小白的学习总结Spring Cloud之JWT
- 一、什么是JWT
- 1、JWT: Json Web Token
- 2、jwt的三个部分组成
- 3、演示jwt三个组成部分
- 二、纯手写JWT三个组成部分
- 1、编写代码演示
- 2、JWT优缺点
- 3、传统token存在哪些优缺点
- 4、JWT与Token之间有哪些区别
一、什么是JWT
1、JWT: Json Web Token
- jeson:Http协议传递参数,
- token:令牌,有一定的有效期,特性:临时且唯一。
- Token和SessionId思想是一样的,
- Session存放在服务器端JWT内存中,
- Token存放在Redis中,解决分布式Session数据一致性问题:Spring-Session基本上使用Token替代SessionId.
2、jwt的三个部分组成
- jwt由三个部分组成:Header 、PayLoad、VERIFY SIGNATURE,以点隔开
(1)第一部分 Header 描述加密算法:
HS256 属于验证签名
RSA256 属于非对称加密
(2)第二部分 PayLoad(载荷)
实际就是jwt存放的数据,需要注意敏感数据
(3)第三部分 VERIFY SIGNATURE(签名值):
验证签名:数据还是明文的,主要防止抓包篡改数据 采用MD5 - Json Web Token
- JSON好处:轻量级,占用带宽非常小、可读性非常高
3、演示jwt三个组成部分
- 打开JWT官网:https://jwt.io/
- 将生成的token复制到Encoded模块如下图
- jwt由左侧三部分组成
二、纯手写JWT三个组成部分
1、编写代码演示
public static void main(String[] args) {
Date now = new Date();
// 算法
String SECRET_KEY = "5555dfghryt";
Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
// 调用JWT工具
String token =
JWT.create()
// 签发人
.withIssuer(ISSUER)
// 签发时间
.withIssuedAt(now)
// 过期时间
.withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME))
.withClaim("tel", "1567545**12")
.sign(algorithm);
System.out.println("token: " + token);
// 纯手写Jwt
JSONObject header = new JSONObject();
header.put("alg", "HS256");
JSONObject payload = new JSONObject();
payload.put("tel", "156754***12");
String headerEncode = Base64.getEncoder().encodeToString(JSON.toJSONString(header).getBytes());
String payloadStr = JSON.toJSONString(payload);
String payloadEncode = Base64.getEncoder().encodeToString(payloadStr.getBytes());
// 签名
String sign = DigestUtils.md5DigestAsHex((payloadStr + SECRET_KEY).getBytes());
String jwt = headerEncode + "." + payloadEncode + "." + sign;
System.out.println("jwt: " + jwt);
// 解密
String payloadEn = jwt.split("\\.")[1];
String payloadDe = new String(Base64.getDecoder().decode(payloadEn), "UTF-8");
String newSign = DigestUtils.md5DigestAsHex((payloadDe + SECRET_KEY).getBytes());
System.out.println(newSign.equals(jwt.split("\\.")[2]));
}
2、JWT优缺点
- 优点:
- (1)Jwt数据存放在客户端,不依赖于服务器端,所以可以减轻服务器端的压力。
- (2)效率比传统的token验证还要高
- 缺点:
- (1)JWT一旦生成之后,后期无法修改
- (2)无法销毁一个jwt
3、传统token存在哪些优缺点
- 传统Token登录接口:
- (1)验证账号密码成功后
- (2)生成一个令牌uuID
- (3)将令牌放入到Redis中key为令牌,value对应存放userId
- (4)最终返回令牌给客户端
- 验证会话信息:
- (1)在请求头传递该令牌
- (2)从Redis中验证该令牌是否有效
- (3)获取value内容userId
- (4)根据userId查询用户信息再返回给客户端
- 缺点:
- (1)必须依赖服务器,占用服务器端资源
- (2)效率非常低
- 优点:
- (1)可以隐藏数据的真实性,
- (2)适用于分布式微服务
- (3)安全系数非常高