JWT 令牌(待更新)

Lyyaoo.2026-04-25 11:23

文章目录

前言

JWT (JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象形式安全地传输信息。简单理解,JWT就是经过签名的JSON,常用于身份认证信息交换

一、JWT的结构

一个完整的JWT由三部分组成:HeaderPayloadSignature ,中间用 . 分隔。

bash 复制代码 
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyMSIsImV4cCI6MTY5MDAwMDAwMH0.abc123def456...
|--------- header ---------|------------ payload ------------|----- signature -----|

1. Header(头部)

头部通常包含两部分信息:

  • alg:签名算法,如 HS256(HMAC-SHA256)或 RS256(RSA)。
  • typ:令牌类型,固定为 JWT。

Base64Url编码后示例:

2. Payload(载荷)

3. Signature(签名)

二、JWT的认证流程

三、JWT在Java中的使用(JJWT)

JWT与传统Session-Cookie对比

对比维度 Session-Cookie JWT
存储位置 服务端存储Session,客户端存SessionId 客户端存储JWT,服务端不存
状态性 有状态(服务端维护状态) 无状态(自包含所有信息)
扩展性 难以水平扩展(需共享Session) 易扩展,任何服务器都能验证
安全性 SessionId被盗用可伪造身份 密钥安全是关键,Payload明文(不应存敏感信息)
跨域支持 Cookie受同源策略限制 可放在请求头中,天然支持跨域
注销难度 直接删除Session即可 无状态导致即时失效困难,需配合黑名单或其他机制
传输开销 Cookie每次请求自动携带(小) JWT请求头携带,体积较大

常见JWT面试题及答案

  1. JWT的三部分组成是什么?
  • Header(头部):声明类型和签名算法。
  • Payload(载荷):存放声明数据(注册、公开、私有声明)。
  • Signature(签名):使用 Header中的算法,对 Header + "." + Payload 进行签名,保证数据完整性和防篡改。
  1. JWT的认证流程是怎样的?
  • 用户登录成功后,服务端生成JWT返回客户端。
  • 客户端存储JWT(localStorage/内存等),后续每次请求在 Authorization 头中携带。
  • 服务端接收请求后,验证JWT签名和有效期,成功则放行。
  1. JWT如何防止数据被篡改?
  • 通过签名机制。服务端使用密钥对 Header+Payload 做签名,任何改动都会导致签名不匹配,服务端验证时会发现签名错误。
  1. JWT和Session有何区别?
  • Session是有状态的,服务端存储会话信息;JWT是无状态的,信息都编码在Token中。
  • Session扩展性差,分布式下需要共享Session;JWT天然支持水平扩展。
  • JWT体积更大,且无法直接服务端销毁。
  1. JWT过期如何处理?
  • 可使用 Refresh Token 机制:登录时返回一个短期JWT(如30分钟)和一个长期Refresh Token。JWT过期后,客户端用Refresh Token换取新的JWT,Refresh Token可以存储在安全地方(如httpOnly cookie),且可以在服务端控制其失效。
  1. JWT的Payload是加密的吗?
  • 不是。Payload只是Base64编码,可以轻易解码。所以绝对不能在Payload中存放密码等敏感信息。如需加密,可采用JWE(JSON Web Encryption)。
  1. 如何实现JWT的"踢下线"功能?
  • 由于JWT无状态,无法直接失效。常见方案:
    • 维护一个黑名单(Redis),存放失效Token的ID(jti),验证时筛查。
    • 缩短JWT有效期,降低风险窗口。
    • 结合WebSocket实时通知客户端删除Token。
  1. JJWT库中如何生成和解析Token?
  • 生成:使用 Jwts.builder() 设置claims和过期时间,.signWith(key) 签名。
  • 解析:使用 Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody() 获取Claims。
相关推荐
wjj不想说话1 分钟前
你的小程序活动页,可能已经成了后台配置的杂物间
前端
梦想是准点下班3 分钟前
androidStudio打包,我又又又忘了
前端
槑有老呆4 分钟前
栈队列链表,三个故事就懂了
前端
不负岁月无痕16 分钟前
C++ 模板核心内容与高频面试题汇总
java·开发语言·c++
Flittly18 分钟前
【AgentScope Java新手村系列】(2)第一个Agent-基础对话
java·spring boot·spring·ai
ViavaCos21 分钟前
pnpm v11 的安全策略,让我踩了个坑
前端
To_OC22 分钟前
从一段定时器代码,重新捋清 JS 同步、异步与 Promise
前端·javascript·代码规范
持敬chijing23 分钟前
Web渗透之前后端漏洞-XSS漏洞原理攻击防御全流程
前端·安全·web安全·网络安全·网络攻击模型·安全威胁分析·xss
程序员黑豆30 分钟前
AI全栈开发 - Java:注释
前端·后端·ai编程
摇滚侠31 分钟前
Spring MVC 不是一个单独的框架,是 Spring 框架的一个模块
java·spring·mvc
热门推荐
01《置身钉内》原文-可播放阅读02【AI】2026 年具身智能模型和世界模型总结03GitHub 镜像站点04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07Codex 下载安装指南:Windows 和 macOS 官方版下载08AI科技热点日报 | 2026年6月1日09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】