概念:

JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。

优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。
缺点是无法作废已颁布的令牌/不易应对数据过期。

JWT 只是一种规范,具体应用,还是需要开发人员自己实现取数据的过程。

一般实现过程是这样的:

1.用户登陆后生成jwt token。

2.以后每次客户端访问在请求头或者cookie 中带上此cookie。

3.服务端接收此token后,获取用户信息,获取用户上下文数据,用户编写代码获取自己相关的数据。

JWT生成代码实现:

1.编辑POM.xml文件,加入下面的片段

<dependency>

            <groupId>com.auth0</groupId>

            <artifactId>java-jwt</artifactId>

            <version>3.4.0</version>

        </dependency>

2.JWT生成和解析过程。

package com.neo.util;

import java.util.Base64;

import java.util.Calendar;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import org.springframework.util.StringUtils;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

public class JwtUtil {

    /**

     * 加密的密码,这个密码不能对外面泄漏。

     */

    public static final String SECRET = "JKKLJOoasdlfj";

    /** token 过期时间: 10天 */

    public static final int calendarField = Calendar.DATE;

    public static final int calendarInterval = 10;

    /**

     * JWT生成Token.<br/>

     *

     * JWT构成: header, payload, signature

     *

     * @param user_id 用户ID

     * @param name 用户名称

     *

     * 这些参数可以扩展的注意不要放入敏感信息,比如密码。

     *

     */

    public static String createToken(Long user_id,String name) throws Exception {

        Date iatDate = new Date();

        // expire time

        Calendar nowTime = Calendar.getInstance();

        nowTime.add(calendarField, calendarInterval);

        Date expiresDate = nowTime.getTime();

        // header Map

        Map<String, Object> map = new HashMap<String, Object>();

        map.put("alg", "HS256");

        map.put("typ", "JWT");

        // build token

        // param backups {iss:Service, aud:APP}

        String token = JWT.create().withHeader(map) // header

                .withClaim("iss", "Service") // payload

                .withClaim("aud", "APP")

                .withClaim("user_id", null == user_id ? null : user_id.toString())

                .withClaim("name", name)

                .withIssuedAt(iatDate) // sign time

                .withExpiresAt(expiresDate) // expire time

                .sign(Algorithm.HMAC256(SECRET)); // signature

        return token;

    }

    /**

     * 解密Token

     *

     * @param token

     * @return

     * @throws Exception

     */

    public static Map<String, Claim> verifyToken(String token) {

        DecodedJWT jwt = null;

        try {

            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();

            jwt = verifier.verify(token);

        } catch (Exception e) {

            // e.printStackTrace();

            // token 校验失败, 抛出Token验证非法异常

        }

        return jwt.getClaims();

    }

    /**

     * 根据Token获取user_id

     *

     * @param token

     * @return user_id

     */

    public static Long getAppUID(String token) {

        Map<String, Claim> claims = verifyToken(token);

        Claim user_id_claim = claims.get("user_id");

        if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {

            // token 校验失败, 抛出Token验证非法异常

        }

        return Long.valueOf(user_id_claim.asString());

    }

    public static void main(String[] args) throws Exception {

        String token=createToken(9999L,"ray");

        System.out.println(token);

        Long uid=getAppUID(token);

        Map<String, Claim> claims = verifyToken(token);

        System.out.println(claims.get("name").asString());

        //eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJBUFAiLCJ1c2VyX2lkIjoiOTk5OSIsImlzcyI6IlNlcnZpY2UiLCJuYW1lIjoiemhhbmd5ZyIsImV4cCI6MTU0MTk0NzA4MSwiaWF0IjoxNTQxMDgzMDgxfQ.fUc0PSjdvR5ihHUv8hk7eQeUlv5RkmrsCZxq6bUXYDc

       byte[] bytes=    Base64.getUrlDecoder().decode("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9");

       System.out.println(new String(bytes));

       bytes=    Base64.getUrlDecoder().decode("eyJhdWQiOiJBUFAiLCJ1c2VyX2lkIjoiOTk5OSIsImlzcyI6IlNlcnZpY2UiLCJuYW1lIjoiemhhbmd5ZyIsImV4cCI6MTU0MTk0NzA4MSwiaWF0IjoxNTQxMDgzMDgxfQ");

       System.out.println(new String(bytes));

    }

}

需要注意的是,我们可以在token放入用户ID,用户名称等信息,不要放入权限密码等信息,因为TOKEN 会在有效期内不发生变化,另外头部和payload信息是base64编码,是可以被解码的。

JWT 理解的更多相关文章

  1. Django之JWT理解及简单应用

    Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(S ...

  2. 【从零开始搭建自己的.NET Core Api框架】(四)实战!带你半个小时实现接口的JWT授权验证

    系列目录 一.  创建项目并集成swagger 1.1 创建 1.2 完善 二. 搭建项目整体架构 三. 集成轻量级ORM框架——SqlSugar 3.1 搭建环境 3.2 实战篇:利用SqlSuga ...

  3. 【从零开始搭建自己的.NET Core Api框架】(七)授权认证进阶篇

    系列目录 一.  创建项目并集成swagger 1.1 创建 1.2 完善 二. 搭建项目整体架构 三. 集成轻量级ORM框架——SqlSugar 3.1 搭建环境 3.2 实战篇:利用SqlSuga ...

  4. 看图理解JWT如何用于单点登录

    单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处.自从上次研究过JWT如何应用于会话管理,加之以前的项目中也 ...

  5. 【.NET Core项目实战-统一认证平台】第十二章 授权篇-深入理解JWT生成及验证流程

    [.NET Core项目实战-统一认证平台]开篇及目录索引 上篇文章介绍了基于Ids4密码授权模式,从使用场景.原理分析.自定义帐户体系集成完整的介绍了密码授权模式的内容,并最后给出了三个思考问题,本 ...

  6. jwt再度理解

    1,负载部分只用base64编码,是可逆的,不能存放密码 2,加密算法不在乎是对称还是非对称,因为jwt的验签不需要解密 3,一般的验签是用私钥加密签名,公钥验签,和加密反过来,加密是公钥加密,服务器 ...

  7. 理解JWT(Json Web Token)

    这篇文章写得不错: 理解JWT(JSON Web Token)认证及python实践,这里不做转载,仅摘要如下,有删改,仅做个人学习,感谢原作者. 常用认证机制: 1)HTTP basic Auth: ...

  8. 理解JWT(JSON Web Token)认证及python实践

    原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 几种常用的认证机制 HTTP Basic Auth HTTP ...

  9. JWT—JSON Web Token - 理解JWT网络间应用用户安全认证交互设计

    原文地址:http://blog.leapoahead.com/2015/09/06/understanding-jwt/ 官网地址:https://jwt.io/ JSON Web Token(JW ...

随机推荐

  1. VS项目属性配置问题

    1  libcpmtd.lib(stdthrow.obj) : error LNK2001: 无法解析的外部符号 __CrtDbgReportW 运行库:多线程 (/MT) 2 MSVCRT.lib( ...

  2. SAP ALV 修改数字需要添零问题

    问题描述: 修改左列数字,如果想要输入3,那么要输3000,敲空格,才会在ALV里显示为3. 原因: 变量ERFMG引用的域类型小数点位置为3位,当输入数字1时,默认往前数3位,作为小数点位置,变成0 ...

  3. JAVA之1000字感想

    在经过Java自学的测试之后,我发现了自己所暴露的问题. 第一,   对于没有解决的问题始终没有解决,比如对文件的导入导出,在假期自学的时候就没有弄懂,现在依然没有解决,而现在没有解决,以后对于数据库 ...

  4. linux命令学习之:echo

    echo命令用于在shell中打印shell变量的值,或者直接输出指定的字符串.linux的echo命令,在shell编程中极为常用, 在终端下打印变量value的时候也是常常用到的,因此有必要了解下 ...

  5. 无法连接到localhost.其他信息:用户“sa”登录失败。(MicroSoft Sql Server,错误:18456)

    18456错误: 在安装的时候如果选择的身份验证模式为:Window身份验证模式,就会出现18456的错误. 解决方案: 使用windows身份验证登录之后,在下面红框上单击右键,点击属性: 点击属性 ...

  6. vue2.0插件

    1.better-scroll 参考网址:https://ustbhuangyi.github.io/better-scroll/doc/zh-hans/ better-scroll 是什么 firs ...

  7. 关于document的节点;用Dom2创建节点;

    一.关于节点 1.节点树状图 document>documentElement>body>tagName 2.节点类型 元素节点(标签).文本节点(文本).属性节点(标签属性) 3. ...

  8. DOM系列基础知识

    DOM (Document Object Model) 即文档对象模型, 针对 HTML 和 XML 文档的 API (应用程序接口) .DOM 描绘了一个层次化的节点树,运行开发人员添加.移除和修改 ...

  9. 三种简单排序算法(java实现)

    一.冒泡排序 算法思想:遍历待排序的数组,每次遍历比较相邻的两个元素,如果他们的排列顺序错误就交换他们的位置,经过一趟排序后,最大的元素会浮置数组的末端.重复操                   作 ...

  10. Xstream将XML转换为javabean的问题

    1.问题:Xstream is not security 解决方法:加上 2.问题:如果没有第二行代码,会出现xstream forbiddenclassexception 解决方法:加上第二行,其中 ...