概要

  • Token是干什么
  • Token是怎么做的?
  • Token长什么样子呢?

  • Token怎么使用呢?

    Token是干什么

  • 简称 JWT,在HTTP通信过程中,进行身份认证。

Token是怎么做的?

  1. 客户端通过用户名和密码登录服务器;
  2. 服务端对客户端身份进行验证;
  3. 服务端对该用户生成Token,返回给客户端;
  4. 客户端将Token保存到本地浏览器
  5. 客户端发起请求,需要携带该Token;
  6. 服务端收到请求后,首先验证Token,之后返回数据。

注意: 服务端不需要保存Token,只需要对Token中携带的信息进行验证即可;无论客户端访问后台的那台服务器,只要可以通过用户信息的验证即可。

Token长什么样子呢?

  • 通过名字就可以看出来,是一个 json。

  • 由三部分内容组成:

  • 头(header),一般很少改动直接使用默认的即可:

    1. {
    2.    'typ':'JWT',
    3.    'alg':'HS256'
    4. }
  • 肚子(playload),东西都装在肚子里,默认的内容有:
    1. {
    2.    'iss':'签发者',
    3.    'sub':'面向的用户',
    4.    'aud':'接收方',
    5.    'exp':  过期时间,
    6.    'iat':  创建时间,
    7.    'nbf':  在什么时间之前,该Token不可用,
    8.    'jti':'Token唯一标识'
    9. }


根据需要用户可以自己定义,Token 中传输的内容,一般会将用户名,角色等信息放到 Token 中。

  • 尾(signature),前面两部分转为字符串后,使用 base64 编码,然后进行加密得到一个字符串。
  1. Token = 头(base64)+ 肚子(base64)+ 尾;

Token怎么使用呢?

利用Java封装的JJWT实现,下载jar地址为:http://maven.outofmemory.cn/io.jsonwebtoken/jjwt/0.6.0/

还需要依赖包 jackson-annotations-2.5.0.jar、jackson-core-2.5.0.jar、jackson-databind-2.5.0.jar,地址:http://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-core/2.5.0

  1. import java.security.Key;
  2. import java.util.Date;
  3. import java.util.HashMap;
  4. import java.util.Map;
  6. import javax.crypto.spec.SecretKeySpec;
  7. import javax.xml.bind.DatatypeConverter;
  9. import io.jsonwebtoken.Claims;
  10. import io.jsonwebtoken.ExpiredJwtException;
  11. import io.jsonwebtoken.InvalidClaimException;
  12. import io.jsonwebtoken.JwtBuilder;
  13. import io.jsonwebtoken.Jwts;
  14. import io.jsonwebtoken.SignatureAlgorithm;
  16. public class JwtManager {
  17.     /**
  18.      * 1、选择签名的算法
  19.      * 2、生成签名的密钥
  20.      * 3、构建Token信息
  21.      * 4、利用算法和密钥生成Token
  22.      */
  23.     public static String createToken() {
  24.         SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
  26.         byte[] secretBytes = DatatypeConverter.parseBase64Binary("JWT-TOKEN");
  27.         Key signingKey = new SecretKeySpec(secretBytes, signatureAlgorithm.getJcaName());
  28.         Map<String, Object> claims = new HashMap<String, Object>();
  29.         claims.put("username", "token");
  30.         claims.put("role", "admin");
  31.         JwtBuilder builder = Jwts.builder().setClaims(claims)
  32.                 .setId("tokenid")
  33.                 .setIssuedAt(new Date())
  34.                 .setExpiration(new Date(System.currentTimeMillis()+10*60*1000))
  35.                 .signWith(signatureAlgorithm, signingKey);
  37.         return builder.compact();
  38.     }
  40.     public static Claims parseToken(String token) {
  41.         return Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary("JWT-TOKEN"))
  42.                 .parseClaimsJws(token).getBody();
  43.     }
  45.     public static void validateToken(String token) {
  46.         try{
  47.             Claims claims = parseToken(token);
  48.             String username = claims.get("username").toString();
  49.             String role = claims.get("role").toString();
  50.             String tokenid = claims.getId();
  51.             System.out.println("[username]:"+username);
  52.             System.out.println("[role]:"+role);
  53.             System.out.println("[tokenid]:"+tokenid);
  54.         } catch(ExpiredJwtException e) {
  55.             System.out.println("token expired");
  56.         } catch (InvalidClaimException e) {
  57.             System.out.println("token invalid");
  58.         } catch (Exception e) {
  59.             System.out.println("token error");
  60.         }
  61.     }
  63.     public static void main(String[] args) {
  64.         validateToken(createToken());
  65.     }
  67. }