在 Java Web 工程项目中,登录等操作是非常常见的,那么登陆之后要做的第一件事就是要记住这个登录状态,那么常规且一般的操作是怎么做的呢?
1.账号密码验证
2.验证通过,往 session 里赛用户信息
但是今天要介绍另一个高级的身份验证方法 : token
那么为什么要使用 token 而不直接使用 session 呢?首先,token 相对session安全性更好,另外这种方法兼容性更高
那么来讲讲 Token 的基本流程
1.用户输入登录信息
2.后台获取登录信息并且验证账号密码正确
3.后台取用户 id 通过 Jwt 的算法得出一个 jwt 字符串
4.后台往 cookie 里放入 jwt
5.前台收到cookie 之后,在后面的访问操作里要在 http header 里加入 Authorization : token
6.后台过滤器过滤需要验证的请求,在请求里找 Authorization 信息,提取出来后做 jwt 验证,未过期则可访问
JwtUtil.java
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtUtil {
static final String SECRET = "ThisIsASecret";
public static String generateToken(String username) {
HashMap<String, Object> map = new HashMap<>();
//you can put any data in the map
map.put("username", username);
String jwt = Jwts.builder()
.setClaims(map)
.setExpiration(new Date(System.currentTimeMillis() + 86_400_000L))// 24 hour 86400000 ms
.signWith(SignatureAlgorithm.HS512, SECRET)
.compact();
return "Bearer "+jwt; //jwt前面一般都会加Bearer
}
public static void validateToken(String token) {
try {
// parse the token.
Map<String