JWT(Json Web Token)简介

  • Post author:
  • Post category:其他


一般的Token认证流程是这样的:

1. 用户输入用户名和密码,发送给服务器。

2. 服务器验证用户名和密码,正确的话就返回一个签名过的token(token 可以认为就是个长长的字符串),浏览器客户端拿到这个token。

3. 后续每次请求中,浏览器会把token作为http header发送给服务器,服务器验证签名是否有效,如果有效那么认证就成功,可以返回客户端需要的数据。 特点: 这种方式的特点就是客户端的token中自己保留有大量信息,服务器没有存储这些信息。


那么什么是JWT呢?

简介

WT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。

组成:

JWT包含三个部分: Header头部,Payload负载和Signature签名。由三部分生成token,三部分之间用“.”号做分割。

与Token的区别?

1.JWT生成的token是无状态的,服务端不存储,即一旦生成在有效期之前一直可用,无法销毁

2.如果需要刷新token有效期或者提前失效需要借助缓存、数据库或者redis来自己实现对应逻辑

3.JWT无状态=>不需要通过存储验证是否正确,本身可以验证

4.手动销毁:必须借助于第三方类似黑名单的方式=> 把检测到的非法token添加到黑名单中,每次验证token是否有效要先过黑名单,如果存在黑名单中直接拒绝

5.由于json的通用性,所以JWT是可以进行跨语言支持的

JWT常用工具类:

package com.commons.utils;
 
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.lang3.StringUtils;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
 
public class JwtUtils {
 
    // TOKEN的有效期1小时(S)
    private static final int TOKEN_TIME_OUT = 1 * 3600;
 
    // 加密KEY
    private static final String TOKEN_SECRET = "jwtToken";
 
 
    // 生成Token
    public static String getToken(Map params){
        long currentTime = System.currentTimeMillis();
        return Jwts.builder()
                // 参数1:算法名;参数2:加盐
                .signWith(SignatureAlgorithm.HS512, TOKEN_SECRET) //加密方式
                // 设置token有效期时间
                .setExpiration(new Date(currentTime + TOKEN_TIME_OUT * 1000)) //过期时间戳
                // 参数:map集合
                .addClaims(params)
                .compact();
    }
 
 
    /**
     * 获取Token中的claims信息
     */
    public static Claims getClaims(String token) {
        return Jwts.parser()
                .setSigningKey(TOKEN_SECRET)
                .parseClaimsJws(token).getBody();
    }
 
 
    /**
     * 是否有效 true-有效,false-失效
     */
    public static boolean verifyToken(String token) {
        if(StringUtils.isEmpty(token)) {
            return false;
        }
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey("jwtToken")
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e) {
            return false;
        }
        return true;
    }
}



版权声明:本文为crg18438610577原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。