JWT介绍及其基本使用

本文主要是介绍JWT介绍及其基本使用，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

JWT介绍及其基本使用

官网：https://jwt.io/

什么是JWT

全称：JSON Web Token（JSON Web令牌）

一个开放标准(RFC 7519) ，它定义了一种紧凑和自包含的方式， 用于作为 JSON 对象在各方之间安全地传输信息。此信息可以进行验证和信任，因为它是经过数字签名的。JWT 可以使用机密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。

虽然可以对 JWT 进行加密，以便在各方之间提供保密性，但是我们将关注已签名的Token。签名Token可以验证其中包含的声明的完整性，而加密Token可以向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时，该签名还证明只有持有私钥的一方才是对其进行签名的一方( 签名技术是保证传输的信息不被篡改,并不能保证信息传输的安全 )。

JWT有什么作用

JWT最常见的场景就是授权认证，一旦用户登录之后，后续的每个请求都将包含JWT。系统在每次处理用户请求之前都要先通过JWT安全校验，通过之后再去进行处理。

解决了使用session的跨域问题

JWT的结构

JWT由三部分组成，他们分别为：

• Header：包含了算法名称，token名称
• Payload：包含注册声明、公共声明、私有声明
• Signature：由加密后的Header和Payload再次进行二次加密构成

在请求当中的出现形式为Header.Payload.Signature，如下：

JWT的实际应用

JWT依赖引入

<!--JWT(Json Web Token)登录支持-->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

JWT工具类

package com.liangtl.utils;import com.liangtl.dao.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;import java.util.Date;
import java.util.HashMap;
import java.util.Map;@Component
@ConfigurationProperties("jwt.data")
public class JwtTokenUtil {private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);private static final String CLAIM_KEY_USERNAME = "sub";private static final String CLAIM_KEY_CREATED = "created";private String secret = "jwt-token-secret";private Long expiration = 604800L;private String tokenHead = "Bearer";/*** 根据负责生成JWT的token*/private String generateToken(Map<String, Object> claims) {return Jwts.builder().setClaims(claims).setExpiration(generateExpirationDate()).signWith(SignatureAlgorithm.HS256, secret).compact();}/*** 从token中获取JWT中的负载*/private Claims getClaimsFromToken(String token) {Claims claims = null;try {claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();} catch (Exception e) {LOGGER.error("JWT格式验证失败:{}", token);}return claims;}/*** 生成token的过期时间*/private Date generateExpirationDate() {return new Date(System.currentTimeMillis() + expiration * 1000);}/*** 从token中获取登录用户名*/public String getUserNameFromToken(String token) {String username;try {Claims claims = getClaimsFromToken(token);username = claims.getSubject();} catch (Exception e) {username = null;}return username;}/*** 验证token是否还有效** @param token       客户端传入的token* @param User 从数据库中查询出来的用户信息*/public boolean validateToken(String token, User User) {String username = getUserNameFromToken(token);return username.equals(User.getUserName()) && !isTokenExpired(token);}/*** 判断token是否已经失效*/private boolean isTokenExpired(String token) {Date expiredDate = getExpiredDateFromToken(token);return expiredDate.before(new Date());}/*** 从token中获取过期时间*/private Date getExpiredDateFromToken(String token) {Claims claims = getClaimsFromToken(token);return claims.getExpiration();}/*** 根据用户信息生成token*/public String generateToken(User User) {Map<String, Object> claims = new HashMap<>();claims.put(CLAIM_KEY_USERNAME, User.getUserName());claims.put(CLAIM_KEY_CREATED, new Date());return generateToken(claims);}/*** 当原来的token没过期时是可以刷新的** @param oldToken 带tokenHead的token*/public String refreshHeadToken(String oldToken) {if (StringUtils.isEmpty(oldToken)) {return null;}String token = oldToken.substring(tokenHead.length());if (StringUtils.isEmpty(token)) {return null;}//token校验不通过Claims claims = getClaimsFromToken(token);if (claims == null) {return null;}//如果token已经过期，不支持刷新if (isTokenExpired(token)) {return null;}//如果token在30分钟之内刚刷新过，返回原tokenif (tokenRefreshJustBefore(token, 30 * 60 * 1000)) {return token;} else {claims.put(CLAIM_KEY_CREATED, new Date());return generateToken(claims);}}/*** 判断token在指定时间内是否刚刚刷新过** @param token 原token* @param time  指定时间（秒）*/private boolean tokenRefreshJustBefore(String token, int time) {Claims claims = getClaimsFromToken(token);Date created = claims.get(CLAIM_KEY_CREATED, Date.class);Date refreshDate = new Date();//刷新时间在创建时间的指定时间内if (refreshDate.after(new Date(System.currentTimeMillis() - time)) && refreshDate.before(new Date())) {return true;}return false;}
}

接口定义

Controller

package com.liangtl.api;import com.liangtl.dao.User;
import com.liangtl.framework.common.ResponseData;
import com.liangtl.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/system")
public class LoginController {@Autowiredprivate UserService userService;@PostMapping("/login")public ResponseData login(@RequestBody User user) {return userService.login(user);}
}

Service

package com.liangtl.service.impl;import com.liangtl.dao.User;
import com.liangtl.framework.common.ErrorCode;
import com.liangtl.framework.common.ResponseData;
import com.liangtl.framework.exception.TokenException;
import com.liangtl.service.UserService;
import com.liangtl.utils.JwtTokenUtil;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;@Service
public class UserServiceImpl implements UserService {@Autowiredprivate JwtTokenUtil jwtTokenUtil;@Overridepublic ResponseData login(User user) {if (user == null || StringUtils.isEmpty(user.getUserName()) || StringUtils.isEmpty(user.getPassword())) {throw new TokenException(ErrorCode.USER_ERROR_CODE, ErrorCode.USER_ERROR_MSG);}if ("admin".equals(user.getUserName()) && "123456".equals(user.getPassword())) {String token = jwtTokenUtil.generateToken(user);return ResponseData.success(token);}return ResponseData.failure();}
}

api测试结果

（tips：以上代码不完整，报错并非代码逻辑有问题而是有缺失类，如果完全copy的话需要适当调整使用）

后续相关思路

• 接口请求验证：在拦截器中先校验token来验证用户是否有权限访问接口
• 自动续期：考虑将token放在redis中并且设置过期时间，这样每次发起请求的时候可以设置一个拦截器刷新redis的过期时间以实现自动续期的效果

。。。

这篇关于JWT介绍及其基本使用的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---