jwt token实例操做

最近在作一个app，登陆验证是用的jwt的token验证，今天来记录一下......

个人本次实例操做主要参考了下面资料

https://jwt.io/introduction/

https://blog.csdn.net/jikeehuang/article/details/51488020

https://www.cnblogs.com/ganchuanpu/archive/2017/05/17/6870240.html

https://www.cnblogs.com/xiekeli/p/5607107.html

https://blog.csdn.net/superdog007/article/details/80704234

下面是具体步骤:

1.添加jar包

而后是jwt token的具体实现

三个常量分别是

　　保存在服务端的密钥,

　　jwt令牌的有效时间

　   刷新令牌的有效时间

jwt内置了许多加密编码，我这里采用Hs256加密,将本身设定的特有密码进行base编码，生成一个key

这一段是生成一个usertoken,

jwt token包含三部分 分别是header,payload(载荷),sign(签名)

header用来设置本身token的类型和使用的编码,payload存放用户的安全信息，由于jwt提供的编码是可逆的，因此不要存放用户的关键信息

sign是token的一个签名,由headr,payload以及key决定，当客户端发来一个key的时候，只要校验签名是否正确便可

 

这一段代码和上一张图在同一个方法内，主要用于实现令牌的刷新，原本刷新时间应该存放在redis里，可是我条件有限，只能先存放在数据库中

 

token的校验从传来的token中得到载荷payload,从新生成一个token，拿到新token的签名sign,将新的sign和旧sign比较，当两个sign一致时则经过验证

这一段代码和上一段在同一个方法内,当连个sign不一致时说明客户端token被篡改，直接返回一个null,在拦截器中作判断当为null时直接回到登录界面

当t oken过时 ExpiredJwtException e 会自动捕获，咱们在捕获到这个异常时，进行令牌的刷新，而后返回这个新的令牌

两个sign一致就直接返回原先的token。

令牌的刷新将以前存放在数据中刷新有效时间取出，与当前时间进行比较，若是小于当前的刷新有效时间则刷新令牌，而后更新数据库，返回新的token字符串,

若是该用户连已经长时间未使用app，致使当前时间已经超过了令牌刷新的时间，则删除数据库中的对应数据，token返回null;

客户端的token是放在request的header中发到后台的，因此须要从heaer中取出

 

 拿到的token是这样子的，因此须要对这个字符串按照空格截取，拿到真正有用的token

咱们拿到校验返回过来的字符串，当这个字符串为空时，客户端返回到登录界面

当两个token不相等时，说明校验传回来的token是新的，那么咱们修改响应头中token为新的token，而后程序继续执行

........

第一次使用jwt，对jwt安全性还很不了解......只能先这样了