### Java中的JWT（JSON Web Tokens）是什么？ JWT（JSON Web Tokens）是一种基于JSON的开放标准（RFC 7519），用于在网络应用间安全地传输声明。JWT由三个部分组成：头部（Header）、负载（Payload）和签名（Signature），每个部分之间用点（.）分隔。这种结构使得JWT可以在不同系统之间以一种紧凑且自包含的方式安全地传输信息。 * **头部（Header）**：包含了JWT的元数据及签名算法的信息，通常由两部分组成：令牌类型（typ）和使用的加密算法（alg）。 * **负载（Payload）**：包含了用户的声明（claims），比如用户的ID、角色等信息，以及其他需要传递的数据。这些声明可以是预定义的（如iss、exp、sub等），也可以是自定义的。 * **签名（Signature）**：使用私钥对头部和负载进行签名，确保数据在传输过程中没有被篡改。签名的目的是验证消息的完整性以及发送者的身份。 ### JWT如何用于身份验证？ JWT在Java中常用于身份验证和授权，特别是在分布式系统和微服务架构中。以下是JWT用于身份验证的主要步骤： 1. **用户登录**： - 用户向服务器提供用户名和密码。 - 服务器验证用户名和密码。 - 如果验证成功，服务器生成一个JWT，其中包含了用户的身份信息（如用户ID、用户名等）和过期时间等信息。 - 服务器将JWT返回给客户端。 2. **客户端携带JWT进行请求**： - 客户端在后续的请求中，将JWT作为HTTP请求头（通常是Authorization头，格式为Bearer ）发送给服务器。 3. **服务器验证JWT**： - 服务器从HTTP请求头中提取JWT。 - 服务器验证JWT的签名，以确保JWT是由可信的服务器签发且未被篡改。 - 服务器检查JWT中的过期时间，确保JWT未过期。 - 如果JWT验证成功，服务器根据JWT中的信息（如用户ID）处理请求。 4. **使用JWT进行权限控制**： - 服务器可以根据JWT中的用户角色或权限信息，控制用户对资源的访问。 ### 示例代码 在Java中，可以使用第三方库（如jjwt）来方便地生成和验证JWT。以下是一个简单的示例： ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "secretKey"; // 生成JWT public static String generateJwt(String subject) { return Jwts.builder() .setSubject(subject) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 设置过期时间为10小时 .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } // 验证JWT public static boolean validateJwt(String jwt) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(jwt); return true; } catch (Exception e) { return false; } } } ``` ### 结论 JWT作为一种轻量级的身份验证机制，在Java中得到了广泛应用。它允许服务器在不保存会话状态的情况下，通过JWT来验证用户的身份和权限，从而提高了系统的可扩展性和安全性。