总阅读量:

⭐⭐⭐ Spring Boot 项目实战 ⭐⭐⭐ Spring Cloud 项目实战
《Dubbo 实现原理与源码解析 —— 精品合集》 《Netty 实现原理与源码解析 —— 精品合集》
《Spring 实现原理与源码解析 —— 精品合集》 《MyBatis 实现原理与源码解析 —— 精品合集》
《Spring MVC 实现原理与源码解析 —— 精品合集》 《数据库实体设计合集》
《Spring Boot 实现原理与源码解析 —— 精品合集》 《Java 面试题 + Java 学习指南》

摘要: 原创出处 blog.csdn.net/oscar999/article/details/102728303 「oscar999」欢迎转载,保留摘要,谢谢!

🙂🙂🙂关注**微信公众号:【芋道源码】**有福利:

  1. RocketMQ / MyCAT / Sharding-JDBC 所有源码分析文章列表
  2. RocketMQ / MyCAT / Sharding-JDBC 中文注释源码 GitHub 地址
  3. 您对于源码的疑问每条留言将得到认真回复。甚至不知道如何读源码也可以请教噢
  4. 新的源码解析文章实时收到通知。每周更新一篇左右
  5. 认真的源码交流微信群。

JWT介绍

JWT概念

JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证.

简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。

JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。

JWT流程:

JWT的构成

JWT字符串:一段加密的JSON字符串。

包含了三类信息

  • Header头部:Token类型和加密算法。加密算法常见的有MD5、SHA、HMAC( Hash Message Authentication Code)。
  • PayLoad负载:存放有效信息,包括

标准的声明,类似开发语言总的关键字。包括

iss(Issuser) - 签发者
sub Subject 面向主体
aud Audience 接收方
exp Expiration time 过期时间戳
nbf Not Before, 开始生效时间戳
iat(Issued at) 签发时间
jti(JWT ID): 唯一标识

公共的声明:一般添加业务相关的必要信息,因为可解密,不建议敏感信息。

私有的声明:提供者和消费者共同定义的声明,Base64对称解密,不建议敏感信息

Signature签证

签证信息包括三部分:

Base64加密的header

Base64加密的payload

secret-密钥 使用header中声明的加密算法对Header和payload的加密连接字符串进行加盐secret组合加密。密钥保存在服务端,服务端根据密钥进行解密验证。

JWT与开发语言

JWT只是一个标准 可以通过不过的开发语言实现,包括Java,.NET, Python,Node Js, JavaScript,Perl, Ruby,Go等。同一种语言,不同的开发者提供了多种实现库,以Java语言为例有java-jwt、?jose4j、nimbus-jose-jwt、jjwt

JWT官网

https://jwt.io/

这个网站提供了在线的基于不同算法的字符串和JSON对象的转换工具,同时也收集了不同语言的多种实现库。

java-jwt

java-jwt是Java语言中推荐的JWT实现库,使用Maven导入如下:

<dependency>
 <groupId>com.auth0</groupId>
 <artifactId>java-jwt</artifactId>
 <version>3.8.3</version>
</dependency>

产生加密Token

String token = JWT.create()
            .withExpiresAt(newDate(System.currentTimeMillis()))  //设置过期时间
           .withAudience("user1") //设置接受方信息,一般时登录用户
          .sign(Algorithm.HMAC256("111111"));  //使用HMAC算法,111111作为密钥加密

解密Token获取负载信息并验证Token是否有效

String userId = JWT.decode(token).getAudience().get(0);
    Assertions.assertEquals("user1", userId);
    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("111111")).build();
    jwtVerifier.verify(token);

文章目录
  1. 1. JWT介绍
    1. 1.1. JWT概念
  2. 2. JWT流程:
    1. 2.1. JWT的构成
    2. 2.2. JWT与开发语言
    3. 2.3. JWT官网
    4. 2.4. java-jwt
    5. 2.5. 产生加密Token
    6. 2.6. 解密Token获取负载信息并验证Token是否有效