jwt简介
jwt即json-web-token。目前比较流行的跨域身份校验方案。算是比较轻量级的解决方案。
jwt以"."为分隔符分为三个部分。第1部分:header 包含加密类型,消息类型等。payload(载荷):包含发布人,有效期,签发人等信息。第3部分VERIFY SIGNATURE,把将前两部分进行base64Url编码,然后加上用指定秘钥指定加密算法生成的加密字符串。构成第三部分。
落地场景
- 简单SSO
- API鉴权
- 其他跨域身份校验
简单实例
- Pom文件引入java-jwt。
其中注意java-jwt本身使用2.0以后的jackson版本com.fasterxml.jackson.core实现。避免与老版本jackson(org.codehaus.jackson冲突)。
本身经验而言:共存的状态下使用老版的@JsonIgnoreProperties会失效。Spring3.0使用org.codehaus.jackson解析返回的json数据。
<!-- jwt json web TOKEN -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
- 生成jwt
public static String createToken(String userId) {
//jwt生命周期
long lifeTime = Long.parseLong(OperatePropertiesUtil.readValue("config.properties", "jwt_lifetime") );
Date start = new Date();
//单位为毫秒60*60*1000为1小时
long currentTime = System.currentTimeMillis() + lifeTime;
Date end = new Date(currentTime);
String token = "";
//加密的秘钥需要客户端 服务端一致。(根据加密算法不同调整)
String secret = OperatePropertiesUtil.readValue("config.properties", "jwt_secret") ;
//userId为业务相关校验使用。
token = JWT.create().withAudience(userId).withIssuedAt(start).withExpiresAt(end)
.sign(Algorithm.HMAC256(secret));
return token;
}
- 服务端校验jwt
使用载荷中有效信息进行业务方面校验(不需要的话可省略)
比如:
String userId = JWT.decode(token).getAudience().get(0);
然后jwt本身校验:
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(ConstUtil.JWT_SECRET)).build();
try {
jwtVerifier.verify(token);
} catch (JWTVerificationException e) {
LOGGER.error("token校验失败:"+e.getMessage());
}
大概流程: