JWT的介紹
Json Web Token(JWT)是目前比較流行的跨域認證解決方案,是一種基於JSON的開發標准,由於數據是可以經過簽名加密的,比較安全可靠,一般用於前端和服務器之間傳遞信息,也可以用在移動端和后台傳遞認證信息。
具體實現:
1、首先是在pom.xml中導入依賴
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.2.0</version>
</dependency>
2、一般用法會寫成一個工具類,這里叫JWTUtil,主要包含了生成簽名、驗證、獲取token這幾個基本方法,這些說一下加密算法和頭部信息:
頭信息Header:描述JWT基本信息,typ表示采用JWT令牌,alg(algorithm)表示采用什么算法進行簽名,常見算法有HmacSHA256(HS256)、HmacSHA384(HS384)、HmacSHA512(HS512)、SHA256withECDSA(ES256)、SHA256withRSA(RS256)、SHA512withRSA(RS512)等。如果采用HS256則頭信息結構為:
具體代碼實現如下:
package com.study.utils; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.interfaces.DecodedJWT; import java.util.HashMap; import java.util.Map; import java.util.Date; public class JwtUtils { //設置token過期時間-15分鍾 private static final long EXPIRE_TIME = 15 * 60 * 1000; //設置token私鑰 private static final String SECRET_KEY = "ilovezhongguo123"; /* * 生成簽名 *
*/ public static String sign(String username, String password) { try { // 設置過期時間 Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME); // 私鑰和加密算法 Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); // 設置頭部信息 Map<String, Object> header = new HashMap<>(2); header.put("Type", "Jwt"); header.put("alg", "HS256"); // 返回token字符串 return JWT.create() .withHeader(header) .withClaim("username", username) .withClaim("pwd", password) .withExpiresAt(date) .sign(algorithm); } catch (Exception e) { e.printStackTrace(); return null; } } /** * 檢驗token是否正確 * @param **token** * @return */ public static boolean verify(String token,String username,String password){ try { Algorithm algorithm = Algorithm.HMAC256(password+SECRET_KEY); JWTVerifier verifier = JWT.require(algorithm) .withClaim("username",username) .build(); DecodedJWT jwt = verifier.verify(token); return true; } catch (Exception e){ return false; } } /** * 從token中獲取username信息,無需解密 * @param **token** * @return */ public static String getUserName(String token){ try { DecodedJWT jwt = JWT.decode(token); if(System.currentTimeMillis()-jwt.getExpiresAt().getTime()>0){ return null; } return jwt.getClaim("loginName").asString(); } catch (JWTDecodeException e){ e.printStackTrace(); return null; } } }
3、controller層的測試使用,寫的過於簡單了,其主要是作用於簽名
@RequestMapping("login")
public Map<String, Object> login(@RequestBody User user) {
Map<String, Object> map = new HashMap<>();
User user1 = userService.queryUser(user);
if (user1 != null) {
String token = JwtUtils.sign(user1.getUsername(), user1.getPassword());
if (token != null) {
map.put("status", "success");
map.put("token", token);
map.put("message", "簽名成功");
}
}
map.put("status", "error");
map.put("message", "簽名失敗");
return map;
}