JWT简介

jwt非常适合前后分离 和 分布式的应用

不必在服务端存储session,本地也不用存储cookie

直接存两段信息即可

      localStorage["jwt"] = jwt; // token

      localStorage["name"] = json.name; // token中加密的某个字段,用于后期请求带上校验token是否被改

可以把认证相关的信息都存储在里面,添加拦截去进行校验即可

JWT认证流程:

  1. 用户登录成功,生成token,返回一个对象(包含token,用户名)
  2. 每次请求都带上这个对象(通过js存储在电脑)
  3. jwt过滤器会校验token解密之后的name是否和用户名相同,相同则放行
  4. 完成(后续可能需要加上token刷新的动作)

详细介绍:JWT 丨 JSON Web Tokens 丨 java-jwt | 详细介绍以及用法

完整的认证demo

点击查看 - 托管在github - 有说明

https://github.com/hisenyuan/SSM_BookSystem/tree/master/BookSystem_V3

maven依赖

<dependency>

      <groupId>com.auth0</groupId>

      <artifactId>java-jwt</artifactId>

      <version>3.2.0</version>

</dependency>

JWT生成与解密

package com.hisen.jars.jwt;

import com.alibaba.fastjson.JSON;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import org.joda.time.DateTime;

/**

 * 利用java-jwt 3.2.0版本

 * 每个版本的方法不大一样

 * Created by hisenyuan on 2017/8/17 at 15:41.

 */

public class Jwt {

  private static final String SECRET = "XX#$%()(#*!()!KL<><MQLMNQNQJQK sdfkjsdrow32234545df>?N<:{LWPW_hisen";

  private static final String EXP = "exp";

  private static final String PAYLOAD = "payload";

    /**

   * 生成Token:jwt

   * @param object 传入的加密对象 - 放入PAYLOAD

   * @param maxAge 过期事件,单位毫秒

   * @param <T>

   * @return

   */

  public static <T> String sign(T object, long maxAge) {

    Map<String, Object> map = new HashMap<String, Object>();

    String jsonString = JSON.toJSONString(object);

    map.put("alg", "HS256");

    map.put("typ", "JWT");

    long exp = System.currentTimeMillis() + maxAge;

    System.out.println("JWTUtil 当前时间:"+new DateTime().toString("yyyy-MM-dd HH:mm:ss EE"));

    System.out.println("JWTUtil 过期时间:"+new DateTime(exp).toString("yyyy-MM-dd HH:mm:ss EE"));

    String token = null;

    try {

      token = JWT.create()

          .withHeader(map)//header

          .withClaim(PAYLOAD, jsonString)//存放的内容 json

          .withClaim(EXP, new DateTime(exp).toDate())//超时时间

          .sign(Algorithm.HMAC256(SECRET));//密钥

    } catch (UnsupportedEncodingException e) {

      e.printStackTrace();

    }

    return token;

  }

  /**

   * 解密token

   * @param token jwt类型的token

   * @param classT 加密时的类型

   * @param <T>

   * @return 返回解密后的对象 - 如果token过期返回空对象

   */

  public static <T> T unsign(String token, Class<T> classT)  {

    DecodedJWT decode = JWT.decode(token);

    Map<String, Claim> claims = decode.getClaims();

    if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)){

      long tokenTime = claims.get(EXP).asDate().getTime();

      long nowTime = new Date().getTime();

      // 判断令牌是否超时

      if (tokenTime > nowTime){

        String json = claims.get(PAYLOAD).asString();

        return JSON.parseObject(json, classT);

      }

    }

    return null;

  }

}

解密的另外一种写法

这种写法如果令牌超时,直接运行时异常,无法做相关处理

  /**

   * 解密token

   * @param token jwt类型的token

   * @param classT 加密时的类型

   * @param <T>

   * @return 返回解密后的对象 - 如果token过期返回空对象

   */

  public static <T> T unsign(String token, Class<T> classT)  {

    JWTVerifier verifier = null;

    try {

      verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();

      DecodedJWT jwt = verifier.verify(token); // 如果超时,直接抛出运行时异常

      Map<String, Claim> claims = jwt.getClaims();

      if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {

        long tokenTime = claims.get(EXP).asDate().getTime();

        long now = new Date().getTime();

        // 判断令牌是否已经超时

        if (tokenTime > now) {

          String json = claims.get(PAYLOAD).asString();

          // 把json转回对象,返回

          return JSON.parseObject(json, classT);

        }

      }

    } catch (UnsupportedEncodingException e) {

      e.printStackTrace();

    } catch (TokenExpiredException e){

      e.printStackTrace();

    }

    return null;

  }

JSON WEB TOKEN - 告别session和cookie - java demo的更多相关文章

  1. webapp用户身份认证方案 JSON WEB TOKEN 实现

    webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON ...

  2. Java JWT: JSON Web Token

    Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand libr ...

  3. JWT(JSON Web Token) 多网站的单点登录,放弃session

    多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂. 另一种替代方案是采用基于算法的认证方式, JWT(json web token) ...

  4. web登录的session、cookie和token

    为什么会有登录这回事 首先这是因为HTTP是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就把你忘掉了.所以,登录就是用某种方法让服务器在多次请求 ...

  5. JWT(JSON Web Token) 多网站的单点登录,放弃session 转载https://www.cnblogs.com/lexiaofei/p/7409846.html

    多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂. 另一种替代方案是采用基于算法的认证方式, JWT(json web token) ...

  6. android 中使用jwt token(json web token)--java

    http://blog.csdn.net/mingzhnglei/article/details/51119836 下面贴上自己项目中的一个小小的example import com.nimbusds ...

  7. 使用json web token

    由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是 ...

  8. Json Web Token(JWT)

    Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(Si ...

  9. JWT(Json web token)认证详解

    JWT(Json web token)认证详解 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该to ...

随机推荐

  1. nyoj_78:圈水池(凸包入门)

    题目链接 将所有点按从左至右顺序排序,然后将所有点先从左到右扫描再从右到左扫描,逐渐将凸包轮廓"勾勒"出来 (凸包轮廓满足,轮廓上连续的三个点按先后顺序给出的话呈逆时针方向) 最后 ...

  2. android 7.0 多渠道打包 - 美团开源工具Walle 命令行打包

    在Android 7.0(Nougat)推出了新的应用签名方案APK Signature Scheme v2后,之前快速生成渠道包的方式(美团Android自动化之旅-生成渠道包)已经行不通了,对此美 ...

  3. log4j日志重定向

    配置相应的类名或者包名,将日志重新定向到输入文件里 log4j.rootLogger=INFO,DEBUG,CONSOLE ##过滤日志 log4j.logger.[类名|包名]=INFO,[输出目的 ...

  4. Ajax获取服务器信息

    xhr.onreadystatechange = function(){ if (xhr.readyState == 4){ if ((xhr.status >= 200 && ...

  5. markdown 常用格式API

    摘要 记录常用格式 参考:https://www.zybuluo.com/mdeditor 1. 标题 写法: 文字前加 #, 几个# 表示几级标题 标题下方增加 = 或 - 效果 标题1 标题2 标 ...

  6. Linux 系统下安装 rz/sz 命令及使用说明

    Linux 系统下安装 rz/sz 命令及使用说明 rz/sz命令,实现将本地的文件上传到服务器或者从服务器上下载文件到本地,但是很多Linux系统初始并没有这两个命令,以下为安装和使用的具体步骤: ...

  7. ps-ef|grep-vgrep|grepsep|awk'{print"kill-9"$2}'|sh 这个表达式到底是什么意思啊?

    最佳答案   kill 掉sep这个程序ps -ef | 获取当前服务器所有进程grep -v grep 相当于grep自己吧自己过滤掉,就是不显示grepgrep seq 过滤出seqawk 截取 ...

  8. Python网络数据采集3-数据存到CSV以及MySql

    Python网络数据采集3-数据存到CSV以及MySql 先热热身,下载某个页面的所有图片. import requests from bs4 import BeautifulSoup headers ...

  9. Hibernate 中Criteria Query查询详解【转】

    当查询数据时,人们往往需要设置查询条件.在SQL或HQL语句中,查询条件常常放在where子句中.此外,Hibernate还支持Criteria查询(Criteria Query),这种查询方式把查询 ...

  10. grunt+bower依赖管理

    安装bower(必须安装git) npm install bower -g bower按照插件命令 初始化配置 bower init 生成bower.json //如果有bower.json 直接输入 ...