JWT—token工具类

水深无声 2021-07-26 15:56 725阅读 0赞

<dependency>
    	<groupId>io.jsonwebtoken</groupId>
    	<artifactId>jjwt</artifactId>
    	<version>0.9.0</version>
    </dependency>

**工具类 JWTUtils**

import io.jsonwebtoken.Jwts;
    import io.jsonwebtoken.SignatureAlgorithm;
    import org.slf4j.Logger;
    import org.slf4j.LoggerFactory;
    import javax.crypto.spec.SecretKeySpec;
    import javax.xml.bind.DatatypeConverter;
    import java.security.Key;
    import java.util.Date;
    import java.util.Map;
    
    /**
     * token工具类
     */
    public class JWTUtils {
        private static Logger log = LoggerFactory.getLogger(JWTUtils.class);
    
        private static final long EXPIRE_TIME = 15 * 60 * 1000;  //15分钟
        private static final String TOKEN_SECRET = "abcdefghijkl";  //token密文
    
        //该方法使用HS256算法和Secret:bankgl生成signKey
        private static Key getKeyInstance() {
            //We will sign our JavaWebToken with our ApiKey secret
            SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
            byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(TOKEN_SECRET);//加密，里面的字符串可自行定义
            Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
            return signingKey;
        }
    
        /**使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
         * @param claims  待转化的数据
         * @return  token字符串
         */
        public static String sign(Map<String, Object> claims) {
            long nowMillis = System.currentTimeMillis();
            Date now = new Date(nowMillis);
            return Jwts.builder()
                    .setClaims(claims)
                    .setExpiration(new Date(nowMillis + EXPIRE_TIME))//超时时间，设置为15分钟
                    .setIssuedAt(now)
                    .setNotBefore(now)
                    .signWith(SignatureAlgorithm.HS256, getKeyInstance())
                    .compact();
        }
    
        /**解析Token，同时也能验证Token，当验证失败返回null
         * @param jwt  token字符串
         * @return  解析的数据
         */
        public static Map<String, Object> verify(String jwt) {
            try {
                Map<String, Object> jwtClaims =
                        Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
                return jwtClaims;
            } catch (Exception e) {
                log.error("json web token verify failed : " + e.getMessage());
                return null;
            }
        }
    }

**测试类JWTtest**

import java.io.UnsupportedEncodingException;
    import java.util.HashMap;
    import java.util.Map;
    
    /**
     * @ClassName JWTtest
     * @Author liming
     * @Description //TODO
     * @Date 2020/5/31 19:25
     **/
    public class JWTtest {
        public static void main(String[] args) throws UnsupportedEncodingException {
            Map<String, Object> claims = new HashMap<String,Object>();
            //模拟添加session中的用户数据
            claims.put("id", "510");
            claims.put("name", "小白");
            claims.put("pass", "123456");
            //转成token
            String myToken = JWTUtils.sign(claims);
            System.out.println("我的token数据：" + myToken);
            //token转化为原数据
            Map<String, Object> myTokenMap = JWTUtils.verify(myToken);
            System.out.println("token转化为Map：" + myTokenMap);
    
        }
    }

打印数据：

我的token数据：eyJhbGciOiJIUzI1NiJ9.eyJuYmYiOjE1OTA5MjQzODEsInBhc3MiOiIxMjM0NTYiLCJuYW1lIjoi5bCP55m9IiwiaWQiOiI1MTAiLCJleHAiOjE1OTA5MjUyODEsImlhdCI6MTU5MDkyNDM4MX0.N8P7mg_mzKicmo1Vu5HB-fu50p0hmcJhowAlOA19q2o
    token转化为Map：{nbf=1590924381, pass=123456, name=小白, id=510, exp=1590925281, iat=1590924381}

理解：之前认为token一定要存在redis中

但是现在看来，token不一定非要存在redis中，不存在redis中也能实现登录和退出功能；登录时生成token并设置token的过期时间，退出登录时把前端的token清空；

也有把token存在redis中，存在redis中可以进行二次校验，存redis中以token为键，以用户对象为值，这样可以通过token去redis中取当前用户信息。redis也可以设置过期时间，完全可以代替token的验证！

以上属于个人理解！