JWT
什么是JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
为什么使用JWT?
传统用于身份验证的是session,session创建以后将sessionid以Cookie的方式返回给客户端。
- 有跨域问题(分布式难以使用(可以解决))
- 占用服务器资源
- CSRF跨站伪造请求攻击
JWT的格式
xxxx.xxxx.xxxx
(Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型))
.Payload 负载 (类似于飞机上承载的物品).Signature 签名/签证
实际上他们都是json格式 只是通过base64加密成xxxx.xxxx.xxxx
Header
JWT的头部承载两部分信息:token类型和采用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
{
"uid": "001",
"name": "张三"
}
载荷就是存放有效信息的地方。(敏感信息不要存放在该处)
Signature
jwt的第三部分是一个签证信息
就是base64转码后的header+payload以后加盐的连接字符串
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
java代码部分
public class Test {
public static void main(String[] args) {
Calendar intance = Calendar.getInstance();
intance.add(Calendar.SECOND,20);
String token = JWT.create().withClaim("uid", "001")
.withClaim("name", "袁心怡")
.withExpiresAt(intance.getTime())//设置过期时间
.sign(Algorithm.HMAC256("alwayswitheyxy"));//加盐加密
System.out.println(token);
test(token);
}
public static void test(String token){
JWTVerifier jwtverfier = JWT.require(Algorithm.HMAC256("alwayswitheyxy")).build();
DecodedJWT verify = jwtverfier.verify(token);//验证token
System.out.println(verify.getClaim("uid").asString());//解码获取uid
System.out.println(verify.getClaim("name").asString());//解码获取name
}
}