JWT简介

jwt非常适合前后分离 和 分布式的应用

不必在服务端存储session,本地也不用存储cookie

直接存两段信息即可

      localStorage["jwt"] = jwt; // token

      localStorage["name"] = json.name; // token中加密的某个字段,用于后期请求带上校验token是否被改

可以把认证相关的信息都存储在里面,添加拦截去进行校验即可

JWT认证流程:

  1. 用户登录成功,生成token,返回一个对象(包含token,用户名)
  2. 每次请求都带上这个对象(通过js存储在电脑)
  3. jwt过滤器会校验token解密之后的name是否和用户名相同,相同则放行
  4. 完成(后续可能需要加上token刷新的动作)

详细介绍:JWT 丨 JSON Web Tokens 丨 java-jwt | 详细介绍以及用法

完整的认证demo

点击查看 - 托管在github - 有说明

https://github.com/hisenyuan/SSM_BookSystem/tree/master/BookSystem_V3

maven依赖

<dependency>

      <groupId>com.auth0</groupId>

      <artifactId>java-jwt</artifactId>

      <version>3.2.0</version>

</dependency>

JWT生成与解密

package com.hisen.jars.jwt;

import com.alibaba.fastjson.JSON;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.Claim;

import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import org.joda.time.DateTime;

/**

 * 利用java-jwt 3.2.0版本

 * 每个版本的方法不大一样

 * Created by hisenyuan on 2017/8/17 at 15:41.

 */

public class Jwt {

  private static final String SECRET = "XX#$%()(#*!()!KL<><MQLMNQNQJQK sdfkjsdrow32234545df>?N<:{LWPW_hisen";

  private static final String EXP = "exp";

  private static final String PAYLOAD = "payload";

    /**

   * 生成Token:jwt

   * @param object 传入的加密对象 - 放入PAYLOAD

   * @param maxAge 过期事件,单位毫秒

   * @param <T>

   * @return

   */

  public static <T> String sign(T object, long maxAge) {

    Map<String, Object> map = new HashMap<String, Object>();

    String jsonString = JSON.toJSONString(object);

    map.put("alg", "HS256");

    map.put("typ", "JWT");

    long exp = System.currentTimeMillis() + maxAge;

    System.out.println("JWTUtil 当前时间:"+new DateTime().toString("yyyy-MM-dd HH:mm:ss EE"));

    System.out.println("JWTUtil 过期时间:"+new DateTime(exp).toString("yyyy-MM-dd HH:mm:ss EE"));

    String token = null;

    try {

      token = JWT.create()

          .withHeader(map)//header

          .withClaim(PAYLOAD, jsonString)//存放的内容 json

          .withClaim(EXP, new DateTime(exp).toDate())//超时时间

          .sign(Algorithm.HMAC256(SECRET));//密钥

    } catch (UnsupportedEncodingException e) {

      e.printStackTrace();

    }

    return token;

  }

  /**

   * 解密token

   * @param token jwt类型的token

   * @param classT 加密时的类型

   * @param <T>

   * @return 返回解密后的对象 - 如果token过期返回空对象

   */

  public static <T> T unsign(String token, Class<T> classT)  {

    DecodedJWT decode = JWT.decode(token);

    Map<String, Claim> claims = decode.getClaims();

    if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)){

      long tokenTime = claims.get(EXP).asDate().getTime();

      long nowTime = new Date().getTime();

      // 判断令牌是否超时

      if (tokenTime > nowTime){

        String json = claims.get(PAYLOAD).asString();

        return JSON.parseObject(json, classT);

      }

    }

    return null;

  }

}

解密的另外一种写法

这种写法如果令牌超时,直接运行时异常,无法做相关处理

  /**

   * 解密token

   * @param token jwt类型的token

   * @param classT 加密时的类型

   * @param <T>

   * @return 返回解密后的对象 - 如果token过期返回空对象

   */

  public static <T> T unsign(String token, Class<T> classT)  {

    JWTVerifier verifier = null;

    try {

      verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();

      DecodedJWT jwt = verifier.verify(token); // 如果超时,直接抛出运行时异常

      Map<String, Claim> claims = jwt.getClaims();

      if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {

        long tokenTime = claims.get(EXP).asDate().getTime();

        long now = new Date().getTime();

        // 判断令牌是否已经超时

        if (tokenTime > now) {

          String json = claims.get(PAYLOAD).asString();

          // 把json转回对象,返回

          return JSON.parseObject(json, classT);

        }

      }

    } catch (UnsupportedEncodingException e) {

      e.printStackTrace();

    } catch (TokenExpiredException e){

      e.printStackTrace();

    }

    return null;

  }

JSON WEB TOKEN - 告别session和cookie - java demo的更多相关文章

  1. webapp用户身份认证方案 JSON WEB TOKEN 实现

    webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON ...

  2. Java JWT: JSON Web Token

    Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand libr ...

  3. JWT(JSON Web Token) 多网站的单点登录,放弃session

    多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂. 另一种替代方案是采用基于算法的认证方式, JWT(json web token) ...

  4. web登录的session、cookie和token

    为什么会有登录这回事 首先这是因为HTTP是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就把你忘掉了.所以,登录就是用某种方法让服务器在多次请求 ...

  5. JWT(JSON Web Token) 多网站的单点登录,放弃session 转载https://www.cnblogs.com/lexiaofei/p/7409846.html

    多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂. 另一种替代方案是采用基于算法的认证方式, JWT(json web token) ...

  6. android 中使用jwt token(json web token)--java

    http://blog.csdn.net/mingzhnglei/article/details/51119836 下面贴上自己项目中的一个小小的example import com.nimbusds ...

  7. 使用json web token

    由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是 ...

  8. Json Web Token(JWT)

    Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(Si ...

  9. JWT(Json web token)认证详解

    JWT(Json web token)认证详解 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该to ...

随机推荐

  1. 我JAVA修炼之路

    今天起,我会不定期更新我的java修炼之路, 2017.7.10,星期一 我参见了河南青云的培训班,这一天是我们的开班典礼. 我会不定期的总结我的学习笔记,大家喜欢的可以看看,不喜勿喷. 写代码: 1 ...

  2. WIN10下设置惠普HP1050等打印机打印颜色,只打黑白或彩色

    今天同事问了一个问题,如何在WIN10下,设置惠普打印机只打印黑白, 上网搜了下,没有找到任何信息,只有在WIN8前系统设置的内容,经过几番折腾,得出此文. WIN10下设置惠普HP1050等打印机打 ...

  3. hdu_5963:朋友

    刚看到这题时感觉是树上博弈,然后我开始用一维的数据找规律.发现在一维的树上,如果把各边的值合在一起当成一个二进制数,那么,ans只与奇偶性有关,于是,我提出了一个比较大胆的假设:若连接在root上的所 ...

  4. SpringMVC配置实例

    一.SpringMVC概述 MVCII模式实现的框架技术 Model--业务模型(Biz,Dao...) View--jsp及相关的jquery框架技术(easyui) Contraller--Dis ...

  5. *更新*无需root,一条命令强制全屏模式

    未root的系统,必须通过pc端运行adb命令进行设置,因此请开启开发者选项中的adb调试模式,用usb连接电脑和手机,运行下面的代码强制开启全屏模式,立即生效:全屏沉浸: adb shell set ...

  6. Linux编译安装程序(使用configure、make、 make install)

    以安装vim为例. (vim 是vi的升级版本,它不仅兼容vi的所有指令,而且还有一些新的特性在里面). 1.获取源文件 首先进入/usr/local下(只是为了方便处理安装文件,位置随意) 用git ...

  7. iOS事件响应链(Responder Chain)

    概述 在iOS中,视图的层级一般都是 父视图->添加各种子视图.这时候某个视图(子视图)上有个按钮,需要我们交互.但是有时候我们会发现无论如何都没有反应.这时候可能就是我们对iOS的事件传递响应 ...

  8. ueditor编辑器使用总结

    ueditor使用小结 一.简介 ueditor是百度编辑器,官网地址:http://ueditor.baidu.com/website/ 完整的功能演示,可以参考:http://ueditor.ba ...

  9. .NET MVC与三层架构

    虽然接触了两者有一段时间了,但是有时还是会混淆概念,在此处不打算说明二者的区别,因为二者都是架构模式,并且也有一定的共存度,在实际开发中,严格区分意义不大.基于最近涉及到这部分知识就在复习下,编程过程 ...

  10. Spring-mybatis没有了XXXmapper.java和Dao的实现类还有Service的实现类

    对于刚学过框架的同学可能知道,mybatis有两种主要的配置文件: SqlMapConfig.xml(mybatis全局配置文件,名称不固定,用来配置运行环境(数据源.事务) XXXmapper.xm ...