JWTs使用简介
2018-03-28 12:58
423 查看
JWTs使用简介
什么是JWT
JSON Web Token (JWT)是一种基于 token 的认证方案。简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数据。
注意:JWT里面的数据是BASE64编码的,没有加密,因此不要放如敏感数据
一个JWT token 看起来是这样的:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo可以简化为下面这样的结构:
base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature)JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。
退出登录, 只要客户端端把Token丢弃就可以了,服务器端不需要废弃Token
服务器端提供刷新Token的接口, 客户端负责按一定的逻辑刷新服务器Token
REST API是无状态的,意味着服务器端每次请求都是独立的,即不依赖以前请求的结果,因此也不应该依赖JWT token做业务查询, 应该在请求报文中单独加个userid 字段。
为了做用户水平越权的检查,可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致, 有些业务可能会允许查不同用户的数据
生成token
public static String createToken(String id, String secretKey) throws Exception { byte[] bytes = Base64.encodeBase64(secretKey.getBytes("utf-8")); String userToken = createToken(id, bytes); return userToken; } // 生成token public static String createToken(String id, byte[] secretKey) { String userToken = null; JwtBuilder builder = Jwts.builder().setSubject(SUBJECT_PP) .setExpiration(new Date(System.currentTimeMillis() + timeLimit)); builder.setId(id); userToken = builder.signWith(SignatureAlgorithm.HS512, secretKey).compact(); return userToken; }
验证token
public static Claims parseJWT(String jwt, String secretKey) throws Exception { byte[] bytes = Base64.encodeBase64(secretKey.getBytes("utf-8")); Claims claims = Jwts.parser().setSigningKey(bytes).parseClaimsJws(jwt).getBody(); return claims; }
参考资料
https://jwt.io/ (官网)https://stormpath.com/blog/jwt-java-create-verify
相关文章推荐
- CppUnit使用简介
- SQLite3简介及在.Net程序中的使用
- IntelliJ简介及使用指南
- QR code二维码简介及Qrencode库的移植与使用
- 线程池ThreadPoolExecutor使用简介
- MySQL GUI Tools 使用简介
- ASIHTTPRequest类库简介和使用说明(转)
- Fragment的使用简介【Android】
- kafka入门:简介、使用场景、设计原理、主要配置及集群搭建(转)
- Picasso的简介与使用
- Hsqldb简介和基本使用(一)
- kafka入门:简介、使用场景、设计原理、主要配置及集群搭建(转)
- Java Service Wrapper简介与使用 linux
- [转] [转]v4l使用简介
- SVN学习笔记 - SVN的简介和使用
- 并行程序设计简介-使用Intel TBB线程库
- JS库之ParticlesJS使用简介
- Linux下GCC使用方法简介
- 消息队列(Message Queue)简介及其使用
- Python中的hypot()方法使用简介