分布式应用下登录校验解决方案——JWT
1. Jwt介绍
JWT 是⼀个开放标准,它定义了⼀种⽤于简洁,⾃包含的⽤于通信双⽅之间以 JSON 对象的形式安全传递信息的⽅法。 可以使⽤ HMAC 算法或者是 RSA 的公钥密钥对进⾏签名。(简单来说jwt就是通过特定的规范【Base64编码】生成的token)
优点:
1.生成的token可以包含想要的特定信息(例如:id,用户昵称等信息)
2.存储在客户端不占用服务端资源
缺点:通过base64编码生成token,可解码不可包含敏感信息
2. Jwt组成
格式:jwt是由 头部,负载,签名来组成【header + payload + signature】
头部:描述签名算法
负载:可用于用户信息,如id,昵称等
签名:用户将前面两个部分进行加密处理,方式篡改
3. Jwt使用(demo)
1.引入jwt依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
2.生成token示例
3.token解析示例
4. Jwt是否真的可以base64解码呢?
我们来验证一下:
demo生成的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJURVNUX1NVQkpFQ1QiLCJuYW1lIjoi5bCP56WW5ZCM5a2mIiwidGVsIjoiMTc3MTIzNDU2NzgiLCJpYXQiOjE2NTI3NzQ4NTksImV4cCI6MTY1Mjc3NTE1OX0.c4oqYWady4b5lOl5bC-EfJYX1ptajPdYNpbbSIOqDX0
度娘里面找了一个在线的验证工具搞一下不就知道了?
红框内及token生成时的载体,所以载体内容尽量不用 【相对敏感的信息】!!!!
以上demo例子就验证 欧尅,哈拉少了!
有需要可以进行整合了。