学习笔记——技术调研
学习笔记——技术调研——JWT
学习笔记——技术调研——EasyExcel
学习笔记——技术调研——JWT
一、JWT介绍
1.1 什么是JWT
JSON Web Token(JWT),通过数字签名的方式,以 json为载体,在不同的服务之间安全的传输信息的一种技术。其本质是一个token,是一种紧凑的URL安全方法,用于在网络通信的双方之间传递。
1.2 JWT有什么用
一般使用在授权认证的过程中,一旦用户登录,后端返回一个token给前端,相当于后端给了前端返回了一个授权码,之后前端向后端发送的每一个请求都需要包含这个token,后端在执行方法前会校验这个token(安全校验),校验通过才执行具体的业务逻辑。
1.3 JWT的组成
由 Header(头信息),PayLoad (用户信息),Signature(签名)三个部分组成。
Header头信息主要声明加密算法:
通常直接使用 HMAC HS256这样的算法
{
"typ":"jwt"
"alg":"HS256" //加密算法
}
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
PayLoad(载荷)
{
"username":"zhangsan",
"name":"张三",
...
}
对其进行base64加密,得到jwt的第二部分。
eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwibmFtZSI6IuW8oOS4iSIsImFnZSI6MTgsInNleCI6IuWlsyIsImV4cCI6MTY0NzE0NTA1MSwianRpIjoiMTIxMjEyMTIxMiJ9
Signature 签证信息,这个签证信息由三部分组成(由加密后的Header,加密后的PayLoad,加密后的签名三部分组成)
- header (base64后的)
- payload (base64后的)
- secret
base64加密后的header和base64加密后的payload使用.
连接组成的字符串,然后通过header中声明的加密方式进行加盐加密,然后就构成了jwt的第三部分,每个部分直接使用.
来进行拼接。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwibmFtZSI6IuW8oOS4iSIsImFnZSI6MTgsInNleCI6IuWlsyIsImV4cCI6MTY0NzE0NTA1MSwianRpIjoiMTIxMjEyMTIxMiJ9.5tmHCpcsS_VuZ2_z5Rydf2OpsviBGwB-fJE5aS7gKqE
二、JWT入门
2.1. 引入Pom依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
注:使用的jdk1.8版本 高版本会报缺少jar包
2.2 jwt生成token
调用api封装header,payload,signature这三部分信息
步骤:
1.声明一个全局的签名(即秘钥)
static String signature = "xuexi";
2.获取jwt的构造器
3.封装header,payload,signature这三部分属性
4.调用compact方法帮我们生成token
//使用JWT自带的构造器构造一个jwt
JwtBuilder builder = Jwts.builder();
//使用构造器里的方法封装属性
String token = builder.
//封装header属性
setHeaderParam("typ","JWT").
setHeaderParam("alg", "HS256")
//封装payload里的信息 使用claim方法
.claim("username", "zhangsan")
.claim("name", "张三")
.claim("age", 22)
.claim("sex", "男")
//在payLoad中设置一个超时时间 秒 分 时
.setExpiration(new Date(System.currentTimeMillis()+Long.valueOf(1000 * 60 * 60 * 1)))
.setId("123456")
//构造signature部分
.signWith(SignatureAlgorithm.HS256, signature)
//构造我们的签名 调用compact方法
.compact();
System.out.println(token);
2.3 解密
步骤:
1.获取解密器
2.解密器需要获取我们本地的秘钥 signature
3.将生成的token进行解密,拿到一个Claims
核心是获取payLoad里的用户信息调用getBody方法获取payLoad
4.获取payLoad里的参数
//解密
JwtParser parser = Jwts.parser();
Jws<Claims> claimsJws = parser.setSigningKey(signature).parseClaimsJws(token);
Claims body = claimsJws.getBody();
//获取name
System.out.println(body.get("name"));
//获取性别
System.out.println(body.get("sex"));
//获取用户名
System.out.println(body.get("username"));
//获取姓名
System.out.println(body.get("name"));
//获取id
System.out.println(body.getId());
//获取有效期-截止时间
System.out.println(body.getSubject());
System.out.println(body.getExpiration());
2.4 完整代码
import io.jsonwebtoken.*;
import java.util.Date;
/**
* jwt的例子
*/
public class JWTExample {
static String signature = "xuexi";
public static void main(String[] args) {
//使用JWT自带的构造器构造一个jwt
JwtBuilder builder = Jwts.builder();
String token = builder.
//封装header属性
setHeaderParam("typ","JWT").
setHeaderParam("alg", "HS256")
//封装payload里的信息 使用claim方法
.claim("username", "zhangsan")
.claim("name", "张三")
.claim("age", 22)
.claim("sex", "男")
//在payLoad中设置一个超时时间 秒 分 时
.setExpiration(new Date(System.currentTimeMillis()+Long.valueOf(1000 * 60 * 60 * 1)))
.setId("123456")
//构造signature部分
.signWith(SignatureAlgorithm.HS256, signature)
//构造我们的签名 调用compact方法
.compact();
System.out.println(token);
System.out.println("===================================开始解密=======================================");
//解密
JwtParser parser = Jwts.parser();
Jws<Claims> claimsJws = parser.setSigningKey(signature).parseClaimsJws(token);
Claims body = claimsJws.getBody();
//获取name
System.out.println(body.get("name"));
//获取性别
System.out.println(body.get("sex"));
//获取用户名
System.out.println(body.get("username"));
//获取姓名
System.out.println(body.get("name"));
//获取id
System.out.println(body.getId());
//获取有效期-截止时间
System.out.println(body.getSubject());
System.out.println(body.getExpiration());
}
}