返回給前端token System.out.println("token..."+builder.compact()); //前端請求帶着token,后端解析 Claims claims=Jwts.parser().setSigningKey("bwcyguil").parseClaimsJws(builder.compact()).getBody(); //獲取用戶id System.out.println("id:"+claims.getId()); //獲取主題 System.out.println("subject:"+claims.getSubject()); //獲取token創建時間(格式化時間引的jar為org.joda.time.DateTime) System.out.println("IssuedAt:"+ new DateTime(claims.getIssuedAt()).toString("yyyy-MM-dd HH:mm:ss")); //獲取角色名稱 System.out.println("roles:"+claims.get("roles")); }
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency>
<!-- https://mvnrepository.com/artifact/joda-time/joda-time --> <dependency> <groupId>joda-time</groupId> <artifactId>joda-time</artifactId> <version>2.10</version> </dependency>
得到的token串,使用.分成三部分。第一部分和第二部分都是能夠解析的明文,jwt只是做到防竄改里面的信息別人可以解析
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwic3ViIjoiYndjeDEyMyIsImlhdCI6MTU5NjYxNzY4MiwiZXhwIjoxNTk2NjE3NzQyLCJyb2xlcyI6ImFkbWluIn0.agcLJBAOqC2Ukz9yx0JnFT9Sgx--8oMR4jpAaEHm0Eo
第一部分jwt頭(存儲類型jwt,加密方式HS256):eyJhbGciOiJIUzI1NiJ9
第二部分荷載(就是存的你放進去的信息):eyJqdGkiOiIxIiwic3ViIjoiYndjeDEyMyIsImlhdCI6MTU5NjYxNzY4MiwiZXhwIjoxNTk2NjE3NzQyLCJyb2xlcyI6ImFkbWluIn0
第三部分:使用第一部分給的加密方式,將第一部分+第二部分+密匙進行加密
為什么說jwt防竄改:如果修改了第一部分或者第二部分,服務端再次加密出來的第三部分和客戶端的匹配不上