剖析JWT,及其使用案例

什么是JWT
  • JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名

  • 简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息

  • 优点

    • 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
    • 存储在客户端,不占用服务端的内存资源
  • 缺点

    • token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限,密码等
    • 如果没有服务端存储,则不能做登录失效处理,除非服务端改秘钥
JWT格式组成 头部、负载、签名
  • header+payload+signature
    • 头部:主要是描述签名算法
    • 负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者,exp 过期时间,sub 面向的用户
    • 签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
关于jwt客户端存储
  • 可以存储在cookie,localstorage和sessionStorage里面
代码实现
  • 依赖引入

    <!-- JWT相关 -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.7.0</version>
    </dependency>
    
  • JWTUtil类,封装了生产token方法和校验token方法

    @Slf4j
    public class JWTUtil {
        /**
         * 主题
         */
        private static final String SUBJECT = "xtw";
        /**
         * 加密秘钥
         */
        private static final String SECRET = "xtw.com";
        /**
         * 令牌前缀
         */
        private static final String TOKEN_PREFIX = "xtwcloud-link";
        /**
         * 过期时间 7天
         */
        private static final long EXPIRED = 1000*60*60*24*7;
    
        /**
         * 生成token
         * @param loginUser
         * @return
         */
        public static String geneJsonWebToken(LoginUser loginUser){
            if(loginUser == null){
                throw new NullPointerException("对象为空");
            }
    
            String token = Jwts.builder().setSubject(SUBJECT)
                    // 配置payload
                    .claim("head_img",loginUser.getHeadImg())
                    .claim("account_no",loginUser.getAccountNo())
                    .claim("username",loginUser.getUserName())
                    .claim("mail",loginUser.getMail())
                    .claim("phone",loginUser.getPhone())
                    .claim("auth",loginUser.getAuth())
                    .setIssuedAt(new Date())
                    .setExpiration(new Date(CommonUtil.getCurrentTimestamp()+EXPIRED))
                    .signWith(SignatureAlgorithm.HS256,SECRET).compact();
            token = TOKEN_PREFIX + token;
            return token;
        }
    
        /**
         * 校验token
         * @param token
         * @return
         */
        public static Claims checkJWT(String token){
            try {
                final Claims claims = Jwts.parser().setSigningKey(SECRET)
                        .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                        .getBody();
    
                return claims;
            }catch (Exception e){
    
                log.info("jwt 校验失败");
                return null;
            }
    
        }
    }
    
    
  • 案例

    • 用户初次登录或者token过期,登录成功返回JWT令牌

      public JsonData login(AccountLoginRequest loginRequest) {
          // 校验用户账号和密码,等...  TODO 
          
          // 对象变迁 loginRequest -> DO -> DTO(loginUser)
          // loginRequest:前端输入
          // DO:根据loginRequest从数据库中提取
        	// DTO(loginUser):剔除了DO中的敏感字段,用于生成token
          
          // 密码正确 生成JWT_token
          String token = JWTUtil.geneJsonWebToken(loginUser);
      
          return JsonData.buildSuccess(token);
      }
      

热门相关:恭喜你被逮捕了   富贵不能吟   修真界败类   戏精老公今天作死没   戏精老公今天作死没