0iE28資訊網(wǎng)——每日最新資訊28at.com

目前傳統(tǒng)的后臺管理系統(tǒng)，以及不使用第三方登錄的系統(tǒng)，使用 JWT 技術的還是挺多的，因此在面試中被問到的頻率也比較高，所以今天我們就來看一下：什么是 JWT？為什么要用 JWT？0iE28資訊網(wǎng)——每日最新資訊28at.com

1.什么是 JWT？

JWT（JSON Web Token）是一種開放標準（RFC 7519），用于在網(wǎng)絡上安全傳輸信息的簡潔、自包含的方式。它通常被用于身份驗證和授權機制。JWT 由三部分組成：頭部（Header）、載荷（Payload）和簽名（Signature）。0iE28資訊網(wǎng)——每日最新資訊28at.com

1. 頭部（Header）：包含了關于生成該 JWT 的信息以及所使用的算法類型。
2. 載荷（Payload）：包含了要傳遞的數(shù)據(jù)，例如身份信息和其他附屬數(shù)據(jù)。JWT 官方規(guī)定了 7 個字段，可供使用：

1. iss (Issuer)：簽發(fā)者。
2. sub (Subject)：主題。
3. aud (Audience)：接收者。
4. exp (Expiration time)：過期時間。
5. nbf (Not Before)：生效時間。
6. iat (Issued At)：簽發(fā)時間。
7. jti (JWT ID)：編號。

3. 簽名（Signature）：使用密鑰對頭部和載荷進行簽名，以驗證其完整性。

“0iE28資訊網(wǎng)——每日最新資訊28at.com

JWT 官網(wǎng)：https://jwt.io/0iE28資訊網(wǎng)——每日最新資訊28at.com

”0iE28資訊網(wǎng)——每日最新資訊28at.com

2.為什么要用 JWT？

JWT 相較于傳統(tǒng)的基于會話（Session）的認證機制，具有以下優(yōu)勢：0iE28資訊網(wǎng)——每日最新資訊28at.com

1. 無需服務器存儲狀態(tài)：傳統(tǒng)的基于會話的認證機制需要服務器在會話中存儲用戶的狀態(tài)信息，包括用戶的登錄狀態(tài)、權限等。而使用 JWT，服務器無需存儲任何會話狀態(tài)信息，所有的認證和授權信息都包含在 JWT 中，使得系統(tǒng)可以更容易地進行水平擴展。
2. 跨域支持：由于 JWT 包含了完整的認證和授權信息，因此可以輕松地在多個域之間進行傳遞和使用，實現(xiàn)跨域授權。
3. 適應微服務架構：在微服務架構中，很多服務是獨立部署并且可以橫向擴展的，這就需要保證認證和授權的無狀態(tài)性。使用 JWT 可以滿足這種需求，每次請求攜帶 JWT 即可實現(xiàn)認證和授權。
4. 自包含：JWT 包含了認證和授權信息，以及其他自定義的聲明，這些信息都被編碼在 JWT 中，在服務端解碼后使用。JWT 的自包含性減少了對服務端資源的依賴，并提供了統(tǒng)一的安全機制。
5. 擴展性：JWT 可以被擴展和定制，可以按照需求添加自定義的聲明和數(shù)據(jù)，靈活性更高。

總結來說，使用 JWT 相較于傳統(tǒng)的基于會話的認證機制，可以減少服務器存儲開銷和管理復雜性，實現(xiàn)跨域支持和水平擴展，并且更適應無狀態(tài)和微服務架構。0iE28資訊網(wǎng)——每日最新資訊28at.com

3.JWT 基本使用

在 Java 開發(fā)中，可以借助 JWT 工具類來方便的操作 JWT，例如 HuTool 框架中的 JWTUtil。0iE28資訊網(wǎng)——每日最新資訊28at.com

HuTool 介紹：https://doc.hutool.cn/pages/JWTUtil/0iE28資訊網(wǎng)——每日最新資訊28at.com

使用 HuTool 操作 JWT 的步驟如下：0iE28資訊網(wǎng)——每日最新資訊28at.com

1. 添加 HuTool 框架依賴
2. 生成 Token
3. 驗證和解析 Token

3.1 添加 HuTool 框架依賴

在 pom.xml 中添加以下信息：0iE28資訊網(wǎng)——每日最新資訊28at.com

<dependency>    <groupId>cn.hutool</groupId>    <artifactId>hutool-all</artifactId>    <version>5.8.16</version></dependency>

3.2 生成 Token

Map<String, Object> map = new HashMap<String, Object>() {private static final long serialVersionUID = 1L;{    put("uid", Integer.parseInt("123")); // 用戶ID    put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 過期時間15天}};JWTUtil.createToken(map, "服務器端秘鑰".getBytes());

3.3 驗證和解析 Token

驗證 Token 的示例代碼如下：0iE28資訊網(wǎng)——每日最新資訊28at.com

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew";JWTUtil.verify(token, "123456".getBytes());

解析 Token 的示例代碼如下：0iE28資訊網(wǎng)——每日最新資訊28at.com

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA";final JWT jwt = JWTUtil.parseToken(rightToken);jwt.getHeader(JWTHeader.TYPE);jwt.getPayload("sub");

3.4 代碼實戰(zhàn)

在登錄成功之后，生成 Token 的示例代碼如下：0iE28資訊網(wǎng)——每日最新資訊28at.com

// 登錄成功，使用 JWT 生成 TokenMap<String, Object> payload = new HashMap<String, Object>() {    private static final long serialVersionUID = 1L;    {        put("uid", userinfo.getUid());        put("manager", userinfo.getManager());        // JWT 過期時間為 15 天        put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);    }};String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());

例如在 Spring Cloud Gateway 網(wǎng)關中驗證 Token 的實現(xiàn)代碼如下：0iE28資訊網(wǎng)——每日最新資訊28at.com

import cn.hutool.jwt.JWT;import cn.hutool.jwt.JWTUtil;import com.example.common.AppVariable;import org.springframework.cloud.gateway.filter.GatewayFilterChain;import org.springframework.cloud.gateway.filter.GlobalFilter;import org.springframework.core.Ordered;import org.springframework.http.HttpStatus;import org.springframework.http.server.reactive.ServerHttpResponse;import org.springframework.stereotype.Component;import org.springframework.web.server.ServerWebExchange;import reactor.core.publisher.Mono;import java.util.List;/** * 登錄過濾器（登錄判斷） */@Componentpublic class AuthFilter implements GlobalFilter, Ordered {    // 排除登錄驗證的 URL 地址    private String[] skipAuthUrls = {"/user/add", "/user/login"};    @Override    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {        // 當前請求的 URL        String url = exchange.getRequest().getURI().getPath();        for (String item : skipAuthUrls) {            if (item.equals(url)) {                // 繼續(xù)往下走                return chain.filter(exchange);            }        }        ServerHttpResponse response = exchange.getResponse();        // 登錄判斷        List<String> tokens =                exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY);        if (tokens == null || tokens.size() == 0) {            // 當前未登錄            response.setStatusCode(HttpStatus.UNAUTHORIZED);            return response.setComplete();        }        // token 有值        String token = tokens.get(0);        // JWT 效驗 token 是否有效        boolean result = false;        try {            result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());        } catch (Exception e) {            result = false;        }        if (!result) {            // 無效 token            response.setStatusCode(HttpStatus.UNAUTHORIZED);            return response.setComplete();        } else { // 判斷 token 是否過期            final JWT jwt = JWTUtil.parseToken(token);            // 得到過期時間            Object expObj = jwt.getPayload("exp");            if (expObj == null) {                response.setStatusCode(HttpStatus.UNAUTHORIZED);                return response.setComplete();            }            long exp = Long.parseLong(expObj.toString());            if (System.currentTimeMillis() > exp) {                // token 過期                response.setStatusCode(HttpStatus.UNAUTHORIZED);                return response.setComplete();            }        }        return chain.filter(exchange);    }    @Override    public int getOrder() {        // 值越小越早執(zhí)行        return 1;    }}

4.實現(xiàn)原理分析

JWT 本質是將秘鑰存放在服務器端，并通過某種加密手段進行加密和驗證的機制。加密簽名=某加密算法(header+payload+服務器端私鑰)，因為服務端私鑰別人不能獲取，所以 JWT 能保證自身其安全性。0iE28資訊網(wǎng)——每日最新資訊28at.com

小結

JWT 相比與傳統(tǒng)的 Session 會話機制，具備無狀態(tài)性（無需服務器端存儲會話信息），并且它更加靈活、更適合微服務環(huán)境下的登錄和授權判斷。JWT 是由三部分組成的：Header（頭部）、Payload（數(shù)據(jù)載荷）和 Signature（簽名）。0iE28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-26-38494-0.html面試官：什么是JWT？為什么要用JWT？

聲明：本網(wǎng)頁內容旨在傳播知識，若有侵權等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 面試官：什么是JWT？為什么要用JWT？

下一篇： Electron 28.0.0 正式發(fā)布，跨平臺桌面應用開發(fā)工具！