登录认证
令牌就是一段字符串
- 承载业务数据,减少后续请求查询数据库的次数
- 防篡改,保证信息的合法性和有效性
JWT(JSON Web Token)
- 定义了一种简洁的、自包含的格式,用于通信双方以 json 数据格式安全的传输信息。
- 组成:
- 第一部分:Header(头),记录令牌类型、签名算法等。例如:{“alg”:“HS256”,“type”:“JWT”}
- 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:{“id”:“1”,“username”:“Tom”}
- 第三部分:Signature(签名),防止 Token 被篡改、确保安全性。将 header、payload,并加入指定秘钥,通过指定签名算法计算而来。
<!--jwt 令牌-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>4.4.0</version>
</dependency>
@Test
public void getToken(){
Map<String,Object> claims=new HashMap<>();
claims.put("id",1);
claims.put("username","ZhangSan");
//生成JWT
String token=JWT.create()
.withClaim("user",claims)//添加载荷
.withExpiresAt(new Date(System.currentTimeMillis()+1000*60*60*12))//添加过期时间
.sign(Algorithm.HMAC256("htu"));//指定算法配置秘钥
System.out.println(token);
}
//验证一下
@Test
public void passToken(){
//定义字符串,模拟用户传递过来的token
String token="eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IlpoYW5nU2FuIn0sImV4cCI6MTcwOTQwMjYzMX0.bMIMGPeFa4hWSqrtaxIZLOGdx3c12do6eD4lpSfLaGs";
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("htu")).build();
DecodedJWT verify = jwtVerifier.verify(token);//验证token,生成一个解析后的jwt对象
Map<String, Claim> claims = verify.getClaims();
System.out.println(claims.get("user"));
String signature = verify.getSignature();
System.out.println(signature);
}
//如果篡改了头部和载荷部分信息,验证失败
//如果篡改了秘钥,失败