0、JWT原理
-
header
JWT第一部分是header,header主要包含两个部分,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。 -
Payload
JWT第二部分是payload,payload是token的详细内容,一般包括iss (发行者), exp (过期时间), sub(用户信息), aud (接收者),以及其他信息,详细介绍请参考官网,也可以包含自定义字段。
iss:Issuer,发行者
sub:Subject,主题
aud:Audience,观众
exp:Expiration time,过期时间
nbf:Not before
iat:Issued at,发行时间
jti:JWT ID
- signature
JWT第三部分是signature,这部分的内容是这样计算得来的:
1、EncodeString = Base64(header).Base64(payload)
2、最终token = HS256(EncodeString,"秘钥")
签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。
来源链接:https://www.jianshu.com/p/e34a579c63a0
1、引入依赖
<dependencies>
<!--jwt-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
<!--LomBok-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<!--Spring Boot Web-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
</dependencies>2、JWT工具类
package com.example.demo1.jwt.utils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.demo1.jwt.entity.User;
import java.util.Calendar;
/**
* @author admin
*/
public class JWTUtils {
private static final String TOKEN_SECRET="token123"; //密钥盐
/**
* 获取token
* @param u user
* @return token
*/
public static String getToken(User u) {
Calendar instance = Calendar.getInstance();
//默认令牌过期时间1小时
instance.add(Calendar.HOUR, 1);
JWTCreator.Builder builder = JWT.create();
return builder.withIssuer("ao")
.withClaim("id", u.getId())
.withClaim("username", u.getUsername())
.withClaim("password", u.getPassword())
.withExpiresAt(instance.getTime()) //指定令牌过期时间
.sign(Algorithm.HMAC256(TOKEN_SECRET));//签名
}
/**
* 验证token合法性 成功返回token
*/
public static DecodedJWT verify(String token) {
JWTVerifier build = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).withIssuer("ao").build();
return build.verify(token);
}
}3、JWT拦截器
package com.example.demo1.jwt.config;
import com.example.demo1.jwt.inte.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
* @author admin
*/
@Configuration
public class IntercaptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new JWTInterceptor())
//拦截的路径
.addPathPatterns("/**")
//排除登录接口
.excludePathPatterns("/login");
}
}4、User对象
@Data
public class User {
private Integer id;
private String username;
private String password;
}5、UserController
package com.example.demo1.jwt.controller;
import com.example.demo1.jwt.entity.User;
import com.example.demo1.jwt.utils.JWTUtils;
import org.springframework.web.bind.annotation.*;
@RestController
public class UserController {
@PostMapping("/login")
public String login(@RequestBody User user) {
if (("admin").equals(user.getUsername()) && ("123").equals(user.getPassword())){
return JWTUtils.getToken(user);
}else {
return "用户名或密码错误";
}
}
@GetMapping("/home")
public String home(){
return "成功查看home页面";
}
}
6、请求参数
7、访问页面
