日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
面試官:什么是JWT?為什么要用JWT?

目前傳統(tǒng)的后臺(tái)管理系統(tǒng),以及不使用第三方登錄的系統(tǒng),使用 JWT 技術(shù)的還是挺多的,因此在面試中被問(wèn)到的頻率也比較高,所以今天我們就來(lái)看一下:什么是 JWT?為什么要用 JWT?

成都創(chuàng)新互聯(lián)是一家專注于網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),龍巖網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:龍巖等地區(qū)。龍巖做網(wǎng)站價(jià)格咨詢:18982081108

1、什么是 JWT?

JWT(JSON Web Token)是一種開(kāi)放標(biāo)準(zhǔn)(RFC 7519),用于在網(wǎng)絡(luò)上安全傳輸信息的簡(jiǎn)潔、自包含的方式。它通常被用于身份驗(yàn)證和授權(quán)機(jī)制。JWT 由三部分組成:頭部(Header)、載荷(Payload)和簽名(Signature)。

頭部(Header)包含了關(guān)于生成該 JWT 的信息以及所使用的算法類型。

載荷(Payload)包含了要傳遞的數(shù)據(jù),例如身份信息和其他附屬數(shù)據(jù)。JWT 官方規(guī)定了 7 個(gè)字段,可供使用:

  • iss (Issuer):簽發(fā)者。
  • sub (Subject):主題。
  • aud (Audience):接收者。
  • exp (Expiration time):過(guò)期時(shí)間。
  • nbf (Not Before):生效時(shí)間。
  • iat (Issued At):簽發(fā)時(shí)間。
  • jti (JWT ID):編號(hào)。

簽名(Signature)使用密鑰對(duì)頭部和載荷進(jìn)行簽名,以驗(yàn)證其完整性。

JWT 官網(wǎng):https://jwt.io/

2、為什么要用 JWT?

JWT 相較于傳統(tǒng)的基于會(huì)話(Session)的認(rèn)證機(jī)制,具有以下優(yōu)勢(shì):

  • 無(wú)需服務(wù)器存儲(chǔ)狀態(tài)傳統(tǒng)的基于會(huì)話的認(rèn)證機(jī)制需要服務(wù)器在會(huì)話中存儲(chǔ)用戶的狀態(tài)信息,包括用戶的登錄狀態(tài)、權(quán)限等。而使用 JWT,服務(wù)器無(wú)需存儲(chǔ)任何會(huì)話狀態(tài)信息,所有的認(rèn)證和授權(quán)信息都包含在 JWT 中,使得系統(tǒng)可以更容易地進(jìn)行水平擴(kuò)展。
  • 域支持由于 JWT 包含了完整的認(rèn)證和授權(quán)信息,因此可以輕松地在多個(gè)域之間進(jìn)行傳遞和使用,實(shí)現(xiàn)跨域授權(quán)。
  • 應(yīng)微服務(wù)架構(gòu)在微服務(wù)架構(gòu)中,很多服務(wù)是獨(dú)立部署并且可以橫向擴(kuò)展的,這就需要保證認(rèn)證和授權(quán)的無(wú)狀態(tài)性。使用 JWT 可以滿足這種需求,每次請(qǐng)求攜帶 JWT 即可實(shí)現(xiàn)認(rèn)證和授權(quán)。
  • 自包含JWT 包含了認(rèn)證和授權(quán)信息,以及其他自定義的聲明,這些信息都被編碼在 JWT 中,在服務(wù)端解碼后使用。JWT 的自包含性減少了對(duì)服務(wù)端資源的依賴,并提供了統(tǒng)一的安全機(jī)制。
  • 擴(kuò)展性JWT 可以被擴(kuò)展和定制,可以按照需求添加自定義的聲明和數(shù)據(jù),靈活性更高。

總結(jié)來(lái)說(shuō),使用 JWT 相較于傳統(tǒng)的基于會(huì)話的認(rèn)證機(jī)制,可以減少服務(wù)器存儲(chǔ)開(kāi)銷和管理復(fù)雜性,實(shí)現(xiàn)跨域支持和水平擴(kuò)展,并且更適應(yīng)無(wú)狀態(tài)和微服務(wù)架構(gòu)。

3、JWT 基本使用

在 Java 開(kāi)發(fā)中,可以借助 JWT 工具類來(lái)方便的操作 JWT,例如 HuTool 框架中的 JWTUtil。

HuTool 介紹:https://doc.hutool.cn/pages/JWTUtil/

使用 HuTool 操作 JWT 的步驟如下:

  • 添加 HuTool 框架依賴
  • 生成 Token
  • 驗(yàn)證和解析 Token

(1)添加 HuTool 框架依賴

在 pom.xml 中添加以下信息:


    cn.hutool
    hutool-all
    5.8.16

(2)生成 Token

Map map = new HashMap() {
private static final long serialVersionUID = 1L;
{
    put("uid", Integer.parseInt("123")); // 用戶ID
    put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 過(guò)期時(shí)間15天
}
};
JWTUtil.createToken(map, "服務(wù)器端秘鑰".getBytes());

(3)驗(yàn)證和解析 Token

驗(yàn)證 Token 的示例代碼如下:

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew";
JWTUtil.verify(token, "123456".getBytes());

解析 Token 的示例代碼如下:

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA";
final JWT jwt = JWTUtil.parseToken(rightToken);
jwt.getHeader(JWTHeader.TYPE);
jwt.getPayload("sub");

(4)代碼實(shí)戰(zhàn)

在登錄成功之后,生成 Token 的示例代碼如下:

// 登錄成功,使用 JWT 生成 Token
Map payload = new HashMap() {
    private static final long serialVersionUID = 1L;
    {
        put("uid", userinfo.getUid());
        put("manager", userinfo.getManager());
        // JWT 過(guò)期時(shí)間為 15 天
        put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);
    }
};
String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());

例如在 Spring Cloud Gateway 網(wǎng)關(guān)中驗(yàn)證 Token 的實(shí)現(xiàn)代碼如下:

import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import com.example.common.AppVariable;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;

/**
 * 登錄過(guò)濾器(登錄判斷)
 */
@Component
public class AuthFilter implements GlobalFilter, Ordered {
    // 排除登錄驗(yàn)證的 URL 地址
    private String[] skipAuthUrls = {"/user/add", "/user/login"};

    @Override
    public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 當(dāng)前請(qǐng)求的 URL
        String url = exchange.getRequest().getURI().getPath();
        for (String item : skipAuthUrls) {
            if (item.equals(url)) {
                // 繼續(xù)往下走
                return chain.filter(exchange);
            }
        }
        ServerHttpResponse response = exchange.getResponse();
        // 登錄判斷
        List tokens =
                exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY);
        if (tokens == null || tokens.size() == 0) {
            // 當(dāng)前未登錄
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        // token 有值
        String token = tokens.get(0);
        // JWT 效驗(yàn) token 是否有效
        boolean result = false;
        try {
            result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());
        } catch (Exception e) {
            result = false;
        }
        if (!result) {
            // 無(wú)效 token
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        } else { // 判斷 token 是否過(guò)期
            final JWT jwt = JWTUtil.parseToken(token);
            // 得到過(guò)期時(shí)間
            Object expObj = jwt.getPayload("exp");
            if (expObj == null) {
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }
            long exp = Long.parseLong(expObj.toString());
            if (System.currentTimeMillis() > exp) {
                // token 過(guò)期
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        // 值越小越早執(zhí)行
        return 1;
    }
}

4、實(shí)現(xiàn)原理分析

JWT 本質(zhì)是將秘鑰存放在服務(wù)器端,并通過(guò)某種加密手段進(jìn)行加密和驗(yàn)證的機(jī)制。加密簽名=某加密算法(header+payload+服務(wù)器端私鑰),因?yàn)榉?wù)端私鑰別人不能獲取,所以 JWT 能保證自身其安全性。

小結(jié)

JWT 相比與傳統(tǒng)的 Session 會(huì)話機(jī)制,具備無(wú)狀態(tài)性(無(wú)需服務(wù)器端存儲(chǔ)會(huì)話信息),并且它更加靈活、更適合微服務(wù)環(huán)境下的登錄和授權(quán)判斷。JWT 是由三部分組成的:Header(頭部)、Payload(數(shù)據(jù)載荷)和 Signature(簽名)。


分享文章:面試官:什么是JWT?為什么要用JWT?
網(wǎng)址分享:http://www.dlmjj.cn/article/dpdpecc.html