了解登录中的JWT

冷不防 2022-02-04 00:53 174阅读 0赞

### 1.JSON Web Token是什么 ###

JSON Web Token (JWT)是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。

### 2.JSON Web Token有什么用 ###

下列场景中使用JSON Web Token是很有用的：

Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录，后续每个请求都将包含JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性，因为它的开销很小，并且可以轻松地跨域使用。  
Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言，JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名，例如，用公钥/私钥对，你可以确定发送人就是它们所说的那个人。另外，由于签名是使用头和有效负载计算的，您还可以验证内容没有被篡改。

### 3.JSON Web Token是什么样的 ###

![20190506155003839.png][]

JSON Web Token由三部分组成，它们之间用圆点(.)连接。这三部分分别是：

*  Header
 *  Payload
 *  Signature

因此，一个典型的JWT看起来是这个样子的：

**xxxxx.yyyyy.zzzzz**

**Header**  
header典型的由两部分组成：token的类型（“JWT”）和算法名称（比如：HMAC SHA256或者RSA等等）。

例如：

然后，用Base64对这个JSON编码就得到JWT的第一部分

**Payload**  
JWT的第二部分是payload，它包含声明（要求）。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。

Registered claims : 这里有一组预定义的声明，它们不是强制的，但是推荐。比如：iss (issuer), exp (expiration time), sub (subject), aud (audience)等。  
Public claims : 可以随意定义。  
Private claims : 用于在同意使用它们的各方之间共享信息，并且不是注册的或公开的声明。  
下面是一个例子：

对payload进行Base64编码就得到JWT的第二部分

注意，不要在JWT的payload或header中放置敏感信息，除非它们是加密的。

**Signature**  
为了得到签名部分，你必须有编码过的header、编码过的payload、一个秘钥，签名算法是header中指定的那个，然对它们签名即可。

例如：

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

签名是用于验证消息在传递过程中有没有被更改，并且，对于使用私钥签名的token，它还可以验证JWT的发送方是否为它所称的发送方。

典型模块如下：

// Header
    {
    "alg": "HS256",
    "typ": "JWT"
    }
    
    
    // Payload
    {
    // reserved claims
    "sub": "1234567890",
    "name": "John Doe",
    "iat": "1516239022"
    }
    
    
    // $Signature
    HS256(Base64(Header) + "." + Base64(Payload), "自定义密钥kyey" )
    
    
    // JWT
    JWT = Base64(Header) + "." + Base64(Payload) + "." + $Signature

### 4.具体实现 ###

public static String createJWT(Object subject, long ttlMillis) {
            //设置签名算法为HS256
            SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
            long nowMillis = System.currentTimeMillis();
            Date now = new Date(nowMillis);
            JwtBuilder builder = Jwts.builder().setId("jwt").setIssuedAt(now).setSubject(JSONObject.toJSONString(subject)).signWith(signatureAlgorithm, secretKey);
            //设置过期时间
            if (ttlMillis >= 0L) {
                long expMillis = nowMillis + ttlMillis;
                Date exp = new Date(expMillis);
                builder.setExpiration(exp);
            }
            //生成jwt
            return builder.compact();
        }

具体compact()方法即根据传入的参数进行处理  最终得到jwt的字符串

eyJhbGci**I1NiJ9.eyJqdGkiOiJqd3QiL**DY2NTMxOH0.x9fNW**2fe4ht

参考：[https://www.cnblogs.com/cjsblog/p/9277677.html][https_www.cnblogs.com_cjsblog_p_9277677.html]

[20190506155003839.png]: /images/20220204/839db845381446ad8ab150350c2d4a9b.png
[https_www.cnblogs.com_cjsblog_p_9277677.html]: https://www.cnblogs.com/cjsblog/p/9277677.html