1. 引言

JWT（JSON Web Token）是一种标准，定义了一种紧凑且安全的方式，在两个参与方之间传输数据以及签名。JWT中的负载是一个JSON对象，它声明了一些声明。由于这些声明是数字签名的，因此可以被验证者轻松验证和信任。JWT可以使用密钥或公钥/私钥对进行签名。

在本教程中，我们将学习如何使用Auth0 JWT Java库创建和解码JWT。

2. JWT的结构

JWT基本上由三部分组成：

• 头部
• 负载
• 签名

如果您正在处理Spring Security（特别是OAuth）实现，一定要看看《Learn Spring Security》课程。

1. 概述

将自定义声明添加到JSON Web Token（JWT）访问令牌在许多场景中至关重要。自定义声明允许我们在令牌负载中包含额外的信息。

在本教程中，我们将学习如何在Spring授权服务器中将资源所有者的权限添加到JWT访问令牌。

Spring授权务器是Spring生态系统中的一个新项目，旨在为Spring应用程序提供授权服务器支持。它旨在简化使用熟悉且灵活的Spring编程模型实现OAuth 2.0和OpenID Connect（OIDC）授权服务器的过程。

如果您正在使用Spring Security（尤其是OAuth）实现，一定要查看《学习Spring安全》课程。

1. 概述

JSON Web Tokens（JWT）是保护无状态应用程序的事实标准。Spring Security框架提供了将JWT集成以保护REST API的方法。生成令牌的一个关键过程是应用签名以保证真实性。

在本教程中，我们将探索一个使用JWT认证的无状态Spring Boot应用程序。我们将设置必要的组件并创建一个加密的_SecretKey_实例来签名和验证JWT。

2. 项目设置

首先，让我们使用Spring Security和JWT令牌来引导一个无状态的Spring Boot应用程序。值得注意的是，为了简单和简洁，我们不会展示完整的设置代码。

JSON Web Token（JWT）基本上是一个用于在网络上安全传输信息的JSON对象。这些信息可以被验证和信任，因为它是数字签名的。

在本教程中，我们首先将看看验证JWT和解码JWT之间的区别。然后，我们将学习如何在Java中不抛出任何异常地检查JWT的过期。

2. 验证和解码JWT之间的区别

在我们开始研究如何检查JWT的过期之前，让我们首先了解一些基础知识。

我们知道，JWT在其紧凑形式中是一个Base64编码的字符串，包含三个部分：头部、负载和签名。任何访问JWT的人都很容易解码它并查看其内容。因此，要信任一个令牌，我们必须验证JWT中包含的签名。

如何为Spring Boot应用中的OpenAPI配置JWT认证

如果你正在处理Spring Security（尤其是OAuth）实现，一定要看看《Learn Spring Security》课程：

> > LEARN SPRING SECURITY

1. 概述

OpenAPI 是一种语言无关且平台独立的规范，它标准化了REST API。OpenAPI 使用户能够轻松理解API而无需深入代码。Swagger-UI 基于这个OpenAPI规范生成一个用户界面，帮助可视化和测试REST API。

在本简短教程中，我们将了解如何配置Swagger UI以在调用我们的API时包含JSON Web Token（JWT）。

2. Maven依赖项

在这个例子中，我们将使用springdoc-openapi-ui，它包含了开始使用Swagger和Swagger UI所需的所有依赖项。让我们将其添加到我们的_pom.xml_文件中：

``<dependency>``
    ``<groupId>``org.springframework.boot``</groupId>``
    ``<artifactId>``spring-boot-starter-web``</artifactId>``
``</dependency>``
``<dependency>``
    ``<groupId>``org.springdoc``</groupId>``
    ``<artifactId>``springdoc-openapi-ui``</artifactId>``
    `<version>`1.7.0`</version>`
``</dependency>``