JWT全称是json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个token,返回给客户端,客户端在下次访问的过程中携带这个token,服务端在接受请求前验证这个token。
JWT的组成:
header头,payload负荷,signature 签名
我的理解是其一般需要携带有关信息,不包括有:有效时间、签名密钥、其他用户标识信息等
JWT的工作流程:
用户提供其用户名和密码进行身份验证;
服务器对这些凭证进行验证,验证成功后生成一个token;
服务器将生成的token返回给客户端,客户端后续请求是将此token附加在请求头或其他参数中
服务器再次接收到请求后,验证token的有效性,并根据token进行验证
在代码中体现为:
导入相关依赖;
在配置文件中设置jwt.token的配置:有效时间,签名密钥等等
参考代码:
@Data
@Component
@ConfigurationProperties(prefix = "jwt.token")//配置文件的导入,其中配置了如下两个属性:有效时间和签名密钥
public class JwtHelper {
private long tokenExpiration; //有效时间,单位毫秒 1000毫秒 == 1秒
private String tokenSignKey; //当前程序签名秘钥
public String createToken(Long userId) {
System.out.println("tokenExpiration = " + tokenExpiration);
System.out.println("tokenSignKey = " + tokenSignKey);
String token = Jwts.builder()
.setSubject("YYGH-USER")
.setExpiration(new Date(System.currentTimeMillis() + tokenExpiration*1000*60)) //单位分钟
.claim("userId", userId)
.signWith(SignatureAlgorithm.HS512, tokenSignKey)
.compressWith(CompressionCodecs.GZIP)
.compact();
return token;
}
//从token字符串获取userid
public Long getUserId(String token) {
if(StringUtils.isEmpty(token)) return null;
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
Claims claims = claimsJws.getBody();
Integer userId = (Integer)claims.get("userId");
return userId.longValue();
}
//判断token是否有效
public boolean isExpiration(String token){
try {
boolean isExpire = Jwts.parser()
.setSigningKey(tokenSignKey)
.parseClaimsJws(token)
.getBody()
.getExpiration().before(new Date());
//没有过期,有效,返回false
return isExpire;
}catch(Exception e) {
//过期出现异常,返回true
return true;
}
}
}