1.JWT简介
-
什么是JWT
- JWT是一个开放标准,它定义了一种用于简洁、自包含的用于通信双方之间以json对象的形式安全传递信息的方法。可以使用HMAC算法或者是RSA的公钥密钥对进行签名
- 简单来说:就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息
-
优点
- 生成的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
- 存储在客户端,不占用服务端的内存资源
-
缺点
- token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限、密码等
- 如果没有服务端存储,则不能做登录失效处理,除非服务端改密钥
-
JWT格式组成:头部(header)+负载(payload)+签名(signature)
- 头部:主要是描述签名算法
- 负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者、exp过期时间、sub面向的用户
- 签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
-
关于JWT客户端存储
- 可以存储在cookie、local storage和session storage里面
2.代码编写
-
添加依赖
<!--JWT--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
-
JWT工具类:生成token以及校验token
package com.gen.genonlineclassroom.utils; import com.gen.genonlineclassroom.entity.User; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import lombok.extern.slf4j.Slf4j; import java.util.Date; /** * JWT工具类 * * @author Gen */ @Slf4j public class JwtUtil { /** * subject */ private static final String SUBJECT = "gen-online-classroom"; /** * 过期时间:7天 */ private static final long EXPIRE = 7 * 24 * 60 * 60 * 1000; /** * 加密密钥(注意:密钥不能过短) */ private static final String SECRET = "gen-gen"; private JwtUtil() { } /** * 根据用户信息生成token * * @param user * @return */ public static String generateToken(User user) { String token = Jwts.builder().setSubject(SUBJECT) .claim("id", user.getId()) .claim("name", user.getName()) .claim("headImg", user.getHeadImg()) .setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + EXPIRE)) .signWith(SignatureAlgorithm.HS256, SECRET).compact(); return token; } /** * 校验token * * @param token * @return */ public static Claims checkToken(String token) { try { Claims claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody(); return claims; } catch (Exception e) { log.error("校验token失败==》token:{},异常:{}", token, e); } return null; } }