jwt简述以及简易版手写jwt
JWT(json web token)
https://jwt.io/ 可对jwt生成的token进行解码
token:令牌 临时使用的钥匙 有一个有效期的
特性: 临时且唯一
token和sessionId 思想是一样的,
session存放在服务器jvm内存中
token存放在Redis中
组成部分
三个部分,以点隔开
第一部分 Header 描述加密算法
第二部分 Payload 存放的数据,需要注意敏感数据,不要将敏感数据直接放入其中,最好进行加密
第三部分 签名值 签名值 其实就是将payload的内容(base86之前的数据)进行加密后的内容,然后在验证时会进行解码与payload进行对比,判断数据有没有被篡改
验证签名
数据是明文的,防止抓包篡改数据 采用md5加密,处理过程就是将payload的内容在进行md5加密在与签名进行对比
手写jwt
代码语言:javascript
复制
public class MyJwtTest {
public static void main(String[] args) {
/**
* 自定义header和payload对象
*/
JSONObject header = new JSONObject();
header.put("alg", "HS256");
JSONObject payload = new JSONObject();
payload.put("msg", "sucess");
/**
* 对header和payload进行base64编码
*/
String HeaderEncode = Base64.getEncoder().encodeToString(header.toJSONString().getBytes());
String payloadEncode = Base64.getEncoder().encodeToString(payload.toJSONString().getBytes());
/**
* 对payload的内容(base64编码之前的内容进行md5加密)
*/
String encode = MD5Util.encode(payload.toJSONString());
String jwt=HeaderEncode+"."+payloadEncode+"."+encode;
System.out.println(jwt);
}
}在jwt网站可以验证生成的jwt
这里已经验证成功,这里的盐值要填写你设置的盐值。
手写验证jwt内容
其实就是将payload的内容base86解码之后的内容在进行md5加盐值加密,然后再与签名进行对比
代码语言:javascript
复制
public static boolean verifyJwt(String jwt){
/**
* jwt的三部分分开
*/
String[] split = jwt.split("\\.");
String s="";
try {
/**
* 将 payload进行base86解码
*/
s = new String(Base64.getDecoder().decode(split[1].getBytes()), "UTF-8");
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
//将解码后的payload进行md5加密 这边MD5是已经写好的工具类
String encode = MD5Util.encode(s);
if(encode.equals(split[2])){
return true;
}
return false;
}