JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器经过使用保存的密钥验证token的正确性,只要正确即经过验证。java
优势是在分布式系统中,很好地解决了单点登陆问题,很容易解决了session共享的问题。
缺点是没法做废已颁布的令牌/不易应对数据过时。git
可能习惯了redis保存session,使用shiro作登录,忽然使用JWT有点不适应,由于太简单了,我我的不是很建议使用,仍是那句话,你的选择权有多大,你有学多少知识。github
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
Gradle下依赖
compile 'com.auth0:java-jwt:3.4.0'web
package yui.ui.web.sys.controller;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
public class Test {
/** * APP登陆Token的生成和解析 * */
/** token秘钥,请勿泄露,请勿随便修改 backups:JKKLJOoasdlfj */
public static final String SECRET = "JKKLJOoasdlfj";
/** token 过时时间: 10天 */
public static final int calendarField = Calendar.DATE;
public static final int calendarInterval = 10;
/** * JWT生成Token.<br/> * * JWT构成: header, payload, signature * * @param user_id * 登陆成功后用户user_id, 参数user_id不可传空 */
public static String createToken(Long user_id) throws Exception {
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField, calendarInterval);
Date expiresDate = nowTime.getTime();
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
// build token
// param backups {iss:Service, aud:APP}
String token = JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
.sign(Algorithm.HMAC256(SECRET)); // signature
return token;
}
/** * 解密Token * * @param token * @return * @throws Exception */
public static Map<String, Claim> verifyToken(String token) {
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
jwt = verifier.verify(token);
} catch (Exception e) {
// e.printStackTrace();
// token 校验失败, 抛出Token验证非法异常
}
return jwt.getClaims();
}
/** * 根据Token获取user_id * * @param token * @return user_id */
public static Long getAppUID(String token) {
Map<String, Claim> claims = verifyToken(token);
Claim user_id_claim = claims.get("user_id");
if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
// token 校验失败, 抛出Token验证非法异常
}
return Long.valueOf(user_id_claim.asString());
}
}
最终存放的数据在JWT内部的实体claims里。它是存放数据的地方 redis
一个token分3部分,按顺序为算法
.”号作分隔。例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c Jwt的头部承载两部分信息:json
| JWS | 算法名称 | 描述 |
|---|---|---|
| HS256 | HMAC256 | HMAC with SHA-256 |
| HS384 | HMAC384 | HMAC with SHA-384 |
| HS512 | HMAC512 | HMAC with SHA-512 |
| RS256 | RSA256 | RSASSA-PKCS1-v1_5 with SHA-256 |
| RS384 | RSA384 | RSASSA-PKCS1-v1_5 with SHA-384 |
| RS512 | RSA512 | RSASSA-PKCS1-v1_5 with SHA-512 |
| ES256 | ECDSA256 | ECDSA with curve P-256 and SHA-256 |
| ES384 | ECDSA384 | ECDSA with curve P-384 and SHA-384 |
| ES512 | ECDSA512 | ECDSA with curve P-521 and SHA-512 |
使用代码以下服务器
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
载荷就是存放有效信息的地方。基本上填2种类型数据session
-标准中注册的声明的数据
-自定义数据
由这2部份内部作base64加密。最张数据进入JWT的chaims里存放。框架
iss: jwt签发者
sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过时时间,这个过时时间必需要大于签发时间 nbf: 定义在什么时间以前,该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的惟一身份标识,主要用来做为一次性token,从而回避重放攻击。
使用方法
JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP")
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
这个就比较简单,存放咱们想放在token中存放的key-value值
使用方法
JWT.create().withHeader(map) // header
.withClaim("name", "cy") // payload
.withClaim("user_id", "11222");
jwt的第三部分是一个签证信息,这个签证信息算法以下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
这个部分须要base64加密后的header和base64加密后的payload使用.链接组成的字符串,而后经过header中声明的加密方式进行加盐secret组合加密,而后就构成了jwt的第三部分。
基本上至此,JWT的API相关知识已经学完了,可是API不够有好,不停的用withClaim放数据。不够友好。下面推荐一款框架,至关于对JWT的实现框架
它是为了更友好在JVM上使用JWT,是基本于JWT, JWS, JWE, JWK框架的java实现。
参考git地址
Maven
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
Gradle:
dependencies { compile 'io.jsonwebtoken:jjwt:0.9.0' }
getJwtToken是生成jjwt里的token方法。
import com.sun.javafx.scene.traversal.Algorithm;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.DefaultJwsHeader;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
private String SECRET = "DyoonSecret_0581";
private void getJwtToken(){
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
//有10天有效期
nowTime.add(Calendar.DATE, 10);
Date expiresDate = nowTime.getTime();
Claims claims = Jwts.claims();
claims.put("name","cy");
claims.put("userId", "222");
claims.setAudience("cy");
claims.setIssuer("cy");
String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate)
.signWith(SignatureAlgorithm.HS512, SECRET)
.compact();
}
上面将token中的载荷放在chaims中,其实chaims是JWT内部维持的一个存放有效信息的地方,不论使用任何API,最终都使用chaims保存信息。
setClaims有2个重载
JwtBuilder setClaims(Claims claims);JwtBuilder setClaims(Map<String, Object> claims); parseJwtToken方法是解析token。
public void parseJwtToken(String token) {
try{
}catch (Exception e){
}
Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
String signature = jws.getSignature();
Map<String, String> header = jws.getHeader();
Claims Claims = jws.getBody();
}
扩展阅读
讲真,别再使用JWT了!