【Java系列】Hutool-JWT

一、什么是 JWT
        Json web token (JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC 7519)。 该 token 被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。 JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该 token 也可直接被用于认证，也可被加密。
天津天迅达科技有限公司
如果您需要相关服务，可以找天津天迅达科技有限公司，我们的业务有Web开发、iOS APP、Android APP、微信开发、HTML5开发等，天迅达——您身边的App个性化定制专家！
二、JWT 长什么样？
        JWT 是由三段信息构成的，将这三段信息文本用 . 链接在一起就构成了JWT 字符串。
三、JWT 的构成
        第一部分我们称它为头部（header)，第二部分我们称其为载荷（payload，类似于飞机上承载的物品)，第三部分是签证（signature)。
        3.1 header
        JWT 的头部承载两部分信息：声明类型，这里是 JWT，声明加密的算法 通常直接使用 HMAC SHA256，完整的头部3.2 playload，载荷就是存放有效信息的地方。 这个名字像是特指飞机上承载的货品，这些有效信息包含三个部分：标准中注册的声明，公共的声明，私有的声明
        标准中注册的声明 (建议但不强制使用)：iss: JWT 签发者，sub: JWT 所面向的用户，aud: 接收 JWT 的一方，exp: JWT 的过期时间，这个过期时间必须要大于签发时间，nbf: 定义在什么时间之前，该 JWT 都是不可用的，iat: JWT 的签发时间，jti: JWT 的唯一身份标识，主要用来作为一次性 token,从而回避重放攻击。
        公共的声明：公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息。 但不建议添加敏感信息，因为该部分在客户端可解密。
        私有的声明：私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为 base64 是对称解密的，意味着该部分信息可以归类为明文信息。然后将其进行 base64 加密，得到 JWT 的第二部分。
3.2signature
        JWT 的第三部分是一个签证信息，这个签证信息由三部分组成：header (base64 后的)，payload (base64 后的)，secret，这个部分需要 base64 加密后的 header 和 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符串，然后通过 header 中声明的加密方式进行加盐 secret 组合加密，然后就构成了 JWT 的第三部分。将这三部分用 . 连接成一个完整的字符串，构成了最终的 JWT四、如何应用一般是在请求头里加入 Authorization，并加上 Bearer 标注服务端会验证 token，如果验证通过就会返回相应的资源。
五、小结
        使用 JWT 的优势：因为 json 的通用性，所以 JWT 是可以进行跨语言支持的，像 JAVA, JavaScript, NodeJS, Go 等很多语言都可以使用。因为有了 payload 部分，所以 JWT 可以在自身存储一些其他业务逻辑所必要的非敏感信息。便于传输，JWT 的构成非常简单，字节占用很小，所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展。
以上所有设计图和部分文字均来自网络，如有侵权，请call我删除，感谢~
天津天迅达科技有限公司经过多年来对APP、小程序、以及网站建设的探索，已经帮助每一个客户快速开发出属于自己的APP、小程序、网站，是万千企业之选。
标签：天迅达科技 天津APP开发 天津网站建设 网站建设