JWTs使用简介

JWTs使用简介

什么是JWT

JSON Web Token (JWT)是一种基于 token 的认证方案。
简单的说，JWT就是一种Token的编码算法，服务器端负责根据一个密码和算法生成Token，然后发给客户端，客户端只负责后面每次请求都在HTTP header里面带上这个Token，服务器负责验证这个Token是不是合法的，有没有过期等，并可以解析出subject和claim里面的数据。
注意：JWT里面的数据是BASE64编码的，没有加密，因此不要放如敏感数据
一个JWT token 看起来是这样的:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo

可以简化为下面这样的结构:

base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature)

JWT只通过算法实现对Token合法性的验证，不依赖数据库，Memcached的等存储系统，因此可以做到跨服务器验证，只要密钥和算法相同，不同服务器程序生成的Token可以互相验证。
退出登录， 只要客户端端把Token丢弃就可以了，服务器端不需要废弃Token
服务器端提供刷新Token的接口， 客户端负责按一定的逻辑刷新服务器Token
REST API是无状态的，意味着服务器端每次请求都是独立的，即不依赖以前请求的结果，因此也不应该依赖JWT token做业务查询， 应该在请求报文中单独加个userid 字段。
为了做用户水平越权的检查，可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致， 有些业务可能会允许查不同用户的数据

生成token

public static String createToken(String id, String secretKey) throws Exception {
byte[] bytes = Base64.encodeBase64(secretKey.getBytes("utf-8"));
String userToken = createToken(id, bytes);
return userToken;
}

// 生成token
public static String createToken(String id, byte[] secretKey) {
String userToken = null;
JwtBuilder builder = Jwts.builder().setSubject(SUBJECT_PP)
.setExpiration(new Date(System.currentTimeMillis() + timeLimit));
builder.setId(id);
userToken = builder.signWith(SignatureAlgorithm.HS512, secretKey).compact();

return userToken;
}

验证token

public static Claims parseJWT(String jwt, String secretKey) throws Exception {
byte[] bytes = Base64.encodeBase64(secretKey.getBytes("utf-8"));
Claims claims = Jwts.parser().setSigningKey(bytes).parseClaimsJws(jwt).getBody();
return claims;
}

参考资料

https://jwt.io/ （官网）
https://stormpath.com/blog/jwt-java-create-verify