<!--Token生成与解析-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
工具类 JWTUtils
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import java.util.Date;
import java.util.Map;
/**
* token工具类
*/
public class JWTUtils {
private static Logger log = LoggerFactory.getLogger(JWTUtils.class);
private static final long EXPIRE_TIME = 15 * 60 * 1000; //15分钟
private static final String TOKEN_SECRET = "abcdefghijkl"; //token密文
//该方法使用HS256算法和Secret:bankgl生成signKey
private static Key getKeyInstance() {
//We will sign our JavaWebToken with our ApiKey secret
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(TOKEN_SECRET);//加密,里面的字符串可自行定义
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
return signingKey;
}
/**使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
* @param claims 待转化的数据
* @return token字符串
*/
public static String sign(Map<String, Object> claims) {
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
return Jwts.builder()
.setClaims(claims)
.setExpiration(new Date(nowMillis + EXPIRE_TIME))//超时时间,设置为15分钟
.setIssuedAt(now)
.setNotBefore(now)
.signWith(SignatureAlgorithm.HS256, getKeyInstance())
.compact();
}
/**解析Token,同时也能验证Token,当验证失败返回null
* @param jwt token字符串
* @return 解析的数据
*/
public static Map<String, Object> verify(String jwt) {
try {
Map<String, Object> jwtClaims =
Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
return jwtClaims;
} catch (Exception e) {
log.error("json web token verify failed : " + e.getMessage());
return null;
}
}
}
测试类JWTtest
import java.io.UnsupportedEncodingException;
import java.util.HashMap;
import java.util.Map;
/**
* @ClassName JWTtest
* @Author liming
* @Description //TODO
* @Date 2020/5/31 19:25
**/
public class JWTtest {
public static void main(String[] args) throws UnsupportedEncodingException {
Map<String, Object> claims = new HashMap<String,Object>();
//模拟添加session中的用户数据
claims.put("id", "510");
claims.put("name", "小白");
claims.put("pass", "123456");
//转成token
String myToken = JWTUtils.sign(claims);
System.out.println("我的token数据:" + myToken);
//token转化为原数据
Map<String, Object> myTokenMap = JWTUtils.verify(myToken);
System.out.println("token转化为Map:" + myTokenMap);
}
}
打印数据:
我的token数据:eyJhbGciOiJIUzI1NiJ9.eyJuYmYiOjE1OTA5MjQzODEsInBhc3MiOiIxMjM0NTYiLCJuYW1lIjoi5bCP55m9IiwiaWQiOiI1MTAiLCJleHAiOjE1OTA5MjUyODEsImlhdCI6MTU5MDkyNDM4MX0.N8P7mg_mzKicmo1Vu5HB-fu50p0hmcJhowAlOA19q2o
token转化为Map:{nbf=1590924381, pass=123456, name=小白, id=510, exp=1590925281, iat=1590924381}
理解:之前认为token一定要存在redis中
但是现在看来,token不一定非要存在redis中,不存在redis中也能实现登录和退出功能;登录时生成token并设置token的过期时间,退出登录时把前端的token清空;
也有把token存在redis中,存在redis中可以进行二次校验,存redis中以token为键,以用户对象为值,这样可以通过token去redis中取当前用户信息。redis也可以设置过期时间,完全可以代替token的验证!
以上属于个人理解!