1、JWT 是什么?
JWT 是一個開放標准,它定義了一種用於簡潔,自包含的用於通信雙方之間以 JSON 對象的形式安全傳遞信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公鑰密鑰對進行簽名。
簡單來說,就是通過一定規范來生成 token,然后可以通過解密算法逆向解密 token,這樣就可以獲取用戶信息。
優點:
1)生產的 token 可以包含基本信息,比如 id、用戶昵稱、頭像等信息,避免再次查庫
2)存儲在客戶端,不占用服務端的內存資源
缺點:
token 是經過 base64 編碼,所以可以解碼,因此 token 加密前的對象不應該包含敏感信息,如用戶權限,密碼等
2、JWT 格式組成:頭部、負載、簽名
header+payload+signature
頭部:主要是描述簽名算法
負載:主要描述是加密對象的信息,如用戶的id等,也可以加些規范里面的東西,如 iss 簽發者,exp 過期時間,sub 面向的用戶
簽名:主要是把前面兩部分進行加密,防止別人拿到 token 進行 base 解密后篡改 token
3、關於jwt客戶端存儲
可以存儲在 Cookie,localStorage 和 sessionStorage 里面
4、引入相關依賴並開發 JWT 工具類
1)引入依賴
<!-- JWT相關 -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
2)開發生產 token 方法
3)開發檢驗 token 方法
package com.haitaiinc.clinicpathservice.utils; import com.haitaiinc.clinicpathservice.entity.UserInfo; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.util.StringUtils; import java.util.Date; public class JwtUtils { public static final String SUBJECT = "admin"; /** * 過期時間,毫秒,一周 */ public static final long EXPIRE = 1000 * 60 * 60 * 24 * 7; /** * 秘鑰 */ public static final String APPSECRET = "haitaiinc"; /** * 生成jwt * * @param userInfo * @return */ public static String geneJsonWebToken(UserInfo userInfo) { if (userInfo == null || StringUtils.isEmpty(userInfo.getUserId()) || StringUtils.isEmpty(userInfo.getUserName())) { return null; } String token = Jwts.builder().setSubject(SUBJECT) .claim("id", userInfo.getUserId()) .claim("name", userInfo.getUserName()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRE)) .signWith(SignatureAlgorithm.HS256, APPSECRET).compact(); return token; } /** * 校驗token * * @param token * @return */ public static Claims checkJWT(String token) { try { final Claims claims = Jwts.parser().setSigningKey(APPSECRET). parseClaimsJws(token).getBody(); return claims; } catch (Exception e) { } return null; } }
4)測試
package com.haitaiinc.clinicpathservice; import com.haitaiinc.clinicpathservice.entity.UserInfo; import com.haitaiinc.clinicpathservice.utils.JwtUtils; import io.jsonwebtoken.Claims; import org.junit.jupiter.api.Test; public class CommonTest { @Test public void testGeneJwt() { UserInfo user = new UserInfo(); user.setUserId("admin"); user.setUserName("管理員"); String token = JwtUtils.geneJsonWebToken(user); System.out.println(token); } @Test public void testCheck() { String token = "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImlkIjoiYWRtaW4iLCJuYW1lIjoi566h55CG5ZGYIiwiaWF0IjoxNTc3NTU3MDU1LCJleHAiOjE1NzgxNjE4NTV9.VrrKtCTnxVN76JhpyIusCGq9Wj89wLor0OqIJ6s0zXo"; Claims claims = JwtUtils.checkJWT(token); if (claims != null) { String id = (String) claims.get("id"); String name = (String) claims.get("name"); System.out.println(id); System.out.println(name); } else { System.out.println("非法token"); } } }