JWT

基本概念

　　一个token分3部分，按顺序为

• 头部（header)
• 其为载荷（payload)
• 签证（signature)
  由三部分生成token
  3部分之间用“.”号做分隔。例如 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTm8iOiJ1c2VyLTAwNmVmZWNlNzZjODQzM2Q4OTc0YzFhMmY5ODQyMmI2IiwiZXhwIjoxNTg5MjQ3NDk5fQ.YIEwajJvcR7MOkrZ0ZBdj9aXbD-G9LcS3TP7LCvtNTM

　　头部

　　Jwt的头部承载两部分信息：

• 声明类型，这里是jwt
• 声明加密的算法 通常直接使用 HMAC SHA256
  JWT里验证和签名使用的算法，可选择下面的。

JWS	算法名称	描述
HS256	HMAC256	HMAC with SHA-256
HS384	HMAC384	HMAC with SHA-384
HS512	HMAC512	HMAC with SHA-512
RS256	RSA256	RSASSA-PKCS1-v1_5 with SHA-256
RS384	RSA384	RSASSA-PKCS1-v1_5 with SHA-384
RS512	RSA512	RSASSA-PKCS1-v1_5 with SHA-512
ES256	ECDSA256	ECDSA with curve P-256 and SHA-256
ES384	ECDSA384	ECDSA with curve P-384 and SHA-384
ES512	ECDSA512	ECDSA with curve P-521 and SHA-512

　　使用代码如下

// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");

playload

载荷就是存放有效信息的地方。基本上填2种类型数据

-标准中注册的声明的数据
-自定义数据
由这2部分内部做base64加密。最张数据进入JWT的chaims里存放。

标准中注册的声明 (建议但不强制使用)

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间，这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前，该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

使用方法

 JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP")
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time

　

自定义数据

这个就比较简单，存放我们想放在token中存放的key-value值
使用方法

 JWT.create().withHeader(map) // header
                .withClaim("name", "cy") // payload
                .withClaim("user_id", "11222");

　　

签名signature

jwt的第三部分是一个签证信息，这个签证信息算法如下：
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。

基本上至此，JWT的API相关知识已经学完了，但是API不够有好，不停的用withClaim放数据。不够友好。下面推荐一款框架JJWT，相当于对JWT的实现框架

JJWT

它是为了更友好在JVM上使用JWT，是基于JWT, JWS, JWE, JWK框架的java实现。
参考git地址

引入Maven依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

新建JwtConstants 类，用于token的chaims保存有效信息字段名

public class JwtConstants {
    public static final String JWT_KEY_USER_ID = "uid";
}

新建JwtInfo 类，用于token的chaims保存有效信息

public class JwtInfo {

    private String uid;

    public JwtInfo(String uid) {
        this.uid = uid;
    }

    public String getUid() {
        return uid;
    }

    public void setUid(String uid) {
        this.uid = uid;
    }
}

新建JwtTokenUtils 工具类，用于token的生成和解析

package com.yibo.user.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.joda.time.DateTime;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;

/**
 * @author: huangyibo
 * @Date: 2019/1/13 22:37
 * @Description: 生成token的工具类
 */
public class JwtTokenUtils {

    private static Key getKeyInstance(){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] bytes = DatatypeConverter.parseBase64Binary("mall-user");
        return new SecretKeySpec(bytes,signatureAlgorithm.getJcaName());
    }

    /**
     * 生成token的方法
     * @param jwtInfo
     * @param expire
     * @return
     */
    public static String generatorToken(JwtInfo jwtInfo,int expire){
        return Jwts.builder().claim(JwtConstants.JWT_KEY_USER_ID,jwtInfo.getUid())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(SignatureAlgorithm.HS256,getKeyInstance()).compact();
    }

    /**
     * 根据token获取token中的信息
     * @param token
     * @return
     */
    public static JwtInfo getTokenInfo(String token){
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(token);
        Claims claims = claimsJws.getBody();
        return new JwtInfo(claims.get(JwtConstants.JWT_KEY_USER_ID).toString());
    }
}

新建JwtTokenService服务类，调用其方法即可进行认证和授权使用

@Component
public class JwtTokenService {

    /**
     * token过期时间
     */
    private int expire = 6000;

    public String generatorToken(JwtInfo jwtInfo){
        return JwtTokenUtils.generatorToken(jwtInfo,expire);
    }

    public JwtInfo stringInfoFromToken(String token){
        return JwtTokenUtils.getTokenInfo(token);
    }
}

至此JWT的具体使用详细介绍完毕，在项目中建议使用JJWT，因为其API友好。

上面将token中的载荷放在chaims中，其实chaims是JWT内部维持的一个存放有效信息的地方，不论使用任何API，最终都使用chaims保存信息。
setClaims有2个重载

• JwtBuilder setClaims(Claims claims);
• JwtBuilder setClaims(Map<String, Object> claims);
  不能就是说，我们也可以直接传入map值对象。

扩展阅读 ：
签发的用户认证token超时刷新策略：https://blog.csdn.net/sinat_25235033/article/details/80324006

讲真，别再使用JWT了：https://www.jianshu.com/p/af8360b83a9f

参考： https://www.jianshu.com/p/d1644e281250