剖析JWT，及其使用案例-Toy模板网

这篇具有很好参考价值的文章主要介绍了剖析JWT，及其使用案例。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

什么是JWT

JWT 是一个开放标准，它定义了一种用于简洁，自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名
简单来说: 就是通过一定规范来生成token，然后可以通过解密算法逆向解密token，这样就可以获取用户信息
优点
- 生产的token可以包含基本信息，比如id、用户昵称、头像等信息，避免再次查库
- 存储在客户端，不占用服务端的内存资源
缺点
- token是经过base64编码，所以可以解码，因此token加密前的对象不应该包含敏感信息，如用户权限，密码等
- 如果没有服务端存储，则不能做登录失效处理，除非服务端改秘钥

JWT格式组成头部、负载、签名

header+payload+signature
- 头部：主要是描述签名算法
- 负载：主要描述是加密对象的信息，如用户的id等，也可以加些规范里面的东西，如iss签发者，exp 过期时间，sub 面向的用户
- 签名：主要是把前面两部分进行加密，防止别人拿到token进行base解密后篡改token

关于jwt客户端存储

可以存储在cookie，localstorage和sessionStorage里面

代码实现

依赖引入

<!-- JWT相关 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

JWTUtil类,封装了生产token方法和校验token方法

@Slf4j
public class JWTUtil {
    /**
     * 主题
     */
    private static final String SUBJECT = "xtw";
    /**
     * 加密秘钥
     */
    private static final String SECRET = "xtw.com";
    /**
     * 令牌前缀
     */
    private static final String TOKEN_PREFIX = "xtwcloud-link";
    /**
     * 过期时间 7天
     */
    private static final long EXPIRED = 1000*60*60*24*7;

    /**
     * 生成token
     * @param loginUser
     * @return
     */
    public static String geneJsonWebToken(LoginUser loginUser){
        if(loginUser == null){
            throw new NullPointerException("对象为空");
        }

        String token = Jwts.builder().setSubject(SUBJECT)
                // 配置payload
                .claim("head_img",loginUser.getHeadImg())
                .claim("account_no",loginUser.getAccountNo())
                .claim("username",loginUser.getUserName())
                .claim("mail",loginUser.getMail())
                .claim("phone",loginUser.getPhone())
                .claim("auth",loginUser.getAuth())
                .setIssuedAt(new Date())
                .setExpiration(new Date(CommonUtil.getCurrentTimestamp()+EXPIRED))
                .signWith(SignatureAlgorithm.HS256,SECRET).compact();
        token = TOKEN_PREFIX + token;
        return token;
    }

    /**
     * 校验token
     * @param token
     * @return
     */
    public static Claims checkJWT(String token){
        try {
            final Claims claims = Jwts.parser().setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();

            return claims;
        }catch (Exception e){

            log.info("jwt 校验失败");
            return null;
        }

    }
}

案例

用户初次登录或者token过期，登录成功返回JWT令牌

public JsonData login(AccountLoginRequest loginRequest) {
    // 校验用户账号和密码,等...  TODO 
    
    // 对象变迁 loginRequest -> DO -> DTO(loginUser)
    // loginRequest：前端输入
    // DO：根据loginRequest从数据库中提取
  	// DTO(loginUser)：剔除了DO中的敏感字段，用于生成token
    
    // 密码正确 生成JWT_token
    String token = JWTUtil.geneJsonWebToken(loginUser);

    return JsonData.buildSuccess(token);
}

登录后，客户端存储了token，网页跳转只需要校验token文章来源地址https://www.toymoban.com/news/detail-583740.html

//拦截器配置
@Configuration
@Slf4j
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(new LoginInterceptor())
                // 拦截路径，需要token的接口
                .addPathPatterns("[拦截url]")

                // 放行路径，不需要token的接口，如注册登录接口等...
                .excludePathPatterns("[放行url]");
    }
}


// 登录拦截器--进行用户的token校验（用户登录成功后网页跳转）
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {
	//本地线程：在进行对象跨层传递的时候，使用ThreadLocal可以避免多次传递，打破层次间的约束。
    public static ThreadLocal<LoginUser> threadLocal = new ThreadLocal<>();

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    	// 放行OPTIONS请求
        if(HttpMethod.OPTIONS.toString().equalsIgnoreCase(request.getMethod())){
            response.setStatus(HttpStatus.NO_CONTENT.value());
            return true;
        }
        // 从前端获取token
        String accountToken = request.getHeader("token");
        if(StringUtils.isBlank(accountToken)){
            accountToken = request.getParameter("token");
        }

        if(StringUtils.isNotBlank(accountToken)){
        	// 校验token，获取claims
            Claims claims = JWTUtil.checkJWT(accountToken);
            if(claims == null){
                // 未登录
                CommonUtil.sendJsonMessage(response, JsonData.buildResult(BizCodeEnum.ACCOUNT_UNLOGIN));
                return false;
            }
            // 获取用户字段信息
            Long accountNo = Long.parseLong(claims.get("account_no").toString());
            String headImg = (String) claims.get("head_img");
            String username = (String) claims.get("username");
            String mail = (String) claims.get("mail");
            String phone = (String) claims.get("phone");
            String auth = (String) claims.get("auth");
			
			// LoginUser对象需加@Data@Builder@AllArgsConstructor@NoArgsConstructor
            LoginUser loginUser = LoginUser.builder()
                    .accountNo(accountNo)
                    .auth(auth)
                    .phone(phone)
                    .headImg(headImg)
                    .mail(mail)
                    .userName(username)
                    .build();
            //request.setAttribute("loginUser",loginUser);
            //通过threadlocal
            threadLocal.set(loginUser);
            return true;
        }
        
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

到了这里，关于剖析JWT，及其使用案例的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！