JWT单点登录及token的处理

单点登录方案:
用户第一次登录成功后,会颁发token给前端页面,每次请求都会携带这个token,放在请求头中,后端根据密钥来校验token是否有效,一旦密钥里的任何一个信息改变,token都会无效.校验通过之后会生成新的token颁发给前端,刷新有效时间;
缺点:
每次都更新token,性能会有影响
注意:
秘钥和算法是用来生成签名的，令牌本身不可读仅是因为base64url编码，可以直接解码,密钥仅可以用来校验token是否有效.

JWT由三部分组成，分别是头信息、有效载荷、签名，中间以（.）分隔，如下格式：

aaa.bbb.ccc

具体结构参考下图

一.header（头信息）
由两部分组成，令牌类型（即：JWT）、散列算法（HMAC、RSASSA、RSASSA-PSS等）

二.Payload（有效载荷）
JWT的第二部分是payload，其中包含claims。claims是关于实体（常用的是用户信息）和其他数据的声明，claims有三种类型： registered, public, and private claims。
Registered claims： 这些是一组预定义的claims，非强制性的，但是推荐使用， iss（发行人）， exp（到期时间）， sub（主题）， aud（观众）等；
Public claims: 自定义claims，注意不要和JWT注册表中属性冲突，这里可以查看JWT注册表
Private claims: 这些是自定义的claims，用于在同意使用这些claims的各方之间共享信息，它们既不是Registered claims，也不是Public claims。

三.Signature
要创建签名部分，必须采用编码的Header，编码的Payload，秘钥，Header中指定的算法，并对其进行签名。

       <dependency>
            <groupId>com.auth0groupId>
            <artifactId>java-jwtartifactId>
            <version>3.2.0version>
        dependency>

密钥可以根据具体需求来生成
以下密钥的生成是模拟用户id,用户修改时间,上次登录时间,上次登出时间,ip,浏览器信息,salt(前端随机生成,窗口唯一),后面是角色的相关信息等.

public static void main(String[] args) throws Exception {
     
        // userId, updated time,last login time,last logout time,ip,user agent,salt,roleId,role updated time,roleId2,role updated time2
        String secretKey = "11,1111111111,login_time,logout_time,127.0.0.1,macxxx,123456789,18,111111111,19,22222222222";

		// 设置加密算法
        Algorithm algorithm = Algorithm.HMAC256(secretKey);

        System.out.println(algorithm);

        JWTCreator.Builder builder = JWT.create()
                .withIssuer("issure")
                .withSubject("test")
                // 过期时间
                .withExpiresAt(new Date(System.currentTimeMillis() + 3 * 1000))
                .withClaim("userId", "11")
                .withClaim("orgId", "1");

        String token = builder.sign(algorithm);
        System.out.println("token=" + token);

        // 获取token里的信息
        DecodedJWT decodedJWT = JWT.decode(token);
        System.out.println("userId=" + decodedJWT.getClaim("userId").asString());

        // 校验token是否有效
        DecodedJWT verifyJWT = verifyJwt(token, secretKey);
        System.out.println("verifyJWT=" + verifyJWT);

    }

    public static DecodedJWT verifyJwt(String token, String secretKey) {
     
        try {
     
            Algorithm algorithm = Algorithm.HMAC256(secretKey);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            return jwt;

        } catch (Exception e) {
     
            System.out.println("error token");
        }
        return null;
    }