jwt-demo

JWT（JSON Web Token）是一种开放的标准（RFC 7519），定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任，因为它是数字签名的。JWT 可以用于认证、授权等场景，常用于微服务架构中的身份验证和权限管理。 在 Java 开发环境中，处理 JWT 的库有很多，如 `jjwt`。本项目 "jwt-demo" 很可能是基于 Java 的 JWT 示例代码，帮助开发者理解如何在实际项目中使用 JWT。 1. **JWT 结构**：JWT 由三部分组成，用点（.）分隔： - 第一部分是 Header（头部），通常包含两个信息：JWT 类型（typ）和算法（alg）。例如，`{"typ": "JWT", "alg": "HS256"}` 表示这是一个 JWT，并且使用了 HS256 算法。 - 第二部分是 Payload（负载），存储实际的数据，如用户信息、过期时间等。但需要注意，JWT 是存储在客户端的，所以不应包含敏感信息。 - 第三部分是 Signature（签名），通过 Header 和 Payload 以及一个密钥（secret key）进行签名，用于验证数据的完整性和来源。 2. **JWT 生成**：使用 jjwt 库，可以创建一个 JWT，包括设置 Header、Payload 和签名。例如： ```java String secretKey = "mysecretkey"; JwtBuilder builder = Jwts.builder() .setHeaderParam("typ", "JWT") .setSubject("John Doe") // 设置主题（Payload） .signWith(SignatureAlgorithm.HS256, secretKey); String token = builder.compact(); ``` 3. **JWT 验证**：在接收 JWT 后，需要验证其有效性。这包括检查签名是否正确，以及验证 Payload 中的信息，如过期时间（exp）等。使用 jjwt 库，可以这样验证： ```java Claims claims = Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(token) .getBody(); String subject = claims.getSubject(); // 获取主题 ``` 4. **JWT 的优点**： - 自包含：所有需要的信息都包含在 token 中，无需查询数据库。 - 安全：可以使用加密算法确保数据不被篡改。 - 无状态：服务器无需存储会话信息，减轻服务器负担。 5. **JWT 的应用场景**： - 用户登录认证：用户登录成功后，服务器返回 JWT，客户端保存并附在后续请求的 Authorization 头中。 - 权限控制：JWT 可以携带角色或权限信息，实现细粒度的权限控制。 6. **JWT 的局限性**： - 无法撤销：一旦签发，除非过期，否则无法撤销，可能造成安全问题。 - 令牌大小：如果负载信息过多，JWT 会变得很大，不适合在 URL 中传递。 在 "jwt-demo-master" 这个项目的源码中，你可能会看到 JWT 的生成、验证、刷新和过期处理等相关逻辑，以及如何将 JWT 应用于实际的 RESTful API 设计中。通过学习这个项目，你可以深入理解 JWT 的工作原理以及在 Java 环境下的实践方法。