我要评论基于 jjwt 0.13.0 api 的正确代码示例和 maven 依赖。
确认 maven 依赖
首先,请确保你的 pom.xml 中使用了正确的依赖配置。从 jjwt 0.13.0 版本开始,库采用了模块化架构。
<dependency>
<groupid>io.jsonwebtoken</groupid>
<artifactid>jjwt-api</artifactid>
<version>0.13.0</version>
</dependency>
<dependency>
<groupid>io.jsonwebtoken</groupid>
<artifactid>jjwt-impl</artifactid>
<version>0.13.0</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupid>io.jsonwebtoken</groupid>
<artifactid>jjwt-jackson</artifactid> <!-- or jjwt-gson if gson is preferred -->
<version>0.13.0</version>
<scope>runtime</scope>
</dependency>重要提示:根据我查到的信息,0.13.0 版本相关信息出现在一个依赖更新日志中,但主流的文档和示例大多围绕 0.11.x 版本展开。在 0.11.5 版本中,jwts.parserbuilder() 已是官方推荐的用法。如果你确实需要使用 0.13.0,其核心 api 应与 0.11.x 版本保持一致,但建议你查阅其官方发布说明以确认是否有进一步的变更。
使用新 api 的 jwt 工具类
以下是一个基于你要求的、使用了最新 parserbuilder() api 的 jwt 工具类示例。
public class securityproperties {
private jwtconfig jwt = new jwtconfig();
/**
* jwt密钥 - 至少32字节(256位)用于hmac-sha算法
*/
private string secret;
/**
* jwt过期时间(秒)
*/
private long expiration = 86400l;
/**
* jwt刷新过期时间(秒)
*/
private long refreshexpiration = 604800l;
/**
* jwt签发者
*/
private string issuer = "you-system";
/**
* jwt受众
*/
private string audience = "you-client";
/**
* jwt令牌前缀
*/
private string tokenprefix = "bearer";
}
}import io.jsonwebtoken.*;
import io.jsonwebtoken.security.keys;
import javax.crypto.secretkey;
import java.util.date;
import java.util.map;
public class jwtutil {
private final secretkey secretkey;
private final long expirationms;
public jwtutil(secretkey secretkey, long expirationms) {
this.secretkey = secretkey;
this.expirationms = expirationms;
}
/**
* 生成jwt令牌
*
* @param subject 主题(如用户id)
* @param claims 自定义声明(载荷)
* @return 生成的jwt字符串
*/
public string generatetoken(string subject, map<string, object> claims) {
long nowmillis = system.currenttimemillis();
date now = new date(nowmillis);
date exp = new date(nowmillis + expirationms);
// 过期方法
// jwtbuilder builder = jwts.builder()
// .setsubject(subject)
// .setissuedat(now)
// .setexpiration(exp)
// .signwith(secretkey); // 直接使用secretkey对象
string refreshtokenissuer = securityproperties.getjwt().getissuer() + "-refresh";
// 替换方法
jwtbuilder builder = jwts.builder().claims(claims)
.subject(subject)
.issuedat(todate(now))
.expiration(todate(expirationtime))
.issuer(refreshtokenissuer) // 设置刷新令牌签发者
.audience().add(securityproperties.getjwt().getaudience()).and() // 使用配置的受众
.signwith(getsecretkey(), jwts.sig.hs512); // 使用hs512算法签名
if (claims != null) {
builder.setclaims(claims);
}
// 压缩生成最终令牌
return builder.compact();
}
/**
* 解析并验证jwt令牌(使用新api jwts.parserbuilder())
*
* @param token 待解析的jwt字符串
* @return 解析出的声明(claims)
* @throws jwtexception 如果令牌无效、过期或签名验证失败
*/
public claims parsetoken(string token) throws jwtexception {
// 过时方法
// return jwts.parserbuilder() // 使用新的parserbuilder
// .setsigningkey(secretkey) // 设置签名密钥
// .build() // 构建不可变的、线程安全的jwtparser实例
// .parseclaimsjws(token) // 解析并验证jwt
// .getbody(); // 获取载荷(claims)
// 替换方法
return jwts.parser()
.verifywith(getsecretkey())
.build()
.parsesignedclaims(token)
.getpayload();
}
}密钥生成与管理
在上述工具类中,我们使用了 javax.crypto.secretkey 对象。你可以使用 jjwt 提供的便捷工具类来生成安全的密钥:
import io.jsonwebtoken.security.keys;
import javax.crypto.secretkey;
import java.util.base64;
public class keygenerator {
public static void main(string[] args) {
// 为hs256算法生成一个安全的密钥 signaturealgorithm.hs256 过时替换 jwts.sig.hs512
secretkey key = keys.secretkeyfor(jwts.sig.hs512);
// 如果需要将密钥以字符串形式保存(如存储在配置文件中),可以编码为base64
string base64key = base64.getencoder().encodetostring(key.getencoded());
system.out.println("base64 encoded key: " + base64key);
// 在应用启动时,可以从base64字符串重新构造secretkey
// byte[] decodedkey = base64.getdecoder().decode(base64key);
// secretkey originalkey = new secretkeyspec(decodedkey, 0, decodedkey.length, "hmacsha256");
}
}安全提醒:生产环境中,密钥必须妥善保管,严禁硬编码在代码中。建议从安全的配置源(如环境变量、密钥管理服务)获取。
如何使用工具类
初始化工具类并生成、解析令牌的示例:
import io.jsonwebtoken.claims;
import io.jsonwebtoken.security.keys;
import javax.crypto.secretkey;
import java.util.hashmap;
import java.util.map;
public class application {
public static void main(string[] args) {
// 1. 生成密钥(在实际应用中,这个密钥应该来自安全配置)
secretkey secretkey = keys.secretkeyfor(jwts.sig.hs512);
long expirationms = 24 * 60 * 60 * 1000; // 24小时
// 2. 初始化jwt工具类
jwtutil jwtutil = new jwtutil(secretkey, expirationms);
// 3. 准备自定义声明
map<string, object> claims = new hashmap<>();
claims.put("userid", 1001);
claims.put("role", "admin");
// 4. 生成jwt令牌
string subject = "user123";
string jwttoken = jwtutil.generatetoken(subject, claims);
system.out.println("generated jwt: " + jwttoken);
// 5. 解析和验证jwt令牌
try {
claims parsedclaims = jwtutil.parsetoken(jwttoken);
system.out.println("token subject: " + parsedclaims.getsubject());
system.out.println("user id from token: " + parsedclaims.get("userid", integer.class));
} catch (jwtexception e) {
system.err.println("jwt validation failed: " + e.getmessage());
}
}
}核心变更与总结
- 主要变更:新的
jwtparser实例是不可变且线程安全的。 - 密钥安全:推荐使用
io.jsonwebtoken.security.keys工具类生成安全的secretkey对象,而不是直接使用字符串。 - 依赖模块化:确保你的依赖配置正确,引入了
jjwt-api、jjwt-impl和jjwt-jackson(或jjwt-gson)。
希望这个基于最新 api 的示例能帮助你顺利完成升级!如果你在密钥管理或者异常处理方面有更多疑问,我很乐意提供进一步的信息。
到此这篇关于java 21使用jwt 0.13.0最新正确用法的文章就介绍到这了,更多相关java21使用jwt0.13.0内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论