JWT简介

jwt非常适合前后分离 和 分布式的应用

不必在服务端存储session,本地也不用存储cookie

直接存两段信息即可

      localStorage["jwt"] = jwt; // token

      localStorage["name"] = json.name; // token中加密的某个字段,用于后期请求带上校验token是否被改

可以把认证相关的信息都存储在里面,添加拦截去进行校验即可

JWT认证流程:

  1. 用户登录成功,生成token,返回一个对象(包含token,用户名)
  2. 每次请求都带上这个对象(通过js存储在电脑)
  3. jwt过滤器会校验token解密之后的name是否和用户名相同,相同则放行
  4. 完成(后续可能需要加上token刷新的动作)

详细介绍:JWT 丨 JSON Web Tokens 丨 java-jwt | 详细介绍以及用法

完整的认证demo

点击查看 - 托管在github - 有说明

https://github.com/hisenyuan/SSM_BookSystem/tree/master/BookSystem_V3

maven依赖

<dependency>

      <groupId>com.auth0</groupId>

      <artifactId>java-jwt</artifactId>

      <version>3.2.0</version>

</dependency>

JWT生成与解密

package com.hisen.jars.jwt;

import com.alibaba.fastjson.JSON;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import org.joda.time.DateTime;

/**

 * 利用java-jwt 3.2.0版本

 * 每个版本的方法不大一样

 * Created by hisenyuan on 2017/8/17 at 15:41.

 */

public class Jwt {

  private static final String SECRET = "XX#$%()(#*!()!KL<><MQLMNQNQJQK sdfkjsdrow32234545df>?N<:{LWPW_hisen";

  private static final String EXP = "exp";

  private static final String PAYLOAD = "payload";

    /**

   * 生成Token:jwt

   * @param object 传入的加密对象 - 放入PAYLOAD

   * @param maxAge 过期事件,单位毫秒

   * @param <T>

   * @return

   */

  public static <T> String sign(T object, long maxAge) {

    Map<String, Object> map = new HashMap<String, Object>();

    String jsonString = JSON.toJSONString(object);

    map.put("alg", "HS256");

    map.put("typ", "JWT");

    long exp = System.currentTimeMillis() + maxAge;

    System.out.println("JWTUtil 当前时间:"+new DateTime().toString("yyyy-MM-dd HH:mm:ss EE"));

    System.out.println("JWTUtil 过期时间:"+new DateTime(exp).toString("yyyy-MM-dd HH:mm:ss EE"));

    String token = null;

    try {

      token = JWT.create()

          .withHeader(map)//header

          .withClaim(PAYLOAD, jsonString)//存放的内容 json

          .withClaim(EXP, new DateTime(exp).toDate())//超时时间

          .sign(Algorithm.HMAC256(SECRET));//密钥

    } catch (UnsupportedEncodingException e) {

      e.printStackTrace();

    }

    return token;

  }

  /**

   * 解密token

   * @param token jwt类型的token

   * @param classT 加密时的类型

   * @param <T>

   * @return 返回解密后的对象 - 如果token过期返回空对象

   */

  public static <T> T unsign(String token, Class<T> classT)  {

    DecodedJWT decode = JWT.decode(token);

    Map<String, Claim> claims = decode.getClaims();

    if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)){

      long tokenTime = claims.get(EXP).asDate().getTime();

      long nowTime = new Date().getTime();

      // 判断令牌是否超时

      if (tokenTime > nowTime){

        String json = claims.get(PAYLOAD).asString();

        return JSON.parseObject(json, classT);

      }

    }

    return null;

  }

}

解密的另外一种写法

这种写法如果令牌超时,直接运行时异常,无法做相关处理

  /**

   * 解密token

   * @param token jwt类型的token

   * @param classT 加密时的类型

   * @param <T>

   * @return 返回解密后的对象 - 如果token过期返回空对象

   */

  public static <T> T unsign(String token, Class<T> classT)  {

    JWTVerifier verifier = null;

    try {

      verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();

      DecodedJWT jwt = verifier.verify(token); // 如果超时,直接抛出运行时异常

      Map<String, Claim> claims = jwt.getClaims();

      if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {

        long tokenTime = claims.get(EXP).asDate().getTime();

        long now = new Date().getTime();

        // 判断令牌是否已经超时

        if (tokenTime > now) {

          String json = claims.get(PAYLOAD).asString();

          // 把json转回对象,返回

          return JSON.parseObject(json, classT);

        }

      }

    } catch (UnsupportedEncodingException e) {

      e.printStackTrace();

    } catch (TokenExpiredException e){

      e.printStackTrace();

    }

    return null;

  }

JSON WEB TOKEN - 告别session和cookie - java demo的更多相关文章

  1. webapp用户身份认证方案 JSON WEB TOKEN 实现

    webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON ...

  2. Java JWT: JSON Web Token

    Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand libr ...

  3. JWT(JSON Web Token) 多网站的单点登录,放弃session

    多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂. 另一种替代方案是采用基于算法的认证方式, JWT(json web token) ...

  4. web登录的session、cookie和token

    为什么会有登录这回事 首先这是因为HTTP是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就把你忘掉了.所以,登录就是用某种方法让服务器在多次请求 ...

  5. JWT(JSON Web Token) 多网站的单点登录,放弃session 转载https://www.cnblogs.com/lexiaofei/p/7409846.html

    多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂. 另一种替代方案是采用基于算法的认证方式, JWT(json web token) ...

  6. android 中使用jwt token(json web token)--java

    http://blog.csdn.net/mingzhnglei/article/details/51119836 下面贴上自己项目中的一个小小的example import com.nimbusds ...

  7. 使用json web token

    由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是 ...

  8. Json Web Token(JWT)

    Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(Si ...

  9. JWT(Json web token)认证详解

    JWT(Json web token)认证详解 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该to ...

随机推荐

  1. jenkins - jsp或其他web样式无法展示

    背景 因为jenkins安全性的问题,默认加载出来的报告是无css的,通过以下配置解决:HTML Publisher Plugin 插件在新的Jenkins版本中会导致打开的网页中无法加载CSS以及无 ...

  2. Nginx安装部署与测试

    场景:项目需要部署在生产环境中,这些新的工具都需要在生产环境中去实践练习.有时间再部署一套ELK的日志分析系统,这样的系统才算具有一定的应用价值. 1 Nginx安装 用root用户安装,采用源代码编 ...

  3. (转)XML中必须进行转义的字符

    场景:在工作中接触到很多xml文件,为了更好的操作这些文件,所有很有必要熟知xml文件的相关语义. 1 引入 编写XML代码经常遗漏的常识: XML实体中不允许出现"&", ...

  4. dpkg和perl的依赖环境出现错误故障解决(磁盘原因)

    内核: uname -a Linux localhost.localdomain 3.4.29-t4 #12 Wed Mar 13 16:50:15 EST 2013 armv7l armv7l ar ...

  5. 网站相关人员信息记录humans.txt

    前面的话 robots.txt文件告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取.而humans.txt文件则是为人类准备的,包含参加该网页设计和建立的相关人员的信息.本文将详细介绍humans.tx ...

  6. 学生问的一道javascript面试题[来自腾讯]

    function Parent() { this.a = 1; this.b = [1, 2, this.a]; this.c = { demo: 5 }; this.show = function ...

  7. 自定义Git之配置别名

    有没有经常敲错命令?比如git status?status这个单词真心不好记. 如果敲git st就表示git status那就简单多了,当然这种偷懒的办法我们是极力赞成的. 我们只需要敲一行命令,告 ...

  8. POJ 2524 Ubiquitous Religions 解题报告

    Ubiquitous Religions Time Limit: 5000MS   Memory Limit: 65536K Total Submissions: 34122   Accepted:  ...

  9. nio系列(一)---nio重要组成

    nio重要组成部分 前言:通过本文可以了解nio的重要组成部分,了解完基础的内容后后面理解才会简单一点.下一篇会讲讲nio的应用和io的对比.如果有不正确的地方还望指正. channel chanel ...

  10. TCP/IP小记

    --TCP/IP小记 -----------------2014/06/11 TCP的要求是:local_ip:local_port <==>remote_ip:remote_port这个 ...