JSON WEB TOKEN简称JWT,是用于对应程序上的用户进行身份验证的标记。也就是说,使用JWTS的应用程序不再需要保存有关其用户的cookie和session数据。此特性便于可伸缩性,同时保证应用程序的安全。
格式
- JWT就是一个字符串,经过加密处理和校验处理的字符串,形式为:A.B.C
- A由JWT头部信息header加密得到
- B由JWT用到的身份验证信息json数据加密得到
- C由A和B加密得到,是校验部分
操作流程
导入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
通过解析Token得知,如果抛出SignatureException异常表示token不合法,抛出ExpiredJwtException异常表示token已过期
JWT工具类
public class JwtUtils{
private static final int TOKEN_TIME_OUT = 3600; //token的有效期为1小时
private static final String TOKEN_SECRET = "itcast"; //加密key、
/**
* 生成Token
*
* @param params
* @return
*/
public static String getToken(Map params){
long currentTime = System.currentTimeMillis();
return Jwts.builder()
.signWith(SignatureAlgorithm.HS512, TOKEN_SECRET) //加密方式
.setExpiration(new Date(currentTime + TOKEN_TIME_OUT * 1000)) //过期时间戳
.addClaims(params)
.compact();
}
/**
* 获取token中的claims信息
*
* @param token
* @return
*/
public static Claims getClaims(String token){
return Jwts.parser()
.setSigningKey(TOKEN_SECRET)
.parseClaimsJws(token)
.getBody();
}
/**
* Token是否有效 true--有效 false--无效
* @param token
* @return
*/
public static boolean verifyToken(String token){
if(StringUtils.isEmpty(token)){
return false;
}
try{
Claims claims = Jwts.parser()
.setSigningKey(TOKEN_SECRET)
.parseClaims(token)
.getBody();
}catch(Exception e){
return false;
}
return true;
}
}
