什么是JWT?

目录

一、jwt出现的原因及工作原理

1. jwt是什么   JSON Web Token (JWT)，它是目前最流行的跨域身份验证解决方案

2. 为什么使用jwt   jwt的精髓在于：“去中心化”，数据是保存在客户端的。

二、jwt与vuex配合在SPA项目中的应用

jwt实现

---

一、jwt出现的原因及工作原理

session的存储机制

1. jwt是什么
   JSON Web Token (JWT)，它是目前最流行的跨域身份验证解决方案

2. 为什么使用jwt
   jwt的精髓在于：“去中心化”，数据是保存在客户端的。

 

3、jwt运行机制/原理    ******
1、第一次发送登录请求，必然会携带用户信息uname和pwd

2、通过用户信息uname和pwd登录成功，会将用户信息通过jwt工具类生成一个加密的字符串

3、加密字符串 会以response header 响应头的形式 相应到前端

4、前端服务器会有响应拦截器拦截，截取到响应头承载的jwt串，又会放到Vuex中

5、当第二次请求，前端服务器中有一个请求拦截器，会将Vuex中的jwt串放入 request header 请求当中

6、当请求通过跨域的方式到达后台服务器，后台服务器中又有一个过滤器，会截取到 request header 请求当中的jwt串

7、jwt工具类会对jwt串进行解析，解析成用户信息，最终进行校验

 

二、jwt与vuex配合在SPA项目中的应用

jwt实现

现在我们没使用到jwt的时候，我们的项目还能够正常访问到：

 【JwtFilter】

package com.zking.vue.util;
 
import java.io.IOException;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
import io.jsonwebtoken.Claims;
 
/**
 * * JWT验证过滤器，配置顺序 ：CorsFilte-->JwtFilter-->struts2中央控制器
 * 
 * @author Administrator
 *
 */
public class JwtFilter implements Filter {
 
	// 排除的URL，一般为登陆的URL(请改成自己登陆的URL)
	private static String EXCLUDE = "^/vue/userAction_login\\.action?.*$";
 
	private static Pattern PATTERN = Pattern.compile(EXCLUDE);
 
	private boolean OFF = true;// true关闭jwt令牌验证功能
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
	}
 
	@Override
	public void destroy() {
	}
 
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		String path = req.getServletPath();
		if (OFF || isExcludeUrl(path)) {// 登陆直接放行
			chain.doFilter(request, response);
			return;
		}
 
		// 从客户端请求头中获得令牌并验证
		String jwt = req.getHeader(JwtUtils.JWT_HEADER_KEY);
		Claims claims = this.validateJwtToken(jwt);
		if (null == claims) {
			// resp.setCharacterEncoding("UTF-8");
			resp.sendError(403, "JWT令牌已过期或已失效");
			return;
		} else {
			String newJwt = JwtUtils.copyJwt(jwt, JwtUtils.JWT_WEB_TTL);
			resp.setHeader(JwtUtils.JWT_HEADER_KEY, newJwt);
			chain.doFilter(request, response);
		}
	}
 
	/**
	 * 验证jwt令牌，验证通过返回声明(包括公有和私有)，返回null则表示验证失败
	 */
	private Claims validateJwtToken(String jwt) {
		Claims claims = null;
		try {
			if (null != jwt) {
				claims = JwtUtils.parseJwt(jwt);
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		return claims;
	}
 
	/**
	 * 是否为排除的URL
	 * 
	 * @param path
	 * @return
	 */
	private boolean isExcludeUrl(String path) {
		Matcher matcher = PATTERN.matcher(path);
		return matcher.matches();
	}
 
	// public static void main(String[] args) {
	// String path = "/sys/userAction_doLogin.action?username=zs&password=123";
	// Matcher matcher = PATTERN.matcher(path);
	// boolean b = matcher.matches();
	// System.out.println(b);
	// }
 
}

运行：

接下把jwt的验证 开启，即在JwtFilter类中：

 再去重启，刷新项目：

数据访问不到了：

 

  F12检查：

原因是还没有开始编写jwt。（但是我们的登录和退出功能仍然可以正常运行）。