剖析JWT，及其使用案例 - JAVA

TOP

剖析JWT，及其使用案例(一)

2023-07-23 13:26:43 【大中小】浏览:28次

Tags：剖析 JWT

什么是JWT

JWT 是一个开放标准，它定义了一种用于简洁，自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名
简单来说: 就是通过一定规范来生成token，然后可以通过解密算法逆向解密token，这样就可以获取用户信息
优点
- 生产的token可以包含基本信息，比如id、用户昵称、头像等信息，避免再次查库
- 存储在客户端，不占用服务端的内存资源
缺点
- token是经过base64编码，所以可以解码，因此token加密前的对象不应该包含敏感信息，如用户权限，密码等
- 如果没有服务端存储，则不能做登录失效处理，除非服务端改秘钥

JWT格式组成头部、负载、签名

header+payload+signature
- 头部：主要是描述签名算法
- 负载：主要描述是加密对象的信息，如用户的id等，也可以加些规范里面的东西，如iss签发者，exp 过期时间，sub 面向的用户
- 签名：主要是把前面两部分进行加密，防止别人拿到token进行base解密后篡改token

关于jwt客户端存储

可以存储在cookie，localstorage和sessionStorage里面

代码实现

依赖引入

<!-- JWT相关 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

JWTUtil类,封装了生产token方法和校验token方法

@Slf4j
public class JWTUtil {
    /**
     * 主题
     */
    private static final String SUBJECT = "xtw";
    /**
     * 加密秘钥
     */
    private static final String SECRET = "xtw.com";
    /**
     * 令牌前缀
     */
    private static final String TOKEN_PREFIX = "xtwcloud-link";
    /**
     * 过期时间 7天
     */
    private static final long EXPIRED = 1000*60*60*24*7;

    /**
     * 生成token
     * @param loginUser
     * @return
     */
    public static String geneJsonWebToken(LoginUser loginUser){
        if(loginUser == null){
            throw new NullPointerException("对象为空");
        }

        String token = Jwts.builder().setSubject(SUBJECT)
                // 配置payload
                .claim("head_img",loginUser.getHeadImg())
                .claim("account_no",loginUser.getAccountNo())
                .claim("username",loginUser.getUserName())
                .claim("mail",loginUser.getMail())
                .claim("phone",loginUser.getPhone())
                .claim("auth",loginUser.getAuth())
                .setIssuedAt(new Date())
                .setExpiration(new Date(CommonUtil.getCurrentTimestamp()+EXPIRED))
                .signWith(SignatureAlgorithm.HS256,SECRET).compact();
        token = TOKEN_PREFIX + token;
        return token;
    }

    /**
     * 校验token
     * @param token
     * @return
     */
    public static Claims checkJWT(String token){
        try {
            final Claims claims = Jwts.parser().setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();

            return claims;
        }catch (Exception e){

            log.info("jwt 校验失败");
            return null;
        }

    }
}

案例

用户初次登录或者token过期，登录成功返回JWT令牌

public JsonData login(AccountLoginRequest loginRequest) { // 校验用户账号和密码,等... TODO // 对象变迁 loginRequest -> DO -> DTO(loginUser) // loginRequest：前端输入 // DO：根据loginRequest从数据库中提取 // DTO(loginUser)：剔除了DO中的敏感字段，用于生成token // 密码正确生成JWT_token String token = JWTUtil.geneJsonWebToken(loginUser); return JsonData.buildSuccess(token); }

登录后，客户端存储了token，网页跳转只需要校验token

//拦截器配置 @Configuration @Slf4j public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LoginInterceptor()) // 拦截路径，需要token的接口 .addPathPatterns("[拦截url]") // 放行路径，不需要token的接口，如注册登录接口等... .excludePathPatterns("[放行url]"); } } // 登录拦截器--进行用户的token校验（用户登录成功后网页跳转） @Slf4j public class LoginInterceptor implements HandlerInterceptor { //本地线程：在进行对象跨层传递的时候，使用ThreadLocal可以避免多次传递，打破层次间的约束。 public static ThreadLocal<LoginUser> threadLocal = new ThreadLocal<>(); @Overr

首页上一页 1 2 下一页尾页 1/2/2
【大中小】【打印】【繁体】【投稿】【收藏】【推荐】【举报】【评论】【关闭】【返回顶部】

上一篇：阿里云Bucket的简单使用	下一篇：一道面试题：计算时间偏移量，怎..

什么是JWT

JWT格式组成 头部、负载、签名

关于jwt客户端存储

代码实现

JWT格式组成头部、负载、签名