SpringBoot整合JWT的实现示例

第SpringBoot整合JWT的实现示例目录一.JWT简介二.Java实现JWT（SpringBoot方式整合）JWT总结

一.JWT简介

1.什么是JWT？

JWT(JSONWebToken)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。

它将用户信息加密到token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证；应用场景如用户登录。JWT详细讲解请见github：/jwtk/jjwt

2.为什么使用JWT？

随着技术的发展，分布式web应用的普及，通过session管理用户登录状态成本越来越高，因此慢慢发展成为token的方式做登录身份校验，然后通过token去取redis中的缓存的用户信息，随着之后jwt的出现，校验方式更加简单便捷化，无需通过redis缓存，而是直接根据token取出保存的用户信息，以及对token可用性校验，单点登录更为简单。

3.传统Cookie+Session与JWT对比

①在传统的用户登录认证中，因为http是无状态的，所以都是采用session方式。用户登录成功，服务端会保证一个session，当然会给客户端一个sessionId，客户端会把sessionId保存在cookie中，每次请求都会携带这个sessionId。

cookie+session这种模式通常是保存在内存中，而且服务从单服务到多服务会面临的session共享问题，随着用户量的增多，开销就会越大。而JWT不是这样的，只需要服务端生成token，客户端保存这个token，每次请求携带这个token，服务端认证解析就可。

②JWT方式校验方式更加简单便捷化，无需通过redis缓存，而是直接根据token取出保存的用户信息，以及对token可用性校验，单点登录，验证token更为简单。

4.JWT的组成（3部分）

第一部分为头部（header)，第二部分我们称其为载荷（payload)，第三部分是签证（signature)。*/

//这里模拟通过用户名和密码，从数据库查询userId

//这里把userId转为String类型，实际开发中如果subject需要存userId，则可以JwtConfig的createToken方法的参数设置为Long类型

StringuserId=5+"";

Stringtoken=jwtConfig.createToken(userId);

if(!StringUtils.isEmpty(token)){

json.put("token",token);

returnResultTool.success(json);

*需要Token验证的接口

@PostMapping("/info")

publicResultBOinfo(){

returnResultTool.success("info");

*根据请求头的token获取userId

*@paramrequest

*@return

@GetMapping("/getUserInfo")

publicResultBOgetUserInfo(HttpServletRequestrequest){

StringusernameFromToken=jwtConfig.getUsernameFromToken(request.getHeader("token"));

returnResultTool.success(usernameFromToken);

为什么项目重启后，带着之前的token还可以访问到需要info等需要token验证的接口？

答案：只要不过期，会一直存在，类似于redis

}

用PostMan测试工具测试一下，访问登录接口，当对账号密码验证通过时，则返回一个token给客户端：

当直接去访问info接口时，会返回token为空的自定义异常：

当在请求头加上正确token时，则拦截器验证通过，可以正常访问到接口：

当在请求头加入一个错误token，则会返回token失效的自定义异常：

接下来测试一下获取用户信息，因为这里存的subject为userId，所以直接返回上面写死的假数据5：

JWT总结

1.基于JSON，所以JWT是可以进行跨语言支持的，像JAVA，JavaScript，Node.JS，PHP等很多语言都可以使用。

2.payloa