Jwt微服务及其运用
jwt简介
全称 json wen token
Jwt 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。(加密)
简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息
优点
1)生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
2)存储在客户端,不占用服务端的内存资源
缺点
token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限,密码等
格式
JWT格式组成 :头部、负载、签名
header+payload+signature
头部:主要是描述签名算法
负载:(关键)主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者,exp 过期时间,sub 面向的用户
签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
存储
客户端存储可以存储在cookie,localstorage和sessionStorage里面
运用
maven引入依赖
<!-- JWT相关 -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
jwt工具由两块组成,生成与检查(不知道这两个词准不准)
User类
package com.weixin.app.domain;
import java.io.Serializable;
/**
* 用户实体类
*/
public class User implements Serializable {
private Integer id;
private String openid;
private String name;
private String headImg;
private String phone;
private String sign;
private Integer sex;
private String city;
private java.util.Date createTime;
public Integer getId() {
return id;
}
public void setId(Integer id) {
this.id = id;
}
public String getOpenid() {
return openid;
}
public void setOpenid(String openid) {
this.openid = openid;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getHeadImg() {
return headImg;
}
public void setHeadImg(String headImg) {
this.headImg = headImg;
}
public String getPhone() {
return phone;
}
public void setPhone(String phone) {
this.phone = phone;
}
public String getSign() {
return sign;
}
public void setSign(String sign) {
this.sign = sign;
}
public Integer getSex() {
return sex;
}
public void setSex(Integer sex) {
this.sex = sex;
}
public String getCity() {
return city;
}
public void setCity(String city) {
this.city = city;
}
public java.util.Date getCreateTime() {
return createTime;
}
public void setCreateTime(java.util.Date createTime) {
this.createTime = createTime;
}
}
生成jwt
public static final String SUBJECT = "njuptwly"; //发行者
public static final long EXPIRE = 1000 * 60 * 60 * 24 * 7; //过期时间一周
public static final String APPSECRET = "wly666"; //密钥
/**
* 生成jwt
* @param user 传入用户
* @return token令牌
*/
public static String geneJsonWebToken(User user) {
//对参数进行校验
if (user == null || user.getId() == null || user.getName() == null) {
return null;
}
//构建jwt及其内容,claim后相当于key-value形式
String token = Jwts.builder().setSubject(SUBJECT)
.claim("id", user.getId()) //存入信息
.claim("name", user.getName())
.claim("img", user.getHeadImg())
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRE)) //当前时间戳+过期时间
.signWith(SignatureAlgorithm.HS256, APPSECRET) //设置签名方式 hs256
.compact(); //把生成的长串进行压缩,返回String
return token;
}
检查jwt
/**
* 校验JWT
* @param token 令牌
* @return 用户信息
*/
public static Claims checkJWT(String token) {
try {
//parse生成解析类,加入密钥,解析token,取出claim
final Claims claims = Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
return claims;
} catch (Exception e) {
e.printStackTrace();
}
return null;
}
完整代码
package com.weixin.app.utils;
import com.weixin.app.domain.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtils {
public static final String SUBJECT = "njuptwly"; //发行者
public static final long EXPIRE = 1000 * 60 * 60 * 24 * 7; //过期时间一周
public static final String APPSECRET = "wly666"; //密钥
/**
* 生成jwt
* @param user 传入用户
* @return token令牌
*/
public static String geneJsonWebToken(User user) {
//对参数进行校验
if (user == null || user.getId() == null || user.getName() == null) {
return null;
}
//构建jwt及其内容,claim后相当于key-value形式
String token = Jwts.builder().setSubject(SUBJECT)
.claim("id", user.getId()) //存入信息
.claim("name", user.getName())
.claim("img", user.getHeadImg())
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRE)) //当前时间戳+过期时间
.signWith(SignatureAlgorithm.HS256, APPSECRET) //设置签名方式 hs256
.compact(); //把生成的长串进行压缩,返回String
return token;
}
/**
* 校验JWT
* @param token 令牌
* @return 用户信息
*/
public static Claims checkJWT(String token) {
try {
//parse生成解析类,加入密钥,解析token,取出claim
final Claims claims = Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
return claims;
} catch (Exception e) {
e.printStackTrace();
}
return null;
}
}