JWT 是什么？JWT 如何防篡改？JWT 使用【hutools 工具包】

飞询

发布于 2025-08-01 14:56:21

25200

代码可运行

文章被收录于专栏：云同步云同步

运行总次数：0

代码可运行

JWT 是什么

JWT（JSON Web Token）是一种用于身份验证和授权的开放标准（RFC 7519），它通过在网络应用之间传输信息的方式来安全地传递声明。JWT 是一串 BASE64 编码，通过 ". " 分割成三部分，分别是：头部（Header）、载荷（Payload）和签名（Signature）。

JWT 结构

头部（Header）：包含了JWT的类型和签名算法等信息。头部一般由两部分组成，类型是'JWT'，算法通常使用HMAC SHA256 或 RSA 等。
载荷（Payload）：包含了一组声明（claims），用于描述用户或其他实体的信息。载荷可以包含标准声明（比如用户ID、过期时间）和自定义声明。载荷的内容是可读的，但不能信任，因为它没有经过签名验证。
签名（Signature）：使用密钥对头部和载荷进行签名，以确保JWT的完整性和认证。签名的过程是将头部和载荷以及一个密钥作为输入，通过指定的签名算法生成签名。接收方可以使用相同的密钥和算法对签名进行验证。

JWT 防篡改原理

JWT 中签名部分是通过头部以及载荷的 Base64 字符串通过 "." 号拼接，然后再通过头部中指定的加密算法（比如：HS256）生成签名，然后在转换成 base64，最后头部、载荷、签名通过 "." 拼接成 jwt token 串

这就意味着，我只要按照同样的方法生成签名，然后对比就知道有没有被篡改

import hmac
import hashlib
import base64

header = "eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9"
payload = "eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIkpvbmQgRG9lIiwgImlhdCI6IDE1MTYyMzkwMjJ9"
secret = "your-256-bit-secret"

# 将头部和载荷用点号连接
message = f"{header}.{payload}"

# 使用 HMAC-SHA256 生成签名
signature = hmac.new(secret.encode(), message.encode(), hashlib.sha256).digest()

# 将签名进行 Base64Url 编码
encoded_signature = base64.urlsafe_b64encode(signature).rstrip(b'=').decode()

引入依赖

注意：低版本的没有 jwt

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.16</version>
</dependency>

创建 token

Document

@Test
void test(){
    Map<String, Object> map = new HashMap<>();
    map.put("userId", 100343);
    map.put("hhh", "test11231");
    String key = "w^&d*c!j^@8a%4&dm1Cg0i^N%03b$5^mHc3N";
    // map 为 载荷信息，key：为密钥，防篡改的，注意不可以泄露出去
    String token = JWTUtil.createToken(map, key.getBytes());
    System.out.println(token);
}

校验 token

@Test
void test(){
    Map<String, Object> map = new HashMap<>();
    map.put("userId", 100343);
    map.put("hhh", "test11231");
    String key = "w^&d*c!j^@8a%4&dm1Cg0i^N%03b$5^mHc3N";
    // map 为 载荷信息，key：为密钥，防篡改的，注意不可以泄露出去
    String token = JWTUtil.createToken(map, key.getBytes());
    // 验证是否有效
    boolean verify = JWTUtil.verify(token, key.getBytes());
    System.out.println(verify);
}

解析 token

@Test
void test2(){
    Map<String, Object> map = new HashMap<>();
    map.put("userId", 100343);
    map.put("hhh", "test11231");
    String key = "w^&d*c!j^@8a%4&dm1Cg0i^N%03b$5^mHc3N";
    // map 为 载荷信息，key：为密钥，防篡改的，注意不可以泄露出去
    String token = JWTUtil.createToken(map, key.getBytes());
    // 验证是否有效
    boolean verify = JWTUtil.verify(token, key.getBytes());
    if (!verify){
        throw new RuntimeException("token 无效！");
    }

    // 解析 token
    JWT jwt = JWTUtil.parseToken(token);
    // 头部信息
    JSONObject headers = jwt.getHeaders();
    // 载荷信息
    JSONObject payloads = jwt.getPayloads();
    System.out.println(payloads.get("userId"));
}

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2025-08-01，如有侵权请联系 cloudcommunity@tencent.com 删除

算法