jwt常见问题回复&简介
-
什么是JWT(JSON Web Token)?
JWT是一种用于身份验证和授权的开放标准(RFC 7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用中进行身份验证。 -
JWT有什么好处,能干啥?
JWT的主要优点包括:
- 轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。
- 自包含:JWT中包含了用户的一些声明信息,因此无需查询数据库来验证用户身份,有效降低了服务器的负担。
- 无状态性:JWT本身是无状态的,所有的信息都被包含在令牌中,服务器端无需保存任何状态信息,使得系统易于扩展和维护。
- 安全性:JWT中使用签名进行验证,防止数据被篡改,确保了数据的完整性和安全性。
JWT能够实现的功能包括:
- 用户认证:JWT可以用于用户身份验证,客户端通过携带有效的JWT令牌来请求受限资源。
- 单点登录(SSO):用户在一个应用登录后,可以获取JWT令牌,然后在其他相互信任的应用中使用该令牌来免登录。
- 授权信息传递:JWT中的载荷可以包含用户的角色、权限等信息,服务器可以根据这些信息做出授权决策(私密信息不要使用JWT 可以被人解析)。
- JWT的组成:
JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
- 头部(Header):通常由两部分组成,令牌类型(
typ
)和使用的签名算法(alg
)。示例:{"alg": "HS256", "typ": "JWT"}
- 载荷(Payload):包含用户的声明信息,例如过期时间用户ID、角色、权限等。可以自定义其他声明信息。示例:
{"sub": "1234567890", "name": "John Doe", "admin": true}
- 签名(Signature):通过对头部和载荷进行签名,保证数据的完整性和安全性。签名的生成通常使用密钥进行加密,只有持有密钥的服务器才能验证签名的有效性。
- 如何使用JWT?
使用JWT通常包括以下步骤:
- 用户登录:用户提供用户名和密码进行登录验证。
- 服务器验证:服务器验证用户提供的信息是否正确,并生成JWT令牌。
- 令牌传递:服务器将JWT令牌发送回客户端。
- 客户端使用:客户端在后续请求中携带JWT令牌,发送给服务器进行身份验证和授权。
-
系统中的JWT是如何使用的,在什么时候使用的?
在一个系统中,JWT通常用于实现用户身份验证和授权。当用户登录成功后,服务器会生成一个JWT令牌并发送给客户端,客户端保存该令牌,并在后续的请求中将令牌添加到请求头或请求参数中。服务器在收到请求时,会解析JWT令牌并验证其合法性和有效性,从而判断用户是否已经登录以及是否有权限访问请求的资源。JWT的使用可以简化系统的身份验证和授权流程,提高系统的安全性和性能。同时,由于JWT本身是无状态的,不需要在服务器端保存会话信息,使得系统更易于扩展和维护。引入jwt,并使用生成token
使用步骤
当使用JWT进行用户身份验证和授权时,通常包含以下步骤:
-
用户登录认证:
- 用户提供用户名和密码进行登录。
- 服务器接收用户提交的用户名和密码,通过
UserService
类中的authenticateUser
方法验证用户名和密码是否正确。 - 如果用户名和密码验证通过,认为用户登录成功,可以继续下一步生成JWT令牌。
-
生成JWT令牌:
- 在登录成功后,服务器使用
JwtUtils
工具类中的generateJwtToken
方法生成JWT令牌。 generateJwtToken
方法接收三个参数:subject
:即载荷(Payload)中的"sub"字段,通常用于标识用户的唯一标识,例如用户ID、用户名等。expirationMillis
:令牌的有效期,以毫秒为单位。令牌过期后将无效,需要重新登录获取新的令牌。SECRET_KEY
:用于签名的密钥,确保密钥保密,不要泄露给他人。
generateJwtToken
方法会使用Jwts
类的builder
方法构建JWT令牌,并设置令牌的头部(Header)、载荷(Payload)、过期时间(Expiration)等信息。- 最后,使用指定的签名算法(此处使用HS256)对令牌进行签名,生成签名(Signature)部分,得到最终的JWT令牌。
- 在登录成功后,服务器使用
-
返回JWT令牌:
- 服务器将生成的JWT令牌返回给客户端,通常通过将令牌添加到响应的Header或Body中。
-
客户端携带JWT令牌:
- 在后续的请求中,客户端需要在请求头或请求参数中携带JWT令牌,通常使用"Authorization"字段来传递令牌。
- 例如,可以将JWT令牌添加到请求头的"Authorization"字段中,格式为"Bearer <JWT_Token>“,其中”<JWT_Token>"为生成的JWT令牌。
-
解析和验证JWT令牌:
- 服务器接收到带有JWT令牌的请求后,需要对令牌进行解析和验证,以验证用户身份和授权信息。
- 使用
JwtUtils
工具类中的parseJwtToken
方法对JWT令牌进行解析和验证。 parseJwtToken
方法接收一个JWT令牌作为参数,并使用之前设置的密钥SECRET_KEY
对令牌进行解析。- 如果解析和验证成功,
parseJwtToken
方法将返回载荷(Payload)中的"sub"字段的值,即之前设置的用户唯一标识。 - 如果解析和验证失败,可能是令牌过期、签名验证不通过等,服务器将拒绝请求,要求客户端重新登录获取新的令牌。
-
用户访问控制:
- 在服务器端验证JWT令牌成功后,可以根据令牌中携带的用户信息(例如用户角色、权限等)进行访问控制和授权决策。
- 服务器可以根据令牌中的信息判断用户是否有权限访问请求的资源,并执行相应的业务逻辑。
精简版案例:
客户端生成令牌:
public void generateJWT() {
JwtBuilder builder = Jwts.builder();
String token = builder
// 头部
.setHeaderParam("typ", "JWT")
.setHeaderParam("alg", "HS256")
// 载荷数据/过期时间
.claim("id", 10001)
.claim("nickName", "老王")
// 设置过期时间,这里设置为当前时间加上一小时
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60))