华为一面：谈谈你对JWT的理解？

JWT（JSON Web Token） 是一种开放标准（RFC 7519），用于在网络应用间安全传输信息，通常用于身份验证和信息交换。其核心特点是通过紧凑且自包含的 JSON 对象传递数据，无需服务端存储会话状态。

1.为什么需要JWT？

开发中需要 JWT 的主要原因是为了解决传统基于 Session 的身份验证方法中存在的问题，比如跨域认证不便、扩展性差等问题。而 JWT 允许我们设计无状态的、分布式的 Web 应用，通过在每个请求中传递 Token 来验证用户身份，从而实现更加灵活和可扩展的架构。

2.执行流程

JWT 执行流程如下：

它的主要执行流程如下：

1. 用户登录成功后，服务器根据用户信息生成一个 JWT 的 Token 令牌。
2. 服务器将此 Token 返回给客户端，客户端通常存储在 Cookie 或 LocalStorage 中。
3. 之后客户端在访问服务器端时会携带这个 Token，一般放在 HTTP 头中。
4. 服务器接收到请求后，解析 JWT，验证其签名有效性以及是否过期。
5. 如果验证成功，则处理相应的请求；否则，返回错误信息（重新登录）。

3.JWT组成

JWT 是由三部分组成的：

• Header（头部） ：通常由以下两部分组成：
  • Token 类型：通常是 JWT。
  • 加密算法：例如 HS256（HMAC SHA-256）、RS256（RSA SHA-256）等。
• Payload（载荷） ：JWT 的主体部分，通常为以下三类：
  • 标准声明（Registered Claims）：预定义的字段，如 iss（发行者）、exp （过期时间）、sub（主题）等。
  • 公共声明（Public Claims）：用户自定义的字段，例如用户 ID、用户名、角色等。
  • 私有声明（Private Claims）：在特定场景下使用的字段，通常用于内部系统。
• Signature（签名）：用于验证 Token 的完整性和防止篡改。

它们之间用点"."分隔，形成一个字符串（Token）。

4.JWT核心实现代码

在 Spring Boot 项目中，首先要引入 JWT 工具依赖，之后通过以下核心代码可以生成 Token，以及验证 Token：

// 生成 JWT（示例）|SECRET_KEY 为服务保存的密钥。
public String generateToken(UserDetails user) {
    return Jwts.builder()
        .setSubject(user.getUsername())
        .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))
        .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
        .compact();
}

// 验证 JWT（示例）
public boolean validateToken(String token) {
    try {
        Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
        return true;
    } catch (Exception e) {
        return false;
    }
}

注意事项

• 密钥安全：签名密钥需妥善保管，并定期修改，避免泄露。
• 无状态性：JWT 无需服务端存储会话信息，适合分布式系统。

5.JWT VS Session

JWT 和 Session 主要区别如下：

• 存储位置不同：Session 通常将用户会话信息存储在服务器端，而 JWT 则将信息存储在客户端。
• 状态管理不同：Session 是基于服务端的状态机制，需要服务器保存会话状态；JWT 是无状态的，所有的信息都包含在 Token 中，服务端无需保存任何状态。
• 隐私性不同：由于 JWT 的信息直接暴露给用户，因此敏感信息不应该存储在 JWT 中。Session 因为只在服务端维护，隐私性相对更好一些。
• 扩展性和性能不同：JWT 非常适合分布式系统，因为它不依赖于服务端的状态。对于大型分布式系统，JWT 可以显著减少服务器资源的消耗，提高系统的响应速度。

6.JWT存在的问题

尽管 JWT 有很多优点，但也存在一些挑战：

• 大小限制：由于 JWT 是以 HTTP 头部的形式发送的，所以它的大小受到限制。如果 JWT 中包含过多的数据，可能会导致请求头过长的问题。解决办法是尽量保持 JWT 简洁，仅包含必要的信息。
• 令牌撤销问题：一旦 JWT 被签发，除非过期，否则无法轻易撤销。
• 安全性考虑：虽然 JWT 本身支持签名和加密，但如果密钥泄露，将会导致严重的安全隐患。因此，确保密钥的安全管理和定期更新是非常重要的。

小结

JWT 提供了一种有效的方法来处理用户身份验证和信息交换的问题，也是目前主流的用户登录验证机制，但同时也需要注意上述提到的一些潜在风险和限制，它更适用于分布式大型项目的用户信息传输和登录权限判断。

本文已收录到我的面试小站 www.javacn.site，其中包含的内容有：场景题、并发编程、MySQL、Redis、Spring、Spring MVC、Spring Boot、Spring Cloud、MyBatis、JVM、设计模式、消息队列等模块。