JWT安全令牌在Web上的应用

JWT可以被用于在网络上安全地传输和验证信息，提供了一种简单而有效的方式来管理用户身份和权限。

在Web登录的时候，在Header上会携带自定义的字段。在后端上通过实现

HandlerInterceptor接口

重写preHandle方法

String token =  request.getHeader("Authoriztion");通过这个获取token

别忘了把拦截器注入到IOC容器里面交给spring管理

那么我们该如何生成密钥以及解密呢

下面是生成密钥的代码

void contextLoads() {
        Map claims = new HashMap<>();
        claims.put("id",1);
        claims.put("username","张三");
        String token =  JWT.create()
                .withClaim("user",claims)//添加载荷
                .withExpiresAt(new Date(System.currentTimeMillis()+1000*60*60*12))  //添加过期时间
                .sign(Algorithm.HMAC256("lgl.key"));//指定算法，配置密钥
        System.out.println(token);

    }

下面是解密的代码

void testParse(){
        String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MDA0MDE3MDN9.z2cTlo9NMGFwNwgGlLCqfd64txubM1UeNog0-8AxDFQ";

        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("lgl.key")).build();

        DecodedJWT decodedJWT = jwtVerifier.verify(token);  //验证token，生成一个解析后的JWT对象
        Map claims =  decodedJWT.getClaims();
        System.out.println(claims.get("user"));
        //三种失败的原因：1.第一部分和第二部分被篡改 2.密钥不对 3.token过期
    }

我们生成的代码：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MDA0MDE3MDN9.z2cTlo9NMGFwNwgGlLCqfd64txubM1UeNog0-8AxDFQ

注意这里面有三个点，分别是

头部、有效载荷、签名

其中头部记录了令牌信息、签名算法等

有效载荷记录了携带的信息！！这部分没有进行加密，是可以被破解的，不要把重要信息放在里面

最后一部分是签名，是为了防止篡改，保证JWT的安全性，会加入第一和第二部分以及密钥通过签名算法得到。如何检测到被篡改或者token不对以及token过期，JWT都会抛出异常