单点登录方案:
用户第一次登录成功后,会颁发token给前端页面,每次请求都会携带这个token,放在请求头中,后端根据密钥来校验token是否有效,一旦密钥里的任何一个信息改变,token都会无效.校验通过之后会生成新的token颁发给前端,刷新有效时间;
缺点:
每次都更新token,性能会有影响
注意:
秘钥和算法是用来生成签名的,令牌本身不可读仅是因为base64url编码,可以直接解码,密钥仅可以用来校验token是否有效.
JWT由三部分组成,分别是头信息、有效载荷、签名,中间以(.)分隔,如下格式:
aaa.bbb.ccc
具体结构参考下图
一.header(头信息)
由两部分组成,令牌类型(即:JWT)、散列算法(HMAC、RSASSA、RSASSA-PSS等)
二.Payload(有效载荷)
JWT的第二部分是payload,其中包含claims。claims是关于实体(常用的是用户信息)和其他数据的声明,claims有三种类型: registered, public, and private claims。
Registered claims: 这些是一组预定义的claims,非强制性的,但是推荐使用, iss(发行人), exp(到期时间), sub(主题), aud(观众)等;
Public claims: 自定义claims,注意不要和JWT注册表中属性冲突,这里可以查看JWT注册表
Private claims: 这些是自定义的claims,用于在同意使用这些claims的各方之间共享信息,它们既不是Registered claims,也不是Public claims。
三.Signature
要创建签名部分,必须采用编码的Header,编码的Payload,秘钥,Header中指定的算法,并对其进行签名。
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactI