1,什么是JWT
JWT是JSON Web Token是简称,是一个行业开发标准(RFC 7519)定义了一种简介的 自包含的协议格式,用于在通信双方传递JSON对象,传递的信息经过数字签名可以被验证和信任。它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。
官网:https://jwt.io/
行业标准:https://www.rfc-editor.org/rfc/rfc7519
2,JWT优点
-
jwt基于json,非常方便解析
-
可以在内容中自定义丰富内容,易于扩展
-
通过非对称加密算法及数字签名技术,防止篡改,安全性高
-
资源服务使用JWT可不依赖认证服务即可完成授权
3,JWT缺点
JWT令牌较长,占用存储空间比较大
4,JWT结构
jwt令牌由三部分组成,每部分中间使用(.)分隔,比如aaa.www.zzz
Header(头部 上例中aaa)
一个头部包括令牌的类型即jwt使用的哈希算法(如HMAC SHA256或RSA)
解析后内容如下
{
"alg": "HS256",
"typ": "JWT"
}
将上面内容使用Base64Url编码,即可得到字符串jwt的的一部分。
Payload(负载)
内容也是一个json对象,他是存放有效信息的地方,既可以存放已存在的字段(如iss签发者,exp过期时间,sub面向用户)等,也可以存放自定义字段。
此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。
{
"sub": "1234567890",
"name": "456",
"admin": true
}
Signature(签名)
此部分使用Base64Url将前两部分进行编码,编码后使用(.)连接成字符串,最后在Header中声明签名算法进行签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
4,在Spring boot中集成JWT
引入依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
简单实现
@GetMapping("/order/getToken")
public String getToken() {
// 指定token过期时间为10秒
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.SECOND, 10);
String token = JWT.create()
// Header
.withHeader(new HashMap<>())
// Payload
.withClaim("userId", 21)
.withClaim("userName", "baobao")
// 过期时间
.withExpiresAt(calendar.getTime())
// 签名用的secret
.sign(Algorithm.HMAC256("!34ADAS"));
return token;
}
访问接口
验证
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/133754.html
