- 私有的声明
标准中注册的声明 (建议但不强制使用) :
-
iss:jwt签发者
-
sub:jwt所面向的用户
-
aud:接收jwt的一方
-
exp:jwt的过期时间,这个过期时间必须要大于签发时间
-
nbf:定义在什么时间之前,该jwt都是不可用的.
-
iat:jwt的签发时间
-
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
Payload 就是 jwt 存放的数据内容
{
“userId”:“1234”
“userName”:“liujianyu”
“过期时间。。。。”
}
注意在 Pyload 中不能够存放敏感数据-(手机号、密码。。。。)
然后将其进行base64加密,得到Jwt的第二部分。
Token 对应存放在 Redis 或者数据库中的数据
3、验证签名
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
-
header (base64后的)
-
payload (base64后的)
-
secret
这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
Jwt与token最大的区别:
-
token依赖于Redis 查询数据信息,token存放value数据比较安全的。
-
Jwt 不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器)
Jwt payload 的数据是无法被篡改的
JWT优缺点
优点:
1、无需在服务器存放用户的数据,减轻服务器端压力
2、轻量级、json风格比较简单
3、跨语言
缺点:
jwt 一旦生成后期无法修改
1、无法更新 jwt 有效期
2、无法销毁一个 jwt
导入依赖
io.jsonwebtoken
jjwt
0.9.1
javax.xml.bind
jaxb-api
2.3.0
com.sun.xml.bind
jaxb-impl
3.0.0
com.sun.xml.bind
jaxb-core
3.0.0
创建 Token
private static String signature = “admin”;
private static long time = 10006060*24; //单位毫秒,一天
JwtBuilder jwtBuilder = Jwts.builder();
String jwtToken = jwtBuilder
.setHeaderParam(“typ”, “JWT”)
.setHeaderParam(“alg”, “HS256”)
//Payload
.claim(“role”, “admin”)
.claim(“userName”, “liujian”)
.setSubject(“admin-test”)//设置主题
.setExpiration(new Date(System.currentTimeMillis() + time))
.setId(UUID.randomUUID().toString())
//signature
.signWith(SignatureAlgorithm.HS256, signature)
.compact();//拼接
解析 token
String token = “eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoiYWRtaW4iLCJ1c2VyTmFtZSI6ImxpdWppYW4iLCJzdWIiOiJhZG1pbi10ZXN0IiwiZXhwIjoxNjI0MTYzMDIxLCJqdGkiOiJlNWNiZjAwNy01MDYzLTQ3YzktOTk1OC03NTA0YTAzYTE3NmQifQ.lzi0a5vMRUKFT4AbBrZuBV44qFVQdye3WacqKXo6CW8”;
JwtParser parser = Jwts.parser();
Jws claimsJws = parser.setSigningKey(signature).parseClaimsJws(token);
Claims claims = claimsJws.getBody();
System.out.println(claims.get(“userName”));
System.out.println(claims.get(“role”));
System.out.println(claims.getId());
System.out.println(claims.getSubject());
System.out.println(claims.getExpiration());
System.out.println(claims);
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)
复习的面试资料
这些面试全部出自大厂面试真题和面试合集当中,小编已经为大家整理完毕(PDF版)
- 第一部分:Java基础-中级-高级
- 第二部分:开源框架(SSM:Spring+SpringMVC+MyBatis)
- 第三部分:性能调优(JVM+MySQL+Tomcat)
- 第四部分:分布式(限流:ZK+Nginx;缓存:Redis+MongoDB+Memcached;通讯:MQ+kafka)
- 第五部分:微服务(SpringBoot+SpringCloud+Dubbo)
- 第六部分:其他:并发编程+设计模式+数据结构与算法+网络
进阶学习笔记pdf
- Java架构进阶之架构筑基篇(Java基础+并发编程+JVM+MySQL+Tomcat+网络+数据结构与算法)
- Java架构进阶之开源框架篇(设计模式+Spring+SpringMVC+MyBatis)
- Java架构进阶之分布式架构篇 (限流(ZK/Nginx)+缓存(Redis/MongoDB/Memcached)+通讯(MQ/kafka))
- Java架构进阶之微服务架构篇(RPC+SpringBoot+SpringCloud+Dubbo+K8s)
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
[外链图片转存中…(img-dObUVScj-1713469311432)]
[外链图片转存中…(img-5ncckX7x-1713469311432)]
- Java架构进阶之微服务架构篇(RPC+SpringBoot+SpringCloud+Dubbo+K8s)
[外链图片转存中…(img-3w8yKQZN-1713469311433)]
[外链图片转存中…(img-q3RNHgt4-1713469311433)]
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
扫一扫
1528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
