Json Web Token 简介
1、Json Web Token是干什么
简称JWT,在HTTP通信过程中,进行身份认证。
我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。因此需要对访问的客户端进行识别,常用的做法是通过session机制:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessionID到服务端,服务端会缓存该session(会话),当客户端请求到来的时候,服务端就知道是哪个用户的请求,并将处理的结果返回给客户端,完成通信。
通过上面的分析,可以知道session存在以下问题:
1、session保存在服务端,当客户访问量增加时,服务端就需要存储大量的session会话,对服务器有很大的考验;
2、当服务端为集群时,用户登陆其中一台服务器,会将session保存到该服务器的内存中,但是当用户的访问到其他服务器时,会无法访问,通常采用缓存一致性技术来保证可以共享,或者采用第三方缓存来保存session,不方便。
2、Json Web Token是怎么做的?
1、客户端通过用户名和密码登录服务器;
2、服务端对客户端身份进行验证;
3、服务端对该用户生成Token,返回给客户端;
4、客户端将Token保存到本地浏览器,一般保存到cookie中;
5、客户端发起请求,需要携带该Token;
6、服务端收到请求后,首先验证Token,之后返回数据。
服务端不需要保存Token,只需要对Token中携带的信息进行验证即可;
无论客户端访问后台的那台服务器,只要可以通过用户信息的验证即可。
3、Json Web Token长什么样子呢?
通过名字就可以看出来,是一个json。
由三部分内容组成:
头(header),一般很少改动直接使用默认的即可:
{
'typ':'JWT',
'alg':'HS256'
}
肚子(playload),东西都装在肚子里,默认的内容有:
{
'iss':'签发者',
'sub':'面向的用户',
'aud':'接收方',
'exp': 过期时间,
'iat': 创建时间,
'nbf': 在什么时间之前,该Token不可用,
'jti':'Token唯一标识'
}
根据需要用户可以自己定义,Token中传输的内容,一般会将用户名,角色等信息放到Token中。
我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。因此需要对访问的客户端进行识别,常用的做法是通过session机制:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessionID到服务端,服务端会缓存该session(会话),当客户端请求到来的时候,服务端就知道是哪个用户的请求,并将处理的结果返回给客户端,完成通信。
通过上面的分析,可以知道session存在以下问题:
1、session保存在服务端,当客户访问量增加时,服务端就需要存储大量的session会话,对服务器有很大的考验;
2、当服务端为集群时,用户登陆其中一台服务器,会将session保存到该服务器的内存中,但是当用户的访问到其他服务器时,会无法访问,通常采用缓存一致性技术来保证可以共享,或者采用第三方缓存来保存session,不方便。
2、Json Web Token是怎么做的?
1、客户端通过用户名和密码登录服务器;
2、服务端对客户端身份进行验证;
3、服务端对该用户生成Token,返回给客户端;
4、客户端将Token保存到本地浏览器,一般保存到cookie中;
5、客户端发起请求,需要携带该Token;
6、服务端收到请求后,首先验证Token,之后返回数据。
服务端不需要保存Token,只需要对Token中携带的信息进行验证即可;
无论客户端访问后台的那台服务器,只要可以通过用户信息的验证即可。
3、Json Web Token长什么样子呢?
通过名字就可以看出来,是一个json。
由三部分内容组成:
头(header),一般很少改动直接使用默认的即可:
{
'typ':'JWT',
'alg':'HS256'
}
肚子(playload),东西都装在肚子里,默认的内容有:
{
'iss':'签发者',
'sub':'面向的用户',
'aud':'接收方',
'exp': 过期时间,
'iat': 创建时间,
'nbf': 在什么时间之前,该Token不可用,
'jti':'Token唯一标识'
}
根据需要用户可以自己定义,Token中传输的内容,一般会将用户名,角色等信息放到Token中。
尾(signature),前面两部分转为字符串后,使用base64编码,然后进行加密得到一个字符串。
Token = 头(base64)+ 肚子(base64)+ 尾;
4、Json Web Token怎么使用呢?
利用Java封装的JJWT实现,下载jar地址为:http://maven.outofmemory.cn/io.jsonwebtoken/jjwt/0.6.0/
Token = 头(base64)+ 肚子(base64)+ 尾;
4、Json Web Token怎么使用呢?
利用Java封装的JJWT实现,下载jar地址为:http://maven.outofmemory.cn/io.jsonwebtoken/jjwt/0.6.0/
还需要依赖包jackson-annotations-2.5.0.jar、jackson-core-2.5.0.jar、jackson-databind-2.5.0.jar,地址:http://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-core/2.5.0
package com.yuxuejian.jwt.test;
import java.security.Key;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.InvalidClaimException;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
public class JwtManager {
/**
* 1、选择签名的算法
* 2、生成签名的密钥
* 3、构建Token信息
* 4、利用算法和密钥生成Token
*/
public static String createToken() {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
byte[] secretBytes = DatatypeConverter.parseBase64Binary("JWT-TOKEN");
Key signingKey = new SecretKeySpec(secretBytes, signatureAlgorithm.getJcaName());
Map<String, Object> claims = new HashMap<String, Object>();
claims.put("username", "token");
claims.put("role", "admin");
JwtBuilder builder = Jwts.builder().setClaims(claims)
.setId("tokenid")
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis()+10*60*1000))
.signWith(signatureAlgorithm, signingKey);
return builder.compact();
}
public static Claims parseToken(String token) {
return Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary("JWT-TOKEN"))
.parseClaimsJws(token).getBody();
}
public static void validateToken(String token) {
try{
Claims claims = parseToken(token);
String username = claims.get("username").toString();
String role = claims.get("role").toString();
String tokenid = claims.getId();
System.out.println("[username]:"+username);
System.out.println("[role]:"+role);
System.out.println("[tokenid]:"+tokenid);
} catch(ExpiredJwtException e) {
System.out.println("token expired");
} catch (InvalidClaimException e) {
System.out.println("token invalid");
} catch (Exception e) {
System.out.println("token error");
}
}
public static void main(String[] args) {
validateToken(createToken());
}
}