起源:https://blog.csdn.net/oscar99…
JWT 介绍
JWT 概念
JWT,全写 JSON Web Token, 是凋谢的行业标准 RFC7591,用来实现端到端平安验证.
简略来说,就是通过一些算法对加密字符串和 JSON 对象之间进行加解密。
JWT 加密 JSON,保留在客户端,不须要在服务端保留会话信息。,能够利用在前后端拆散的用户验证上,后端对前端输出的用户信息进行加密产生一个令牌字符串,前端再次申请时附加此字符串,后端再应用算法解密。
JWT 流程:
JWT 的形成
JWT 字符串:一段加密的 JSON 字符串。
蕴含了三类信息
- Header 头部:Token 类型和加密算法。加密算法常见的有 MD5、SHA、HMAC(Hash Message Authentication Code)。
- PayLoad 负载:寄存无效信息,包含
规范的申明,相似开发语言总的关键字。包含
iss(Issuser)- 签发者
sub Subject 面向主体
aud Audience 接管方
exp Expiration time 过期工夫戳
nbf Not Before, 开始失效工夫戳
iat(Issued at) 签发工夫
jti(JWT ID):惟一标识
公共的申明:个别增加业务相干的必要信息,因为可解密,不倡议敏感信息。
公有的申明:提供者和消费者独特定义的申明,Base64 对称解密,不倡议敏感信息
Signature 签证
签证信息包含三局部:
Base64 加密的 header
Base64 加密的 payload
secret- 密钥 应用 header 中申明的加密算法对 Header 和 payload 的加密连贯字符串进行加盐 secret 组合加密。密钥保留在服务端,服务端依据密钥进行解密验证。
JWT 与开发语言
JWT 只是一个规范 能够通过不过的开发语言实现,包含 Java,.NET, Python,Node Js, JavaScript,Perl, Ruby,Go 等。同一种语言,不同的开发者提供了多种实现库,以 Java 语言为例有 java-jwt、?jose4j、nimbus-jose-jwt、jjwt
JWT 官网
https://jwt.io/
这个网站提供了在线的基于不同算法的字符串和 JSON 对象的转换工具,同时也收集了不同语言的多种实现库。
java-jwt
java-jwt 是 Java 语言中举荐的 JWT 实现库,应用 Maven 导入如下:
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.3</version>
</dependency>
产生加密 Token
String token = JWT.create()
.withExpiresAt(newDate(System.currentTimeMillis())) // 设置过期工夫
.withAudience("user1") // 设置接受方信息,个别时登录用户
.sign(Algorithm.HMAC256("111111")); // 应用 HMAC 算法,111111 作为密钥加密
解密 Token 获取负载信息并验证 Token 是否无效
String userId = JWT.decode(token).getAudience().get(0);
Assertions.assertEquals("user1", userId);
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("111111")).build();
jwtVerifier.verify(token);
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿 (2022 最新版)
2. 劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4.20w 程序员红包封面,快快支付。。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!