JWT生成token以及解析token
- 06 Springboot+Shiro+Jwt前后端分离鉴权
- 1、前后端分离会话问题
- 【1】问题追踪
- 【2】解决方案
- 2、JWT概述
- 1.Header
- 2.payload
- 3.Signature
- JWT生成Token及解析
06 Springboot+Shiro+Jwt前后端分离鉴权
1、前后端分离会话问题
【1】问题追踪
前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说
用户禁用cookie后,我们的系统会就会产生会话不同的问题
【2】解决方案
我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,
这里我们提供了基于JWT的token生成方案
2、JWT概述
JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个
紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传
输数据的一项标准。实际上传输的就是一个字符串。
实现步骤:
1.创建RedisSessionDao extends AbstractSessionDAO
2.配置ShiroConfig首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生
成token的机制,需要我们自己编写相关的生成逻辑。
最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存
session,而是生成token发送给客户端进行保存,之后的所有的请求都需要携带token,再对token进
行解析判断)。
虽然Shiro也有相关的token(比如UsernamePasswordToken类),但是只是Shiro在服务端对用
户信息进行判断的方式而已,并不是JWT所生成的可发送给客户端的字符串token。也就是说Shiro的
token并不能响应给客户端。
- 广义上:JWT是一个标准的名称;
- 狭义上:JWT指的就是用来传递的那个token字符串
JWT由三部分构成:header(头部)、payload(载荷)和signature(签名)。
1.Header
存储两个变量
- 秘钥(可以用来比对)
- 算法(也就是下面将Header和payload加密成Signature)
2.payload
存储很多东西,基础信息有如下几个
- 签发人,也就是这个“令牌”归属于哪个用户。一般是 userId
- 创建时间,也就是这个令牌是什么时候创建的
- 失效时间,也就是这个令牌什么时候失效(session的失效时间)
- 唯一标识,一般可以使用算法生成一个唯一标识(jti==>sessionId)
3.Signature
这个是上面两个经过Header中的算法加密生成的,用于比对信息,防止篡改Header和payload
然后将这三个部分的信息经过加密生成一个 JwtToken 的字符串,发送给客户端,客户端保存在本地。
当客户端发起请求的时候携带这个到服务端(可以是在 cookie ,可以是在 header ),在服务端进行
验证,我们需要解密对于的payload的内容
JWT生成Token及解析
1.pom文件导入依赖
<!--引入JWT依赖-->
<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>4.4.0</version>
</dependency>
2.设置JWT工具类
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;import java.util.*;/*** @author jx* @version 1.0* @since 2024/1/22**/
public class JWTUtil {//盐private static final String SIGN = "java";private static final String JWT_KEY_PHONE = "phone";private static final String JWT_KEY_IDCARD = "idCard";//生成tokenpublic static String createToken(String phone,String idCard){Map<String,String> map = new HashMap<>();map.put(JWT_KEY_PHONE,phone);map.put(JWT_KEY_IDCARD,idCard);//token过期时间Calendar calendar = Calendar.getInstance();calendar.add(Calendar.DATE,1);Date date = calendar.getTime();JWTCreator.Builder builder = JWT.create();//整合mapmap.forEach((k,v) -> {builder.withClaim(k,v);});//整合过期时间builder.withExpiresAt(date);//生成tokenString token = builder.sign(Algorithm.HMAC256(SIGN));return token;}//解析tokenpublic static Map<String, String> parseToken(String token){DecodedJWT verify = JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);String phone = verify.getClaim(JWT_KEY_PHONE).toString();String identity = verify.getClaim(JWT_KEY_IDCARD).toString();Map<String, String> map = new HashMap<>();map.put("phone",phone);map.put("idCard",identity);return map;}public static void main(String[] args) {String token = createToken("15101230564","123456789");System.out.println("生成的token:"+token);Map<String, String> mapResult = parseToken(token);System.out.println("phone:"+mapResult.get("phone"));System.out.println("idCard:"+mapResult.get("idCard"));}}
3.结果
生成的token:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwaG9uZSI6IjE1MTAxMjMwNTY0IiwiaWRDYXJkIjoiMTIzNDU2Nzg5IiwiZXhwIjoxNzA1OTkyNTI5fQ.CjJ5HuAv-sLCNjmIEWbwRuxff4VX7cRIL25A07hwwO4
phone:"15101230564"
idCard:"123456789"
)
)
:副本)
