前言
说道会话跟踪,可能会想到Cookie和Session,而这两个都有一定的缺陷,如Cookie,随浏览器自动发送,易受 CSRF 攻击,在移动端支持较差;Session依赖服务器本地存储或共享存储。这时候JWT出现了,其实出现挺久了,我也会挺久了,但是前段时间找实习,没时间写。
之前的做法是用户在登录后,获得一个token,服务器将这个token与其用户id绑定存储在数据库中,下一次用户访问网站时,会在header中携带该信息,服务端在获得该信息后,会与与数据库中的进行比较。
这个做法有一个明显的缺陷就是,用户体量大的话,数据库将会有很大的压力。
这时候JWT的出现就避免了这个缺点,减轻了数据库的压力。
正文
JWT由三部分组成,标头 (Header)、有效载荷 (Payload) 和 签名 (Signature)。
标头包含令牌的类型(JWT)和所使用的签名算法(如 HMAC SHA256)。
如- {
- "alg": "HS256",
- "typ": "JWT"
- }
有效载荷包含声明(claims),即有关实体和其他数据,如过期时间等
如- {
- "name": "Tom",
- "id": 5
- }
签名包含base64加密后的header+"."+base64加密后的Payload连接组成的字符串和签名算法(头部和载荷,签名密钥)构造的签名
JWT代码- import io.jsonwebtoken.Claims;
- import io.jsonwebtoken.JwtBuilder;
- import io.jsonwebtoken.Jwts;
- import io.jsonwebtoken.SignatureAlgorithm;
- import java.nio.charset.StandardCharsets;
- import java.util.Date;
- import java.util.Map;
- public class JwtUtil {
- /**
- * 生成jwt
- * 使用Hs256算法,
- *
- * @param secretKey jwt秘钥
- * @param ttlMillis jwt过期时间(毫秒)
- * @param claims 设置的信息
- * @return
- */
- public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
- // 指定签名的时候使用的签名算法,也就是header那部分
- SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
- // 生成JWT的时间
- long expMillis = System.currentTimeMillis() + ttlMillis;
- Date exp = new Date(expMillis);
- // 设置jwt的body
- JwtBuilder builder = Jwts.builder()
- // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
- .setClaims(claims)
- // 设置签名使用的签名算法和签名使用的秘钥
- .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
- // 设置过期时间
- .setExpiration(exp);
- return builder.compact();
- }
- /**
- * Token解密
- *
- * @param secretKey jwt秘钥
- * @param token 加密后的token
- * @return
- */
- public static Claims parseJWT(String secretKey, String token) {
- // 得到DefaultJwtParser
- Claims claims = Jwts.parser()
- // 设置签名的秘钥
- .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
- // 设置需要解析的jwt
- .parseClaimsJws(token).getBody();
- return claims;
- }
- }
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
