jwt讲解及工具类

 

 

官方github地址：https://github.com/jwtk/jjwt

官网地址： https://jwt.io/

 

1、简介

JWT，全称是 Json Web Token ， 是一种 JSON 风格的轻量级的授权和身份认证规范，可实现无状态、分布式的 Web 应用授权。

JWT 作为一种规范，并没有和某一种语言绑定在一起，常用的 Java 实现是 GitHub 上的开源项目 jjwt，地址如下：https://github.com/jwtk/jjwt

 

2、JWT 数据格式

JWT 包含三部分数据：

1.Header：头部，通常头部有两部分信息：

• 声明类型，这里是JWT

• 加密算法，自定义

我们会对头部进行 Base64Url 编码（可解码），得到第一部分数据。

2.Payload：载荷，就是有效数据，在官方文档中(RFC7519)，这里给了 7 个示例信息：

• iss (issuer)：表示签发人

• exp (expiration time)：表示token过期时间

• sub (subject)：主题

• aud (audience)：受众

• nbf (Not Before)：生效时间

• iat (Issued At)：签发时间

• jti (JWT ID)：编号

这部分也会采用 Base64Url 编码，得到第二部分数据。

3.Signature：签名，

是整个数据的认证信息。一般根据前两步的数据，再加上服务的的密钥 secret（密钥保存在服务端，不能泄露给客户端），通过 Header 中配置的加密算法生成。用于验证整个数据完整和可靠性。

点隔开的三部分，对应前面的三部分

 

 

3、JWT 存在的问题

说了这么多，JWT 也不是天衣无缝，由客户端维护登录状态带来的一些问题在这里依然存在，举例如下：

1. 续签问题，这是被很多人诟病的问题之一，传统的 cookie+session 的方案天然的支持续签，但是 jwt 由于服务端不保存用户状态，因此很难完美解决续签问题，如果引入 redis，虽然可以解决问题，但是 jwt 也变得不伦不类了。

2. 注销问题，由于服务端不再保存用户信息，所以一般可以通过修改 secret 来实现注销，服务端 secret 修改后，已经颁发的未过期的 token 就会认证失败，进而实现注销，不过毕竟没有传统的注销方便。

3. 密码重置，密码重置后，原本的 token 依然可以访问系统，这时候也需要强制修改 secret。

4. 基于第 2 点和第 3 点，一般建议不同用户取不同 secret。                                                                                                       

所以一般和redis一起用