一、token的作用
- 生成
在用户登录时,根据用户的账号生成一个token。值得注意的是,这个token里面只包含了用户的账号,没有密码。这种设计是有原因的。在用户登录时,如果用户输入的账号密码正确,那么我们就可以根据账号、过期时间,生成一个token。这样有效避免了用户账号、密码的泄露。当然如果我们的token意外的被别人劫持,这种劫持也不像账号密码那样,是永久生效的。当token过期后,必须重新生成一个。 - 将token存入cookie返回给用户访问浏览器。(将token存入cookie中比直接存入账号信息安全很多)
- 用户请求系统时必须挈带这个token进行访问。
二、使用token
(一)导入pom坐标
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
</dependency>
(二)java代码
public static void main(String[] args) {
JwtPayLoad jwtPayLoad = new JwtPayLoad(123L,"lihua");
DateTime expirationDate = DateUtil.offsetSecond(new Date(), Convert.toInt(ConstantContextHolder.getTokenExpireSec()));
String jwt = Jwts.builder()
.setClaims(BeanUtil.beanToMap(jwtPayLoad))
.setSubject(jwtPayLoad.getUserId().toString())
.setIssuedAt(new Date())
.setExpiration(expirationDate)
.signWith(SignatureAlgorithm.HS512, ConstantContextHolder.getJwtSecret())
.compact();
System.out.println("获取令牌:"+jwt);
Claims body = Jwts.parser()
.setSigningKey(ConstantContextHolder.getJwtSecret())
.parseClaimsJws(jwt)
.getBody();
System.out.println("解析令牌:"+body.get("userId")+body.get("account"));
}
(三)jwt工具类
这个工具类来源于一个优秀的开源框架。前往浏览
/*
Copyright [2020] [https://www.xiaonuo.vip]
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
Snowy采用APACHE LICENSE 2.0开源协议,您在使用过程中,需要注意以下几点:
1.请不要删除和修改根目录下的LICENSE文件。
2.请不要删除和修改Snowy源码头部的版权声明。
3.请保留源码和相关描述文件的项目出处,作者声明等。
4.分发源码时候,请注明软件出处 https://gitee.com/xiaonuobase/snowy-layui
5.在修改包名,模块名称,项目代码等时,请注明软件出处 https://gitee.com/xiaonuobase/snowy-layui
6.若您的项目无法满足以上几点,可申请商业授权,获取Snowy商业授权许可,请在官网购买授权,地址为 https://www.xiaonuo.vip
*/
package vip.xiaonuo.sys.core.jwt;
import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.convert.Convert;
import cn.hutool.core.date.DateTime;
import cn.hutool.core.date.DateUtil;
import io.jsonwebtoken.*;
import vip.xiaonuo.core.context.constant.ConstantContextHolder;
import java.util.Date;
/**
* JwtToken工具类
*
* @author xuyuxiang
* @date 2020/3/12 17:39
*/
public class JwtTokenUtil {
/**
* 生成token
*
* @author xuyuxiang
* @date 2020/3/12 17:52
*/
public static String generateToken(JwtPayLoad jwtPayLoad) {
DateTime expirationDate = DateUtil.offsetSecond(new Date(), Convert.toInt(ConstantContextHolder.getTokenExpireSec()));
return Jwts.builder()
.setClaims(BeanUtil.beanToMap(jwtPayLoad))
.setSubject(jwtPayLoad.getUserId().toString())
.setIssuedAt(new Date())
.setExpiration(expirationDate)
.signWith(SignatureAlgorithm.HS512, ConstantContextHolder.getJwtSecret())
.compact();
}
/**
* 根据token获取Claims
*
* @author xuyuxiang
* @date 2020/3/13 10:29
*/
private static Claims getClaimsFromToken(String token) {
return Jwts.parser()
.setSigningKey(ConstantContextHolder.getJwtSecret())
.parseClaimsJws(token)
.getBody();
}
/**
* 获取JwtPayLoad部分
*
* @author xuyuxiang
* @date 2020/3/12 17:53
*/
public static JwtPayLoad getJwtPayLoad(String token) {
Claims claims = getClaimsFromToken(token);
return BeanUtil.mapToBean(claims, JwtPayLoad.class, false);
}
/**
* 校验token是否正确
*
* @author xuyuxiang
* @date 2020/3/13 10:36
*/
public static Boolean checkToken(String token) {
try {
getClaimsFromToken(token);
return true;
} catch (JwtException jwtException) {
return false;
}
}
/**
* 校验token是否失效
*
* @author xuyuxiang
* @date 2020/3/13 10:30
*/
public static Boolean isTokenExpired(String token) {
try {
Claims claims = getClaimsFromToken(token);
final Date expiration = claims.getExpiration();
return expiration.before(new Date());
} catch (ExpiredJwtException expiredJwtException) {
return true;
}
}
}
三、推荐阅读
基于Token的WEB后台认证机制
防止原文丢失,部分内容截图:
(一)登录生成token
(二)请求认证
593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
