JWT简介与使用

1.JWT简介

  • 什么是JWT

    • JWT是一个开放标准,它定义了一种用于简洁、自包含的用于通信双方之间以json对象的形式安全传递信息的方法。可以使用HMAC算法或者是RSA的公钥密钥对进行签名
    • 简单来说:就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息
  • 优点

    • 生成的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
    • 存储在客户端,不占用服务端的内存资源
  • 缺点

    • token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限、密码等
    • 如果没有服务端存储,则不能做登录失效处理,除非服务端改密钥
  • JWT格式组成:头部(header)+负载(payload)+签名(signature)

    • 头部:主要是描述签名算法
    • 负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者、exp过期时间、sub面向的用户
    • 签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
  • 关于JWT客户端存储

    • 可以存储在cookie、local storage和session storage里面

2.代码编写

  • 添加依赖

    
    <dependency>
        <groupId>io.jsonwebtokengroupId>
        <artifactId>jjwtartifactId>
        <version>0.9.1version>
    dependency>
    
  • JWT工具类:生成token以及校验token

    package com.gen.genonlineclassroom.utils;
    
    import com.gen.genonlineclassroom.entity.User;
    import io.jsonwebtoken.Claims;
    import io.jsonwebtoken.Jwts;
    import io.jsonwebtoken.SignatureAlgorithm;
    import lombok.extern.slf4j.Slf4j;
    
    import java.util.Date;
    
    /**
     * JWT工具类
     *
     * @author Gen
     */
    @Slf4j
    public class JwtUtil {
    
        /**
         * subject
         */
        private static final String SUBJECT = "gen-online-classroom";
    
        /**
         * 过期时间:7天
         */
        private static final long EXPIRE = 7 * 24 * 60 * 60 * 1000;
    
        /**
         * 加密密钥(注意:密钥不能过短)
         */
        private static final String SECRET = "gen-gen";
    
        private JwtUtil() {
        }
    
        /**
         * 根据用户信息生成token
         *
         * @param user
         * @return
         */
        public static String generateToken(User user) {
            String token = Jwts.builder().setSubject(SUBJECT)
                    .claim("id", user.getId())
                    .claim("name", user.getName())
                    .claim("headImg", user.getHeadImg())
                    .setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                    .signWith(SignatureAlgorithm.HS256, SECRET).compact();
            return token;
        }
    
        /**
         * 校验token
         *
         * @param token
         * @return
         */
        public static Claims checkToken(String token) {
            try {
                Claims claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
                return claims;
            } catch (Exception e) {
                log.error("校验token失败==》token:{},异常:{}", token, e);
            }
            return null;
        }
    }
    

你可能感兴趣的:(JWT,java)