JWT

JSON Web Token（JWT）是一個非常輕巧的規(guī)范捍靠。這個規(guī)范允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息助泽。

一個JWT實際上就是一個字符串楞慈，它由三部分組成旺嬉，頭部败潦、載荷與簽名本冲。

頭部（Header）

頭部用于描述關于該JWT的最基本的信息，例如其類型以及簽名所用的算法等劫扒。這也可以被表示成一個JSON對象檬洞。

{"typ":"JWT","alg":"HS256"}

在頭部指明了簽名算法是HS256算法。 我們進行BASE64編碼http://base64.xpcha.com/沟饥，編碼后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

載荷（playload）

載荷就是存放有效信息的地方添怔。這個名字像是特指飛機上承載的貨品，這些有效信息包含三個部分

（1）標準中注冊的聲明（建議但不強制使用）

iss: jwt簽發(fā)者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時間贤旷，這個過期時間必須要大于簽發(fā)時間
nbf: 定義在什么時間之前澎灸，該jwt都是不可用的.
iat: jwt的簽發(fā)時間
jti: jwt的唯一身份標識，主要用來作為一次性token遮晚。

（2）公共的聲明

公共的聲明可以添加任何的信息性昭，一般添加用戶的相關信息或其他業(yè)務需要的必要信息.但不建議添加敏感信息，因為該部分在客戶端可解密.

（3）私有的聲明

私有聲明是提供者和消費者所共同定義的聲明县遣，一般不建議存放敏感信息糜颠，因為base64是對稱解密的，意味著該部分信息可以歸類為明文信息萧求。

這個指的就是自定義的claim其兴。比如前面那個結構舉例中的admin和name都屬于自定的claim。這些claim跟JWT標準規(guī)定的claim區(qū)別在于：JWT規(guī)定的claim夸政，JWT的接收方在拿到JWT之后元旬，都知道怎么對這些標準的claim進行驗證(還不知道是否能夠驗證)；而private claims不會驗證，除非明確告訴接收方要對這些claim進行驗證以及規(guī)則才行匀归。

定義一個payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后將其進行base64加密坑资，得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

簽證（signature）

jwt的第三部分是一個簽證信息穆端，這個簽證信息由三部分組成：

header (base64后的)

payload (base64后的)

secret

這個部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串袱贮，然后通過header中聲明的加密方式進行加鹽secret組合加密，然后就構成了jwt的第三部分体啰。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是保存在服務器端的攒巍，jwt的簽發(fā)生成也是在服務器端的，secret就是用來進行jwt的簽發(fā)和jwt的驗證荒勇，所以柒莉，它就是你服務端的私鑰，在任何場景都不應該流露出去沽翔。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發(fā)jwt了兢孝。

JWT簽發(fā)與驗證token

JWT是一個提供端到端的JWT創(chuàng)建和驗證的Java庫。永遠免費和開源(Apache License搀擂，版本2.0)，JWT很容易使用和理解卷玉。它被設計成一個以建筑為中心的流暢界面哨颂，隱藏了它的大部分復雜性。

官方文檔：

https://github.com/jwtk/jjwt

創(chuàng)建token

（1）新建項目中的pom.xml中添加依賴：

<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jwt</artifactId>
 <version>0.9.0</version>
</dependency>

（2）創(chuàng)建測試類相种，代碼如下

JwtBuilder builder= Jwts.builder()
 .setId("888")   //設置唯一編號
 .setSubject("小白")//設置主題  可以是JSON數據
 .setIssuedAt(new Date())//設置簽發(fā)日期
 .signWith(SignatureAlgorithm.HS256,"hahaha");//設置簽名 使用HS256算法威恼，并設置SecretKey(字符串)
//構建 并返回一個字符串 
System.out.println( builder.compact() );

運行打印結果：

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y

再次運行，會發(fā)現(xiàn)每次運行的結果是不一樣的寝并，因為我們的載荷中包含了時間箫措。

解析token

我們剛才已經創(chuàng)建了token ，在web應用中這個操作是由服務端進行然后發(fā)給客戶端衬潦，客戶端在下次向服務端發(fā)送請求時需要攜帶這個token（這就好像是拿著一張門票一樣）斤蔓，那服務端接到這個token 應該解析出token中的信息（例如用戶id）,根據這些信息查詢數據庫返回相應的結果。

 String compactJwt="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y";
 Claims claims = Jwts.parser().setSigningKey("hahaha").parseClaimsJws(compactJwt).getBody();
 System.out.println(claims);

運行打印效果：
{jti=888, sub=小白, iat=1557904181}</pre>

試著將token或簽名秘鑰篡改一下镀岛，會發(fā)現(xiàn)運行時就會報錯弦牡，所以解析token也就是驗證token.

設置過期時間

有很多時候，我們并不希望簽發(fā)的token是永久生效的漂羊，所以我們可以為token添加一個過期時間驾锰。

（1）創(chuàng)建token 并設置過期時間

long now=System.currentTimeMillis();
long exp=now+1000*30;//30秒過期
JwtBuilder jwtBuilder = Jwts.builder().setId( "888" )
 .setSubject( "小白" )
 .setIssuedAt( new Date() )//簽發(fā)時間
 .setExpiration( new Date( exp ) )//過期時間
 .signWith( SignatureAlgorithm.HS256, "hahaha" );
String token = jwtBuilder.compact();
System.out.println(token);

運行，打印效果如下：

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0.4q5AaTyBRf8SB9B3Tl-I53PrILGyicJC3fgR3gWbvUI

（2）解析TOKEN

 String compactJwt="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0.4q5AaTyBRf8SB9B3Tl-I53PrILGyicJC3fgR3gWbvUI";
 Claims claims = Jwts.parser().setSigningKey("hahaha").parseClaimsJws(compactJwt).getBody();
 System.out.println(claims);

當前時間超過過期時間走越，則會報錯椭豫。

自定義claims

我們剛才的例子只是存儲了id和subject兩個信息，如果你想存儲更多的信息（例如角色）可以定義自定義claims。

long now=System.currentTimeMillis();
long exp=now+1000*30;//30秒過期
JwtBuilder jwtBuilder = Jwts.builder().setId( "888" )
 .setSubject( "小白" )
 .setIssuedAt( new Date() )//簽發(fā)時間
 .setExpiration( new Date( exp ) )//過期時間
 .claim( "roles","admin" )
 .signWith( SignatureAlgorithm.HS256, "hahaha" );
String token = jwtBuilder.compact();
System.out.println(token);

運行打印效果：

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDU4MDIsImV4cCI6MTU1NzkwNjgwMiwicm9sZXMiOiJhZG1pbiJ9.AS5Y2fNCwUzQQxXh_QQWMpaB75YqfuK-2P7VZiCXEJI

解析TOKEN:

String token ="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NjIyNTM3NTQsImV4cCI6MTU2MjI1Mzc4Mywicm9sZXMiOiJhZG1pbiJ9.CY6CMembCi3mAkBHS3ivzB5w9uvtZim1HkizRu2gWaI";
Claims claims = Jwts.parser().setSigningKey( "hahaha" ).parseClaimsJws( token ).getBody();
System.out.println(claims);
System.out.println(claims.get( "roles" ));