JWT介绍以及java-jwt的使用.pdfVIP

JWT介绍以及java-jwt的使⽤ JWT介绍 JWT概念 JWT ， 全写JSON Web Token, 是开放的⾏业标准RFC7591，⽤来实现端到端安全验证. 简单来说， 就是通过⼀些算法对加密字符串和JSON对象之间进⾏加解密。 JWT加密JSON，保存在客户端，不需要在服务端保存会话信息。，可以应⽤在前后端分离的⽤户验证上，后端对前端输⼊的⽤户信息进⾏ 加密产⽣⼀个令牌字符串， 前端再次请求时附加此字符串，后端再使⽤算法解密。 JWT流程： JWT的构成 JWT字符串： ⼀段加密的JSON字符串。 包含了三类信息 Header头部： Token类型和加密算法。加密算法常见的有MD5、SHA、HMAC（ Hash Message Authentication Code）。 PayLoad负载： 存放有效信息，包括 1. 标准的声明，类似开发语⾔总的关键字。包括 iss（Issuser） - 签发者 sub Subject ⾯向主体 aud Audience 接收⽅ exp Expiration time 过期时间戳 nbf Not Before, 开始⽣效时间戳 iat(Issued at) 签发时间 jti(JWT ID)： 唯⼀标识 2. 公共的声明： ⼀般添加业务相关的必要信息，因为可解密，不建议敏感信息。 3. 私有的声明：提供者和消费者共同定义的声明，Base64对称解密，不建议敏感信息 Signature签证 签证信息包括三部分： 1. Base64加密的header 2. Base64加密的payload 3. secret-密钥 使⽤header中声明的加密算法对Header和payload的加密连接字符串进⾏加盐secret组合加密。 密钥保存在服务端，服务端根据密钥进⾏解密验证。 JWT与开发语⾔ JWT只是⼀个标准 可以通过不过的开发语⾔实现，包括Java，.NET, Python,Node Js, JavaScript,Perl, Ruby,Go等。 同⼀种语⾔，不同的开发者提供了多种实现库，以Java语⾔为例有java-jwt、?jose4j、nimbus-jose-jwt、jjwt JWT 官⽹ 这个⽹站提供了在线的基于不同算法的字符串和JSON对象的转换⼯具，同时也收集了不同语⾔的多种实现库。 java-jwt java-jwt是Java语⾔中推荐的JWT实现库，使⽤Maven导⼊如下： dependency groupIdcom.auth0/groupId artifactIdjava-jwt/artifactId version3.8.3/version /dependency 产⽣加密Token String token = JWT.create() .withExpiresAt(newDate(System.currentTimeMillis())) //设置过期时间设置过期时间 设置接受⽅信息，⼀般时登录⽤户设置接受⽅信息，⼀般时登录⽤户 使⽤HMAC算法，111111作为密钥加密 解密Token 获取负载信息并验证Token 是否有效 String userId = JWT.decode(token).getAudience().get(0); String userId = JWT.decode(token).getAudience().get(0); String userId = JWT.decode(token).getAudience().get(0); jwtVerifier.verify(token);