JWT可以被用于在网络上安全地传输和验证信息,提供了一种简单而有效的方式来管理用户身份和权限。
在Web登录的时候,在Header上会携带自定义的字段。在后端上通过实现
HandlerInterceptor接口重写preHandle方法String token = request.getHeader("Authoriztion");通过这个获取token别忘了把拦截器注入到IOC容器里面交给spring管理
那么我们该如何生成密钥以及解密呢
下面是生成密钥的代码
void contextLoads() {
Map<String, Object> claims = new HashMap<>();
claims.put("id",1);
claims.put("username","张三");
String token = JWT.create()
.withClaim("user",claims)//添加载荷
.withExpiresAt(new Date(System.currentTimeMillis()+1000*60*60*12)) //添加过期时间
.sign(Algorithm.HMAC256("lgl.key"));//指定算法,配置密钥
System.out.println(token);
}
下面是解密的代码
void testParse(){
String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MDA0MDE3MDN9.z2cTlo9NMGFwNwgGlLCqfd64txubM1UeNog0-8AxDFQ";
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("lgl.key")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token); //验证token,生成一个解析后的JWT对象
Map<String, Claim> claims = decodedJWT.getClaims();
System.out.println(claims.get("user"));
//三种失败的原因:1.第一部分和第二部分被篡改 2.密钥不对 3.token过期
}
我们生成的代码:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MDA0MDE3MDN9.z2cTlo9NMGFwNwgGlLCqfd64txubM1UeNog0-8AxDFQ
注意这里面有三个点,分别是
头部、有效载荷、签名
其中头部记录了令牌信息、签名算法等
有效载荷记录了携带的信息!!这部分没有进行加密,是可以被破解的,不要把重要信息放在里面
最后一部分是签名,是为了防止篡改,保证JWT的安全性,会加入第一和第二部分以及密钥通过签名算法得到。如何检测到被篡改或者token不对以及token过期,JWT都会抛出异常