JWT的简单应用

jwt简介

jwt即json-web-token。目前比较流行的跨域身份校验方案。算是比较轻量级的解决方案。
jwt以"."为分隔符分为三个部分。第1部分:header 包含加密类型,消息类型等。payload(载荷):包含发布人,有效期,签发人等信息。第3部分VERIFY SIGNATURE,把将前两部分进行base64Url编码,然后加上用指定秘钥指定加密算法生成的加密字符串。构成第三部分。
结构如如所示

落地场景

  1. 简单SSO
  2. Api授权访问
  3. 其他跨域身份校验

简单实例

  1. Pom文件引入java-jwt。
    其中注意java-jwt本身使用2.0以后的jackson版本com.fasterxml.jackson.core实现。避免与老版本jackson(org.codehaus.jackson冲突)。
    本身经验而言:共存的状态下使用老版的@JsonIgnoreProperties会失效。Spring3.0使用org.codehaus.jackson解析返回的json数据。
<!-- jwt json web TOKEN       -->
<dependency>
   <groupId>com.auth0</groupId>
   <artifactId>java-jwt</artifactId>
   <version>3.4.0</version>
</dependency>
  1. 生成jwt
public static String createToken(String userId) {
	//jwt生命周期
    long lifeTime = Long.parseLong(OperatePropertiesUtil.readValue("config.properties", "jwt_lifetime") );
    Date start = new Date();
   //单位为毫秒60*60*1000为1小时
    long currentTime = System.currentTimeMillis() + lifeTime;
    Date end = new Date(currentTime);
    String token = "";
    //加密的秘钥需要客户端 服务端一致。(根据加密算法不同调整)
    String secret = OperatePropertiesUtil.readValue("config.properties", "jwt_secret") ;
    //userId为业务相关校验使用。
    token = JWT.create().withAudience(userId).withIssuedAt(start).withExpiresAt(end)
            .sign(Algorithm.HMAC256(secret));
    return token;
}
  1. 服务端校验jwt
    使用载荷中有效信息进行业务方面校验(不需要的话可省略)
    比如:
String userId = JWT.decode(token).getAudience().get(0);

然后jwt本身校验:

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(ConstUtil.JWT_SECRET)).build();
try {
    jwtVerifier.verify(token);
} catch (JWTVerificationException e) {
    LOGGER.error("token校验失败:"+e.getMessage());
}

大概流程:

客户端服务端携带jwt表明我的身份校验jwt以验证合法身份返回数据客户端服务端
发布了4 篇原创文章 · 获赞 1 · 访问量 7845
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览