分布式应用登录检验解决方案之JWT
1.JWT基本介绍
- 什么是JWT
- JWT是一个开发标准,它定义了一种用于简洁,自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。可以使用HMAC算法或者是RSA的公钥密钥对进行签名
- 简单来说:就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息
- 优点
- 生成的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
- 存储在客户端,不占用服务端的内存资源
- 缺点
- token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限、密码等
- 如果没有服务端存储,则不能做登录失效处理,除非服务端改密钥
- JWT格式组成:头部(header)+负载(payload)+签名(signature)
- 头部:主要是描述签名算法
- 负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者、exp过期时间、sub面向的用户
- 签名:主要是把前面两部分进行加密,防止别人拿到token进行base64解密后篡改token
- 关于JWT客户端存储
- 可以存储在cookie、localstorage和sessionStorage里面
2.JWT使用和工具类
-
添加JWT依赖
<!--JWT依赖--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> -
JWT工具类
package com.gen.utils; import com.gen.model.entity.User; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; /** * JWT工具类 */ public class JWTUtil { // 过期时间:一周 private static final long EXPIRE = 7 * 24 * 60 * 60 * 1000; // 机密密钥 private static final String SECRET = "com.gen"; // 令牌前缀 private static final String TOKEN_PREFIX = "dgg"; // subject private static final String SUBJECT = "Gen"; private JWTUtil() { } /** * 根据用户信息生成令牌 * @param user * @return */ public static String geneJsonWebToken(User user) { String token = Jwts.builder().setSubject(SUBJECT) .claim("id", user.getId()) .claim("name", user.getName()) .claim("head_img", user.getHeadImg()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRE)) .signWith(SignatureAlgorithm.HS256, SECRET).compact(); return TOKEN_PREFIX + token; } /** * 校验token * @param token * @return */ public static Claims checkJWT(String token) { try { final Claims claims = Jwts.parser().setSigningKey(SECRET) .parseClaimsJws(token.replace(TOKEN_PREFIX, "")).getBody(); return claims; } catch (Exception e) { return null; } } }
浙公网安备 33010602011771号