1，什么是JWT

JWT是JSON Web Token是简称，是一个行业开发标准（RFC 7519）定义了一种简介的 自包含的协议格式，用于在通信双方传递JSON对象，传递的信息经过数字签名可以被验证和信任。它可以使用HMAC算法或使用RSA的公钥/私钥对来签名，防止被篡改。
官网：https://jwt.io/
行业标准：https://www.rfc-editor.org/rfc/rfc7519

2，JWT优点

• jwt基于json，非常方便解析

• 可以在内容中自定义丰富内容，易于扩展

• 通过非对称加密算法及数字签名技术，防止篡改，安全性高

• 资源服务使用JWT可不依赖认证服务即可完成授权

3，JWT缺点

JWT令牌较长，占用存储空间比较大

4，JWT结构

jwt令牌由三部分组成，每部分中间使用（.）分隔，比如aaa.www.zzz

Header（头部 上例中aaa）

一个头部包括令牌的类型即jwt使用的哈希算法（如HMAC SHA256或RSA）

解析后内容如下

{
"alg": "HS256",
"typ": "JWT"
}

将上面内容使用Base64Url编码，即可得到字符串jwt的的一部分。

Payload（负载）

内容也是一个json对象，他是存放有效信息的地方，既可以存放已存在的字段（如iss签发者，exp过期时间，sub面向用户）等，也可以存放自定义字段。

此部分不建议存放敏感信息，因为此部分可以解码还原原始内容。

{
"sub": "1234567890",
"name": "456",
"admin": true
}

Signature（签名）

此部分使用Base64Url将前两部分进行编码，编码后使用（.）连接成字符串，最后在Header中声明签名算法进行签名。

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

4，在Spring boot中集成JWT

引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

简单实现

@GetMapping("/order/getToken")
public String getToken() {
    // 指定token过期时间为10秒
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.SECOND, 10);

    String token = JWT.create()
            // Header
            .withHeader(new HashMap<>())
            // Payload
            .withClaim("userId", 21)
            .withClaim("userName", "baobao")
            // 过期时间
            .withExpiresAt(calendar.getTime())
            // 签名用的secret
            .sign(Algorithm.HMAC256("!34ADAS"));

    return token;
}

访问接口

验证