Spring Boot 集成JWT实现前后端认证

不念不忘少年蓝@ 2023-09-24 22:46 93阅读 0赞

## 前言 ##

小程序、H5应用的快速发展，使得前后端分离已经成为了趋势，然而系统认证却是系统的重要一部分，本文将讲解JWT如何实现前后端认证。

## JWT简介 ##

JWT(全称：Json Web Token)是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。

## 为什么要用JWT ##

## 2.1传统session认证存在那些弊端？ ##

*  每个用户的登录信息都会保存到服务器的Session中，随着用户的增多，服务器开销会明显增大。
 *  Session的信息存放在服务器的内存中，对于分布式应用会导致失效，虽然可以将session的信息统一存放在Redis的缓存中，但这样可能增加了复杂性。
 *  由于Session认证是基于Cookie实现，而针对于非浏览器端和手机的移动端都不适用。
 *  前后端分离系统，由于前后端存在跨域，而Cookie信息无法跨越，所以采用Session认证也是无法继续宁跨域认证。

### 2.2 JWT认证的优势 ###

*  简洁：JWT Token数据量小，传输速度也很快。
 *  跨语言： JWT Token是以JSON加密形式保存在客户端的，所以JWT是跨语言的，任何web形式都支持。 跨平台：不依赖于cookie和session，无需将session信息存放在服务端，非常适合于分布式应用，应用于扩展。

## JWT的数据结构 ##

![format_png][]

### Header ###

JWT第一部分是头部分，它是一个描述JWT元数据的Json对象，通常如下所示。

{
        "alg": "HS256",
        "typ": "JWT"
    }
    复制代码

alg属性表示签名使用的算法，默认为HMAC SHA256（写为HS256），typ属性表示令牌的类型，JWT令牌统一写为JWT。

### Payload ###

JWT第二部分是Payload，也是一个Json对象，除了包含需要传递的数据，还有七个默认的字段供选择。 iss：发行人 exp：到期时间 sub：主题 aud：用户 nbf：在此之前不可用 iat：发布时间 jti：JWT ID用于标识该JWT

{
        //默认字段
        "sub":"主题123",
        //自定义字段
        "name":"java",
        "isAdmin":

[format_png]: https://img-blog.csdnimg.cn/img_convert/6582d9e4ec84bb1cb4bb05105b5147e0.webp?x-oss-process=image/format,png