JWT
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
为什么使用JWT?
获取用户信息方式对比:
以前:通过token从redis中获取用户信息
现在:直接从token获取用户信息
什么时候应该使用JWT(JSON Web Tokens)?
- Authorization(授权): 这是使用JWT的最常见场景。用户登录后,以后每个请求都会包含JWT,允许用户访问该令牌的路由、服务和资源,开销小,并且可以轻松跨域使用
- Information Exchange(信息交换):安全的在各方之间传递信息而言,JWT无疑是一种很好的方式。因为JWT可以被签名,例如使用公钥/私钥,你可以确定发送人就是它们所说的那个人;由于签名是使用头和有效负载计算的,你还可以验证内容有没有被篡改
JWT(JSON Web Tokens)的结构:
JWT由三个部分组成:
- 头(Header)
- 载荷(PayLoad)
- 签名(Signture)
1.JWT头:
{
"alg": "HS256",签名使用的算法
"typ": "JWT",令牌类型,这里就是jwt
}
2.PAYLOAD有效载荷:
{
"sub": "123456789",主题
"name": "John Doe",自定义主题
"iat": 1516239022,发布时间
}
PAYLOAD有效载荷中既可以存放一些已经定义过的字段,也可以自定字段
//payload预定义字段
iss: 发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT
将这个对象同样使用BASE64URL加密并且与jwt以点号(.)隔开
3.VERIFY SIGNATURE 哈希签名
对jwt头和荷载信息使用指定算法进行哈希签名,确保数据的完整性,在签名算法中需要指定一个私钥,这个私钥只存储与服务器中,不能向用户公开;将生成的哈希签名作为第三部分与前两部分以点号隔开,就生成了一个完整的token
(token一般存储在cookie或local storage中)
使用JWT应该注意的几点:
- 根据用户信息生成token
- 可以从token中获取用户名、密码、过期时间、荷载
- 验证token是否有效
- 判断token是否失效
- 判断token是否可以刷新
- 刷新token
- 生成失效时间
JWT工具类
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* JwtToken工具类
*/
@Component
public class JwtTokenUtil {
private static final String CLAIM_KEY_USERNAME="sub";
private static final String CLAIM_KEY_CREATED="created";
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expiration}")
private Long expiration;
/**
* 根据用户信息生成token
* @param userDetails
* @return
*/
public String generateToken(UserDetails userDetails){
Map<String, Object> claims = new HashMap<>();
claims.put(CLAIM_KEY_USERNAME,userDetails.getUsername());
claims.put(CLAIM_KEY_CREATED,new Date());
return generateToken(claims);
}
/**
* 从token中获取登录用户名
* @param token
* @return
*/
public String getUserNameFromToken(String token){
String username;
try{
Claims claims = getClaimsFromToken(token);
username = claims.getSubject();
}catch (Exception e){
username = null;
}
return username;
}
/**
* 验证token是否有效
* @param token
* @param userDetails
* @return
*/
public boolean validateToken(String token,UserDetails userDetails){
String username = getUserNameFromToken(token);
// System.out.println("***************" + username);
return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
}
/**
* 判断token是否失效
* @param token
* @return
*/
private boolean isTokenExpired(String token) {
Date expireDate = getExpiredDateFromToken(token);
return expireDate.before(new Date());
}
/**
* 判断token是否可以被刷新
* @param token
* @return
*/
public boolean canRefresh(String token){
return !isTokenExpired(token);
}
/**
* 刷新token
* @param token
* @return
*/
public String refreshToken(String token){
Claims claims = getClaimsFromToken(token);
claims.put(CLAIM_KEY_CREATED,new Date());
return generateToken(claims);
}
/**
* 从token中获取过期时间
* @param token
* @return
*/
private Date getExpiredDateFromToken(String token) {
Claims claims = getClaimsFromToken(token);
return claims.getExpiration();
}
/**
* 从token中获取荷载
* @param token
* @return
*/
private Claims getClaimsFromToken(String token) {
Claims claims = null;
try{
claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
}catch (Exception e){
e.printStackTrace();
}
return claims;
}
/**
*根据荷载生成JWT TOKEN
* @param claims
* @return
*/
private String generateToken(Map<String,Object> claims) {
return Jwts.builder()
.setClaims(claims)
.setExpiration(generateExpirationDate())
.signWith(SignatureAlgorithm.HS512,secret)
.compact();
}
/**
* 生成token失效时间
* @return
*/
private Date generateExpirationDate() {
return new Date(System.currentTimeMillis() + expiration * 1000);
}
}
参考博客:
- https://www.jianshu.com/p/99a458c62aa4
- https://www.cnblogs.com/aaron911/p/11300062.html