java中JWT 相对于Cookie,Session更安全,更方便,更高效
JWT身份验证流程:
用户在第一次登录时需要输入密码进行身份验证,浏览器发送这个登录请求给服务器,里面包含登录的账号和密码,服务器就会创建一个jwt的凭证信息,返回给浏览器,浏览器带着这个jwt去尝试访问服务器的一些要授权的页面,比如后台页面,后台页面就会检测jwt的正确性和合法性,最终jwt正确就给正常回显,jwt错误就返回错误信息。之后,当用户访问需要输入账户密码才能访问的页面时,程序会检查cookie中是否存在正确的token,如果不存在或验证失败,则要求用户重新输入账户密码登录。JWT通常具有过期时间。在生成JWT token时,可以设置一个有效期(例如几小时或几天)。一旦token过期,用户将需要重新登录以获取新的token。
jwt保存在浏览器中,服务器只做创建和验证
JWT用于身份认证、会话维持等。由三部分组成,header、payload与signature,这三个部分都是base64加密后的结果
例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
包含两个.
header用来声明token的类型和签名用的算法等,
默认为:{"alg":"HS256","typ":"JWT"}
payload是要存储的用户的数据
signature包含加密算法的密钥,算法的类型
这里画了一个图:
A.B.C就是JWT(这里Header中使用的算法是HS256)