面试官:jwt 是什么?java-jwt 呢?懵逼了。。
相关阅读:2T架构师学习资料干货分享
作者:oscar999
来源:blog.csdn.net/oscar999/article/details/102728303
JWT介绍
JWT概念
JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证.
简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。
JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。
JWT流程
JWT的构成
JWT字符串:一段加密的JSON字符串。包含了三类信息
- 签发者
sub Subject 面向主体
aud Audience 接收方
exp Expiration time 过期时间戳
nbf Not Before, 开始生效时间戳
at) 签发时间
ID):唯一标识
公共的声明:一般添加业务相关的必要信息,因为可解密,不建议敏感信息。
私有的声明:提供者和消费者共同定义的声明,Base64对称解密,不建议敏感信息
Signature签证
签证信息包括三部分:
密钥保存在服务端,服务端根据密钥进行解密验证。
https://jwt.io/
这个网站提供了在线的基于不同算法的字符串和JSON对象的转换工具,同时也收集了不同语言的多种实现库。
java-jwt
java-jwt是Java语言中推荐的JWT实现库,使用Maven导入如下:
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.3</version>
</dependency>
产生加密Token
String token = JWT.create()
.withExpiresAt(newDate(System.currentTimeMillis())) //设置过期时间
.withAudience("user1") //设置接受方信息,一般时登录用户
.sign(Algorithm.HMAC256("111111")); //使用HMAC算法,111111作为密钥加密
String userId = JWT.decode(token).getAudience().get(0);
Assertions.assertEquals("user1", userId);
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("111111")).build();
jwtVerifier.verify(token);
评论