网站首页 > java教程 正文
1、简介
JWT,JSON Web Token的简写,是目前比较流行的跨域认证解决方案,它不是一个具体的技术实现,而更像是一种标准。
官网:JSON Web Tokens - jwt.io
2、JWT数据结构
JWT由3部分构成:
Header(头部)Payload(负载)Signature(签名)
Header
Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子
{
"alg": "HS256",
"typ": "JWT"
}alg
属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);
typ
属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串。
Payload
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。如:
{
"id": "123",
"name": "river"
}JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。
Signature
Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用(.)分隔。
JWT是可以被解码的,所以不要在JWT的Payload中存放私密数据。
3、JWT使用
引入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>由于我们需要通过jwt生成token,并能通过token解析生成原始数据,所以可以封装成工具类。
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.*;
public class JwtUtils {
private static final String SECRET = "jwt123456";
public static String generateToken(Map<String, Object> claims, Date expireTime) {
return Jwts.builder()
.setClaims(claims)
.signWith(SignatureAlgorithm.HS256, SECRET)
.setExpiration(expireTime)
.compact();
}
public static Map<String, Object> parseToken(String token) {
try {
Claims body = Jwts.parser()
.setSigningKey(SECRET)
.parseClaimsJws(token)
.getBody();
return body;
} catch (ExpiredJwtException e) {
e.printStackTrace();
}
return null;
}
}在我们做登录鉴权的项目时,服务端生成jwt返回给客户端,客户端可以将jwt储存在Cookie里面,也可以储存在 localStorage。此后,客户端每次与服务器通信,都带上这个jwt。放在 Cookie 里面可以自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求头中。
4、使用JWT需要注意的地方
1、JWT 中的数据默认是不加密的,不加密的情况下,不能将隐私数据写入JWT;
2、一旦JWT签发了,在到期之前始终有效,除非服务器有额外的限制逻辑(如使用redis控制登录session有效期),所以需要设置有效期;
3、为防止泄露,JWT不应该使用HTTP协议明码传输,要使用HTTPS协议传输。
猜你喜欢
- 2025-08-31 学会用Go解析复杂JSON的思路_gson解析复杂json
- 2025-08-31 接口自动化测试之JSON Schema模式该如何使用?
- 2025-08-31 Spring Boot程序中@JsonIgnoreProperties与@JsonIgnore基本使用
- 2025-08-31 fastjson自定义序列化竟然有这么多姿势?
- 2025-08-31 图解 Redis String 底层数据结构 SDS 与计数器实战
- 2025-08-31 完全零基础入门Fastjson系列漏洞_fastjson反序列化漏洞 工具
- 2025-08-31 爆肝整理!Python JSON 模块实战手册:从入门到性能封神
- 2025-08-31 JSON.stringify()的使用_json.stringify用法
- 2025-08-31 Hutool JSONUtil巧妙过滤null值:JSON转Map数据清洗的终极方案
- 2025-08-31 js中的JSON.stringify()方法的用法
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)