剖析JWT，及其使用案例

什么是JWT

• JWT 是一个开放标准，它定义了一种用于简洁，自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名

• 简单来说: 就是通过一定规范来生成token，然后可以通过解密算法逆向解密token，这样就可以获取用户信息

• 优点

  • 生产的token可以包含基本信息，比如id、用户昵称、头像等信息，避免再次查库
  • 存储在客户端，不占用服务端的内存资源

• 缺点

  • token是经过base64编码，所以可以解码，因此token加密前的对象不应该包含敏感信息，如用户权限，密码等
  • 如果没有服务端存储，则不能做登录失效处理，除非服务端改秘钥

JWT格式组成 头部、负载、签名

• header+payload+signature
  • 头部：主要是描述签名算法
  • 负载：主要描述是加密对象的信息，如用户的id等，也可以加些规范里面的东西，如iss签发者，exp 过期时间，sub 面向的用户
  • 签名：主要是把前面两部分进行加密，防止别人拿到token进行base解密后篡改token

关于jwt客户端存储

• 可以存储在cookie，localstorage和sessionStorage里面

代码实现

• 依赖引入

  <!-- JWT相关 -->
  <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.7.0</version>
  </dependency>
  

• JWTUtil类,封装了生产token方法和校验token方法

  @Slf4j
  public class JWTUtil {
      /**
       * 主题
       */
      private static final String SUBJECT = "xtw";
      /**
       * 加密秘钥
       */
      private static final String SECRET = "xtw.com";
      /**
       * 令牌前缀
       */
      private static final String TOKEN_PREFIX = "xtwcloud-link";
      /**
       * 过期时间 7天
       */
      private static final long EXPIRED = 1000*60*60*24*7;
  
      /**
       * 生成token
       * @param loginUser
       * @return
       */
      public static String geneJsonWebToken(LoginUser loginUser){
          if(loginUser == null){
              throw new NullPointerException("对象为空");
          }
  
          String token = Jwts.builder().setSubject(SUBJECT)
                  // 配置payload
                  .claim("head_img",loginUser.getHeadImg())
                  .claim("account_no",loginUser.getAccountNo())
                  .claim("username",loginUser.getUserName())
                  .claim("mail",loginUser.getMail())
                  .claim("phone",loginUser.getPhone())
                  .claim("auth",loginUser.getAuth())
                  .setIssuedAt(new Date())
                  .setExpiration(new Date(CommonUtil.getCurrentTimestamp()+EXPIRED))
                  .signWith(SignatureAlgorithm.HS256,SECRET).compact();
          token = TOKEN_PREFIX + token;
          return token;
      }
  
      /**
       * 校验token
       * @param token
       * @return
       */
      public static Claims checkJWT(String token){
          try {
              final Claims claims = Jwts.parser().setSigningKey(SECRET)
                      .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                      .getBody();
  
              return claims;
          }catch (Exception e){
  
              log.info("jwt 校验失败");
              return null;
          }
  
      }
  }
  
  

• 案例

  • 用户初次登录或者token过期，登录成功返回JWT令牌

    public JsonData login(AccountLoginRequest loginRequest) {
        // 校验用户账号和密码,等...  TODO 
        
        // 对象变迁 loginRequest -> DO -> DTO(loginUser)
        // loginRequest：前端输入
        // DO：根据loginRequest从数据库中提取
      	// DTO(loginUser)：剔除了DO中的敏感字段，用于生成token
        
        // 密码正确 生成JWT_token
        String token = JWTUtil.geneJsonWebToken(loginUser);
    
        return JsonData.buildSuccess(token);
    }
    

热门相关：恭喜你被逮捕了   富贵不能吟   修真界败类   戏精老公今天作死没   戏精老公今天作死没