什么是JWT?为什么用JWT?JWT的实战案例

编程浩2024-06-14 10:29

JWT学习资料

1.什么是JWT?【头部(Header)、载荷(Payload)和签名(Signature)】

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。

JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)

  1. 头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。
  2. 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT 官方规定了7个字段,供选用:
  • iss(Issuer):签发者。
  • sub(Subject):主题。
  • aud(Audience):接收者。
  • exp(Expiration time):过期时间。
  • onbf(Not Before):生效时间。
  • iat(Issued At):签发时间。
  • jti(JWT ID):编号。
  1. 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

2.为什么要用JWT?

JWT 相较于传统的基于会话(Session)的认证机制,具有以下优势:

  1. 无需服务器存储状态:传统的基于会话的认证机制需要服务器在会话中存储用户的状态信息,包括用户的登录状态、权限等。而使用 JWT,服务器无需存储任何会话状态信息,所有的认证和授权信息都包含在 JWT 中,使得系统可以更容易地进行水平扩展。
  2. 跨域支持:由于 JWT 包含了完整的认证和授权信息,因此可以轻松地在多个域之间进行传递和使用,实现跨域授权。
  3. 适应微服务架构:在微服务架构中,很多服务是独立部署并且可以横向扩展的,这就需要保证认证和授权的无状态性。使用 JWT 可以满足这种需求,每次请求携带 JWT 即可实现认证和授权。
  4. 自包含:JWT 包含了认证和授权信息,以及其他自定义的声明,这些信息都被编码在 JWT 中,在服务端解码后使用。JWT 的自包含性减少了对服务端资源的依赖,并提供了统一的安全机制。
  5. 扩展性:JWT 可以被扩展和定制,可以按照需求添加自定义的声明和数据,灵活性更高。总结来说,使用 JWT相较于传统的基于会话的认证机制,可以减少服务器存储开销和管理复杂性,实现跨域支持和水平扩展,并且更适应无状态和微服务架构。

3.JWT 使用

在 Java 中可以借助 JWT 框架辅助来使用 JWT,例如 hutool 框架,它的介绍:

https://doc.hutool.cn/pages/IWTUtil/

全局变量

java 复制代码 
/**
 * 全局变量类
 */
public class AppVariable {
    /** JWT 私钥  */
    public static final String JWT_KEY  = "blog-spring-cloud-jwt";

    /** 登录的用户 Token key */
    public static final String TOKEN_KEY = "Authorization";
}

JWT 创建

java 复制代码 
Map<String, Object> payload = new HashMap<String, Object>() {
    private static final long serialVersionUID = 1L;

    {
        put("uid", userinfo.getUid());
        put("manager", userinfo.getManager());
        // JWT 过期时间为 15 天
        put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);
    }
};
String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());

JWT的应用(token放在返回信息中)

java 复制代码 
HashMap<String, Object> result = new HashMap<>() {{
    put("token", token);
    put("uid", userinfo.getUid());
    put("username", userinfo.getUsername());
    put("manager", userinfo.getManager());
}};
return AjaxResult.success(result);

JWT验证

java 复制代码 
result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());

4.JWT 原理

JWT 的本质是:秘钥存放在服务器端,并通过某种加密手段进行加密和验证的机制。加密签名=某加密算法(header+payload+服务器端私钥)

相关推荐
●VON3 分钟前
重生之我在暑假学习微服务第二天《MybatisPlus-下篇》
java·学习·微服务·架构·mybatis-plus
老华带你飞3 分钟前
口腔助手|口腔挂号预约小程序|基于微信小程序的口腔门诊预约系统的设计与实现(源码+数据库+文档)
java·数据库·微信小程序·小程序·论文·毕设·口腔小程序
枫叶丹45 分钟前
【Qt开发】信号与槽(二)-> 信号和槽的使用
开发语言·qt
hqxstudying13 分钟前
J2EE模式---服务层模式
java·数据库·后端·spring·oracle·java-ee
GM_82819 分钟前
【最新最完整】SpringAI-1.0.0开发MCP Server,搭建MCP Client 实战笔记(进阶+详细+完整代码)
java·后端·ai编程·springai·mcp
都叫我大帅哥20 分钟前
Java DelayQueue:时间管理大师的终极武器
java
秋千码途27 分钟前
小架构step系列27:Hibernate提供的validator
java·spring·架构·hibernate
都叫我大帅哥28 分钟前
TOGAF迁移规划阶段全解密:从菜鸟到达人的通关秘籍
java
探索java30 分钟前
深入理解 Spring 中的 XmlBeanFactory 原理及实践
java·spring·xmlbeanfactory
Vertira40 分钟前
python 阿里云 安装 dashscope的简介、安装
开发语言·python
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02vue数据变化但页面不变03全球最强模型Grok4,国内已可免费使用!(附教程)04KGG转MP3工具|非KGM文件|解密音频05sqli-labs 靶场 less-8、9、10 第八关到第十关详解:布尔注入,时间注入06扣子开源本地部署教程 丨Coze智能体小白喂饭级指南07干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!08【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致09Claude Code用不了?来试下Qwen3-Coder加持的Qwen Code吧10ChatGPT Agent 完全使用指南:2025年7月最新功能详解