- HS256 使用同一个「secret_key」进行签名与验证(对称加密)。一旦 secret_key 泄漏,就毫无安全性可言了。
- 因此 HS256 只适合集中式认证,签名和验证都必须由可信方进行。
- 传统的单体应用广泛使用这种算法,但是请不要在任何分布式的架构中使用它!
- RS256 是使用 RSA 私钥进行签名,使用 RSA 公钥进行验证。公钥即使泄漏也毫无影响,只要确保私钥安全就行。
- RS256 可以将验证委托给其他应用,只要将公钥给他们就行。
- ES256 和 RS256 一样,都使用私钥签名,公钥验证。算法速度上差距也不大,但是它的签名长度相对短很多(省流量),并且算法强度和 RS256 差不多。
jwt解签验签的过程
package com.test.wll.util;
import io.jsonwebtoken.*;
import io.swagger.annotations.Api;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.Date;
import java.util.HashMap;
@Slf4j
@Api(tags = "JwtUtils")
@Component
@RestController
@RequestMapping("/test")
public class JwtUtils {
//设置过期时间
private static final long EXPIRE_TIME = 240 * 60 * 1000;
//token秘钥
private static final String secretKey = "mima";
@PostMapping("/createToken")
public static String createToken() {
HashMap<String, Object> map = new HashMap<>();
map.put("user", "admin@2023");
JwtBuilder jwtBuilder = Jwts.builder()
.setClaims(map)
.signWith(SignatureAlgorithm.HS256, secretKey.getBytes())
// 设置签发时间
.setIssuedAt(new Date());
String token = jwtBuilder.compact();
return token;
}
//解密
@PostMapping("/parse")
public String parse(String token) {
// Jwts.parser():获取JWT解析器实例。
//.setSigningKey(secretKey):设置签名密钥用于验证和解析令牌。secretKey是一个密钥对象,你需要提供正确的密钥用于解码和验证令牌签名。
//.parseClaimsJws(token):对给定的token进行解析和验证操作。token是待解析和验证的JWT令牌。
// Jws<Claims>:Jws是一个JWT核心类,代表着解析和验证后的令牌信息。Claims代表了JWT主体(payload)的声明信息。
// 以上代码会返回一个Jws<Claims>对象,你可以通过该对象获取解析后的声明信息,例如获取令牌中的用户信息、权限等。你可以根据具体的需求来处理解析后的令牌信息。
//
// 需要注意的是,这段代码在Jwts.parser()方法后并没有调用任何验证方法,如requireIssuer()、requireAudience()等。如果你需要验证令牌的某些声明(例如签发者、接收者等),你可以在解析器调用链中添加这些验证方法。
Claims body = Jwts.parser()
.setSigningKey(secretKey.getBytes())
.parseClaimsJws(token)
.getBody();
String user = (String) body.get("user");
String s = body.toString();
return s;
}
}