jwt原理是什么？

JWT是JSON Web Token的缩写,是一个轻巧的规范,一个开放的行业标准,它定义了一种简洁的、自包含的协议格式,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的消息

一个JWT实际上就是一个字符串,它由三部分组成,头部、荷载与签名

头部描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等

例如{"type":"JWT","alg":"HS256"}

其头部指明了签名算法是HS256算法

HMAC算法(非对称的)

SH256

RSA

荷载就是存放有效信息的地方

定义一个payload:{"sub":"1234567890","name":"John Doe","admin":true}

签证又由三部分组成,base64加密后的header和base64加密后的payload使用,连接组成的字符串

然后通过header中声明的加密方式进行加盐secret组合加密

1、jwt基于json,非常方便解析

2、可以在令牌中自定义丰富的内容,易扩张

3、通过非对称加密算法以及数字签名技术,JWT防止篡改,安全性高

4、资源服务使用JWT可不依赖认证服务即可完成授权

JWT令牌较长,占存储空间比较大

一个公钥对应一个私钥,私钥作为签名给JWT加密,那么这里需要生成与之对应的公钥:

输入密钥库口令: keytool -list -keystore changgoujks

显示的信息为:

密钥库类型: jks

密钥库提供方: SUN

您的密钥库包含 1 个条目

changgou, 2020-7-28, PrivateKeyEntry,

证书指纹 (SHA1): 45:2E:51:8B:84:86:03:8C:AF:99:14:5F:4F:D6:98:33:39:92:33:79

输入命令后就可以得到公钥:

注释:classPathResource:私钥位置;

new KeyStoreKeyFactory:创建私钥工厂,需要私钥库密码和私钥位置两个参数;

keyStoreKeyFactorygetKeyPair(alias,passwordtoCharArray):获取keyPair对象,keyPairgetPrivate()即是获取私钥;

根据私钥获取令牌:JwtHelperencode(JSONtoJSONString(map,new RsaSigner(rsaPrivateKey));

应用鉴权就是当一个用户进入APP时，我们需要判断他所拥有的权利，根据权力来判断他所能进行的一个行为，最为常见的就是购物网站的登录以及购物支付等 *** 作。

>        token需要查库验证token 是否有效，而JWT不用查库或者少查库，直接在服务端进行校验，并且不用查库。因为用户的信息及加密信息在第二部分payload和第三部分签证中已经生成，只要在服务端进行校验就行，并且校验也是JWT自己实现的。 TOKEN 概念： 令牌， 是访问资源的凭证。 

Token的认证流程： 

        1 用户输入用户名和密码，发送给服务器。 

        2 服务器验证用户名和密码，正确的话就返回一个签名过的token（token 可以认为就是个长长的字符串），浏览器客户端拿到这个token。 

        3 后续每次请求中，浏览器会把token作为>