什么是JWT(Json-Web-Token)?JWT的用途和上风是什么?讲解+实战,一篇文章
1、什么是JWT最近刚刚启动搭建一个会员支付体系的项目,单点登任命到JWT来认证,借此机会来谈一谈JWT的相关知识,后续也会分享项目中的相关技术点,各人点赞关注哦~~~
1.1、JWT的介绍
官方表明:JSON Web Token (JWT) 是一种开放标准 (RFC 7519),它界说了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的情势安全地传输信息。此信息可以验证和信任,因为它是颠末数字署名的。JWT 可以利用密钥(利用 HMAC算法)或利用 RSA 或 ECDSA 的公钥/私钥对进行署名。
简单来说,JWT就是用来判断某种信息是否可以被信任的一种署名json
1.2、JWT的利用场景
[*] 身份验证(Authentication):JWT 可以被用作用户登录的身份验证凭证。当用户乐成登录后,服务端可以天生一个包含用户信息的 JWT,并将其返回给客户端。以后,客户端在每次请求时都会携带这个 JWT,服务端通过验证 JWT 的署名来确认用户的身份。
[*] 授权(Authorization):在用户登录后,服务端可以天生包含用户角色、权限等信息的 JWT,并在用户每次请求时进行验证。通过解析 JWT 中的声明信息,服务端可以判断用户是否有权限实行特定的操作或访问特定的资源。
[*] 信息交换(Information Exchange):由于 JWT 的声明信息可以被加密,因此可以安全地在用户和服务器之间传递信息。这在分布式体系中非常有用,因为可以确保信息在各个环节中的安全传递。
[*] 单点登录(Single Sign-On):JWT 可以被用于支持单点登录,使得用户在多个应用之间只需要登录一次即可利用多个应用,从而进步用户体验。
1.3、JWT的上风
[*] 无状态:JWT 的验证是基于密钥的,因此它不需要在服务端存储用户信息。这使得 JWT 可以作为一种无状态的身份认证机制。
[*] 跨语言支持:JWT 的标准化和简单性质使得它可以在多种语言宁静台之间利用。
[*] 安全性高:由于 JWT 的载荷可以进行加密处理,因此 JWT 能够保证数据的安全传输。同时,JWT 的署名机制也能够保证数据的完整性和真实性。
2、JWT的结构
https://img-blog.csdnimg.cn/direct/7fa9ca37f37a47938af8cda8bf5b04c6.png
JWT由Header+Payload+Signature三部分组成
Header
JWT 的头部通常由两部分组成,分别是令牌类型(typ)和加密算法(alg)。一样平常环境下,头部会接纳 Base64 编码。
{
"alg": "HS256",
"typ": "JWT"
} Payload
JWT 的载荷也称为声明信息,包含了一些有关实体(通常是用户)的信息以及其他元数据。通常包括以下几种声明:
[*] Registered Claims:这些声明是预界说的,包括 iss(发行者)、sub(主题)、aud(受众)、exp(过期时间)、nbf(见效时间)、iat(发布时间)和 jti(JWT ID)等。
[*] Public Claims:这些声明可以自界说,但需要注意避免与注册声明的名称辩论。
[*] Private Claims:这些声明是保留给特定的应用步伐利用的,不会与其他应用步伐辩论。
注意:Payload中一定不要存放敏感或重要信息,如密码等
{
"sub": "666666",
"name": "warriors",
"admin": true
} Signature
JWT 的署名是由头部、载荷和密钥共同天生的。它用于验证 JWT 的真实性和完整性。一样平常环境下,署名也会接纳 Base64 编码。
例如,如果要利用 HMAC SHA256 算法,将按以下方式创建署名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret) 3、SpringMVC架构中的JWT利用示例
3.1、引入Maven依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency> 3.2 、编写JWT工具类,实现JWT天生,JWT校验等功能
public class JWTUtil {
// JWT过期时间
public static final long JWT_TTL = 60 * 60 * 1000L * 24 * 14;
// JWT_KEY为服务器私钥,注意保密
public static final String JWT_KEY = "aBcDeFgHdkfajdja50490fjaifeja4ief";
public static String getUUID() {
return UUID.randomUUID().toString().replaceAll("-", "");
}
/**
* 生成JWT
* @param subject 用户唯一标识ID
* @return
*/
public static String createJWT(String subject) {
JwtBuilder builder = getJwtBuilder(subject, null, getUUID());
return builder.compact();
}
private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
// 自行选择加密算法
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
SecretKey secretKey = generalKey();
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
if (ttlMillis == null) {
ttlMillis = JWTUtil.JWT_TTL;
}
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
return Jwts.builder()
.setId(uuid)
.setSubject(subject)
.setIssuer("sg")
.setIssuedAt(now)
.signWith(signatureAlgorithm, secretKey)
.setExpiration(expDate);
}
public static SecretKey generalKey() {
byte[] encodeKey = Base64.getDecoder().decode(JWTUtil.JWT_KEY);
return new SecretKeySpec(encodeKey, 0, encodeKey.length, "HmacSHA256");
}
/**
* 校验JWT
*/
public static Claims parseJWT(String jwt) throws Exception {
SecretKey secretKey = generalKey();
return Jwts.parserBuilder()
.setSigningKey(secretKey)
.build()
.parseClaimsJws(jwt)
.getBody();
}
}
3.3、自界说拦截器
public class JWTIntercepter implements HandlerInterceptor {
public static final Logger LOGGER = LoggerFactory.getLogger(JWTIntercepter.class);
/**
* 添加用户身份认证
* @param request
* @param response
* @param handler
* @return
* @throws Exception
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String jwttoken = HttpRequestUtil.getCookieValue(request, "jwt_token");
if (jwttoken == null || jwttoken.isEmpty()) {
return false;
}
try {
Claims claims = JWTUtil.parseJWT(jwttoken);
} catch (JwtException e) {
LOGGER.info("JWT解析异常:" + e.getMessage());
return false;
}
response.sendError(ResponseEnum.USER_UNAUTHORIZED.getCode(),
ResponseEnum.USER_UNAUTHORIZED.getMessage());
return false;
}
} 3.4、设置拦截器到拦截器链中
@Configuration
public class WebMVCConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
JWTIntercepter jwtIntercepter = new JWTIntercepter();
registry.addInterceptor(jwtIntercepter)
.addPathPatterns("/**")
//注意:登陆和注册请求放行
.excludePathPatterns("/user/login", "/user/register");
}
}
至此,jwt的设置已全部完成~~~
各人有任何问题,欢迎在评论区留言,看到会第一时间答复,如
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]