JWT（Json Web Token）简介

古城微笑少年丶 2024-03-24 12:55 25阅读 0赞

一般的Token认证流程是这样的：

1. 用户输入用户名和密码，发送给服务器。

2. 服务器验证用户名和密码，正确的话就返回一个签名过的token（token 可以认为就是个长长的字符串），浏览器客户端拿到这个token。

3. 后续每次请求中，浏览器会把token作为http header发送给服务器，服务器验证签名是否有效，如果有效那么认证就成功，可以返回客户端需要的数据。 特点： 这种方式的特点就是客户端的token中自己保留有大量信息，服务器没有存储这些信息。

那么什么是JWT呢？

## 简介 ##

WT是json web token缩写。它将用户信息加密到token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证。

组成：

JWT包含三个部分： Header头部，Payload负载和Signature签名。由三部分生成token，三部分之间用“.”号做分割。

## 与Token的区别？ ##

1.JWT生成的token是无状态的，服务端不存储，即一旦生成在有效期之前一直可用，无法销毁

2.如果需要刷新token有效期或者提前失效需要借助缓存、数据库或者redis来自己实现对应逻辑

3.JWT无状态=>不需要通过存储验证是否正确，本身可以验证

4.手动销毁：必须借助于第三方类似黑名单的方式=> 把检测到的非法token添加到黑名单中，每次验证token是否有效要先过黑名单，如果存在黑名单中直接拒绝

5.由于json的通用性，所以JWT是可以进行跨语言支持的

## JWT常用工具类： ##

package com.commons.utils;
     
    import io.jsonwebtoken.Claims;
    import io.jsonwebtoken.Jwts;
    import io.jsonwebtoken.SignatureAlgorithm;
    import org.apache.commons.lang3.StringUtils;
    import java.util.Date;
    import java.util.HashMap;
    import java.util.Map;
     
    public class JwtUtils {
     
        // TOKEN的有效期1小时（S）
        private static final int TOKEN_TIME_OUT = 1 * 3600;
     
        // 加密KEY
        private static final String TOKEN_SECRET = "jwtToken";
     
     
        // 生成Token
        public static String getToken(Map params){
            long currentTime = System.currentTimeMillis();
            return Jwts.builder()
                    // 参数1：算法名；参数2：加盐
                    .signWith(SignatureAlgorithm.HS512, TOKEN_SECRET) //加密方式
                    // 设置token有效期时间
                    .setExpiration(new Date(currentTime + TOKEN_TIME_OUT * 1000)) //过期时间戳
                    // 参数：map集合
                    .addClaims(params)
                    .compact();
        }
     
     
        /**
         * 获取Token中的claims信息
         */
        public static Claims getClaims(String token) {
            return Jwts.parser()
                    .setSigningKey(TOKEN_SECRET)
                    .parseClaimsJws(token).getBody();
        }
     
     
        /**
         * 是否有效 true-有效，false-失效
         */
        public static boolean verifyToken(String token) {
            if(StringUtils.isEmpty(token)) {
                return false;
            }
            try {
                Claims claims = Jwts.parser()
                        .setSigningKey("jwtToken")
                        .parseClaimsJws(token)
                        .getBody();
            }catch (Exception e) {
                return false;
            }
            return true;
        }
    }