一、JWT 基础概念
JWT(JSON Web Token)是一种基于 Token 的登录认证技术,流程如下:
- 用户登录成功后,后端生成加密的 Token,返回给客户端。
- 客户端后续请求时携带 Token,后端验证 Token 合法性,判断用户是否已登录。
JWT 的三部分组成(必考)
表格
| 部分 | 作用 | 说明 |
|---|---|---|
| Header(头部) | 声明算法和 Token 类型 | 固定结构{"type":"JWT","alg":"HS256"} |
| Payload(载荷) | 存储自定义信息 | 如userId、过期时间等;注意:可被解密,不能存敏感信息(如密码) |
| Signature(签证) | 安全校验核心 | 由 Header + Payload + 密钥加密生成,后端通过它验证 Token 是否被篡改 |
JWT 验证的核心,就是校验Signature部分是否合法。
二、createToken方法解析(生成 Token)
java
运行
public static String createToken(Long userId){ Map<String,Object> claims = new HashMap<>(); claims.put("userId",userId); JwtBuilder jwtBuilder = Jwts.builder() .signWith(SignatureAlgorithm.HS256, jwtToken) // 签发算法:HS256,密钥为jwtToken .setClaims(claims) // 存入自定义数据(userId) .setIssuedAt(new Date()) // 设置签发时间 .setExpiration(new Date(System.currentTimeMillis() + 24 * 60 * 60 * 1000)); // 过期时间:1天 String token = jwtBuilder.compact(); return token; }逐行解析
claims载荷数据:创建HashMap,存入自定义信息userId,后续可在 Token 中取出。signWith签名算法:使用HS256对称加密算法,密钥为全局变量jwtToken(需提前定义)。setClaims(claims):将userId存入 JWT 的Payload部分。setIssuedAt:记录 Token 的签发时间。setExpiration:设置过期时间为当前时间 + 1 天,超时后 Token 失效。compact():将 Header、Payload、Signature 三部分拼接,生成最终的 Token 字符串。
三、checkToken方法解析(校验 Token)
java
运行
public static Map<String, Object> checkToken(String token){ try { Jwt parse = Jwts.parser().setSigningKey(jwtToken).parse(token); return (Map<String, Object>) parse.getBody(); }catch (Exception e){ e.printStackTrace(); } return null; }逐行解析
Jwts.parser().setSigningKey(jwtToken).parse(token): 使用和生成 Token 相同的密钥jwtToken解析 Token,校验 Signature 签名是否合法。- 若 Token 被篡改、过期或密钥不匹配,会直接抛出异常,进入
catch块。
- 若 Token 被篡改、过期或密钥不匹配,会直接抛出异常,进入
parse.getBody():校验通过后,取出Payload中的数据(如userId),返回给调用方。- 异常处理:解析失败时打印错误栈,返回
null,表示 Token 无效。
)
