前言
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。
image.png
- 导入pom 依赖
<!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
2 JWT 工具类
package com.heng.jwt;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
/**
* JWT 验证tonken
*
* @author 黄孝恒
*/
public class Jwt {
/**
* 生成不自定义信息的token
*/
public String testCreatJwt() {
//第一步:构建头部信息
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
//第二步:构建密钥信息
Algorithm algorithm = Algorithm.HMAC256("secret");
//第三步:我们通过定义注册和自定义声明 并组合头部信息和密钥信息生成jwt token
String token = JWT.create()
.withHeader(map)// 设置头部信息 Header
.withIssuer("SERVICE")//设置 载荷 签名是有谁生成 例如 服务器
.withSubject("this is test token")//设置 载荷 签名的主题
// .withNotBefore(new Date())//设置 载荷 定义在什么时间之前,该jwt都是不可用的.
.withAudience("APP")//设置 载荷 签名的观众 也可以理解谁接受签名的
.withIssuedAt(new Date()) //设置 载荷 生成签名的时间
.withExpiresAt(new Date(System.currentTimeMillis() + 72000))//设置 载荷 签名过期的时间
.sign(algorithm);//签名 Signature
return token;
}
/**
* 生成自定义信息的token
*
* @return
*/
public String createTokenWithChineseClaim() {
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
Algorithm algorithm = Algorithm.HMAC256("secret");
String token = JWT.create().withHeader(map)
/* 设置 载荷 Payload */
.withClaim("loginName", "zhuoqianmingyue").withClaim("userName", "张三").withClaim("deptName", "技术部")
.withIssuer("SERVICE")// 签名是有谁生成 例如 服务器
.withSubject("this is test token")// 签名的主题
// .withNotBefore(new Date())//定义在什么时间之前,该jwt都是不可用的
.withAudience("APP")// 签名的观众 也可以理解谁接受签名的
.withIssuedAt(new Date()) // 生成签名的时间
.withExpiresAt(new Date(System.currentTimeMillis() + 72000))// 签名过期的时间
/* 签名 Signature */
.sign(algorithm);
return token;
}
public void verifyToken() {
String token = createTokenWithChineseClaim();
Algorithm algorithm = Algorithm.HMAC256("secret");
JWTVerifier verifier = JWT.require(algorithm).withIssuer("SERVICE").build(); // Reusable verifier instance
DecodedJWT jwt = verifier.verify(token);
String subject = jwt.getSubject();
List<String> audience = jwt.getAudience();
Map<String, Claim> claims = jwt.getClaims();
for (Map.Entry<String, Claim> entry : claims.entrySet()) {
String key = entry.getKey();
Claim claim = entry.getValue();
System.out.println("key:" + key + " value:" + claim.asString());
}
Claim claim = claims.get("loginName");
System.out.println(claim.asString());
System.out.println(subject);
System.out.println(audience.toString());
}
}
