摘要：本文深入探討了JWT令牌在實現會話跟蹤和登錄認證方面的應用，詳細介紹了JWT令牌的概念、組成、生成與校驗方法，以及在實際案例中如何通過JWT令牌進行會話跟蹤和登錄認證的具體實現步驟，為系統的安全認證機制提供了全面且深入的技術指導。

關鍵詞：JWT令牌；會話跟蹤；登錄認證；生成與校驗
參考資料：黑馬程序員day12 完整項目請從第10天開始看

一、引言

在基于令牌技術實現會話追蹤的背景下，本文著重介紹功能強大的JWT令牌，它作為用戶身份標識，以字符串形式存在。接下來將詳細闡述JWT令牌的相關知識及在項目中的具體應用。

二、JWT令牌

2.1 介紹

JWT，全稱JSON Web Token，官網為https://jwt.io/ 。它定義了一種簡潔且自包含的格式，用于在通信雙方以json數據格式安全傳輸信息，憑借數字簽名確保信息可靠。

• 簡潔性：JWT表現為簡單字符串，可在請求參數或請求頭中直接傳遞。
• 自包含性：雖看似隨機字符串，但可按需求在其中存儲自定義數據，如用戶相關信息。本質上，JWT是對原始json數據格式進行安全封裝，實現通信雙方的安全信息傳輸。

JWT令牌由三部分組成，各部分間以英文點號分隔：

• Header（頭）：記錄令牌類型、簽名算法等信息，例如：{“alg”:“HS256”,“type”:“JWT”} 。
• Payload（有效載荷）：攜帶自定義信息、默認信息等，例如：{“id”:“1”,“username”:“Tom”} 。
• Signature（簽名）：用于防止Token被篡改，確保安全性。它通過將header、payload與指定秘鑰結合，運用指定簽名算法計算得出。簽名機制使得JWT令牌極為安全可靠，一旦令牌中任何部分被篡改，校驗時便會失敗。

生成JWT令牌時，會對JSON格式數據進行base64編碼。Base64是基于64個可打印字符表示二進制數據的編碼方式，使用的字符包括A - Z、a - z、0 - 9、加號、斜杠，共64個字符，另加等號作為補位符號。需注意，Base64是編碼方式，并非加密方式。

JWT令牌典型應用場景為登錄認證，流程如下：

1. 瀏覽器發起登錄請求，訪問登錄接口，若登錄成功，生成JWT令牌并返回給前端。
2. 前端接收JWT令牌后存儲，后續每次請求將其攜帶至服務端。
3. 服務端統一攔截請求，判斷是否攜帶令牌。若無令牌，拒絕訪問；若有令牌，校驗其有效性，有效則放行處理請求。

2.2 生成和校驗

為在Java代碼中生成和校驗JWT令牌，首先需引入JWT依賴：

<!-- JWT依賴-->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

引入依賴后，可借助工具類Jwts提供的API完成操作。

• 生成JWT代碼實現：

@Test
public void genJwt(){Map<String,Object> claims = new HashMap<>();claims.put("id",1);claims.put("username","Tom");String jwt = Jwts.builder().setClaims(claims) //自定義內容(載荷)          .signWith(SignatureAlgorithm.HS256, "itheima") //簽名算法        .setExpiration(new Date(System.currentTimeMillis() + 24*3600*1000)) //有效期   .compact();System.out.println(jwt);
}

運行上述測試方法，輸出的結果即為生成的JWT令牌。可將令牌復制至JWT官網，粘貼于Encoded位置，自動解析令牌。解析后，第一部分顯示所用簽名算法為HS256；第二部分為自定義數據及設置的過期時間（exp），因前兩部分采用base64編碼，可直接解碼；第三部分由簽名算法計算得出，無法直接解析。https://jwt.io/#debugger-io

校驗JWT令牌（解析生成的令牌）：

@Test
public void parseJwt(){Claims claims = Jwts.parser().setSigningKey("itheima")//指定簽名密鑰（必須保證和生成令牌時使用相同的簽名密鑰）  .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjcyNzI5NzMwfQ.fHi0Ub8npbyt71UqLXDdLyipptLgxBUg_mSuGJtXtBk").getBody();System.out.println(claims);
}

運行該測試方法，若解析過程未報錯，說明解析成功，可看到解析出的id和過期時間。若篡改令牌（如修改header中的數字），解析時會報錯，表明JWT令牌被篡改。此外，修改生成令牌時設置的過期時間，過期后再解析也會報錯，說明JWT令牌過期后失效。

使用JWT令牌時需注意：

• JWT校驗所用簽名秘鑰必須與生成JWT令牌時的秘鑰配套。
• 若JWT令牌解析校驗報錯，則表明令牌被篡改或已失效，即令牌非法。

2.3 登錄下發令牌

完成JWT令牌生成和校驗的基礎學習后，著手在案例中運用JWT令牌技術跟蹤會話，主要包含生成令牌和校驗令牌兩步。首先實現登錄成功后生成JWT令牌并返回給前端。

查看登錄接口文檔的響應數據部分可知，登錄成功后系統下發JWT令牌，后續請求需在請求頭header中以“token”為名稱，攜帶登錄時下發的JWT令牌。若檢測到用戶未登錄，返回固定錯誤信息。

實現步驟：

• 引入JWT工具類：在項目工程下創建com.itheima.utils包，并將提供的JWT工具類復制到該包下。
• 登錄完成后，調用工具類生成JWT令牌并返回

JWT工具類

public class JwtUtils {private static String signKey = "itheima";//簽名密鑰private static Long expire = 43200000L; //有效時間/*** 生成JWT令牌* @param claims JWT第二部分負載 payload 中存儲的內容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder().addClaims(claims)//自定義信息（有效載荷）.signWith(SignatureAlgorithm.HS256, signKey)//簽名算法（頭部）.setExpiration(new Date(System.currentTimeMillis() + expire))//過期時間.compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分負載 payload 中存儲的內容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey)//指定簽名密鑰.parseClaimsJws(jwt)//指定令牌Token.getBody();return claims;}
}

登錄成功，生成JWT令牌并返回

@RestController
@Slf4j
public class LoginController {//依賴業務層對象@Autowiredprivate EmpService empService;@PostMapping("/login")public Result login(@RequestBody Emp emp) {//調用業務層：登錄功能Emp loginEmp = empService.login(emp);//判斷：登錄用戶是否存在if(loginEmp !=null ){//自定義信息Map<String , Object> claims = new HashMap<>();claims.put("id", loginEmp.getId());claims.put("username",loginEmp.getUsername());claims.put("name",loginEmp.getName());//使用JWT工具類，生成身份令牌String token = JwtUtils.generateJwt(claims);return Result.success(token);}return Result.error("用戶名或密碼錯誤");}
}

簽名算法大致分類

對稱加密算法

• HS256（HMAC with SHA - 256）：使用 HMAC（Hash - based Message Authentication Code）算法結合 SHA - 256 哈希函數。在使用 HS256 算法時，服務器端和客戶端共享一個相同的密鑰（secret）。服務器使用該密鑰和 HS256 算法對頭部和載荷進行簽名生成
  JWT。客戶端收到 JWT 后，使用相同的密鑰和算法重新計算簽名，并與 JWT 中的簽名進行對比，若一致則說明 JWT 未被篡改。
• HS384（HMAC with SHA - 384）：類似于 HS256，只是使用了 SHA - 384 哈希函數，提供更高的安全性，但計算成本也相對較高。
• HS512（HMAC with SHA - 512）：使用 SHA - 512 哈希函數，安全性更高，但計算開銷也更大，適用于對安全性要求極高的場景。

非對稱加密算法

• RS256（RSA Signature with SHA - 256）：基于 RSA（Rivest - Shamir - Adleman）非對稱加密算法和 SHA - 256 哈希函數。服務器使用私鑰對頭部和載荷進行簽名生成 JWT，客戶端使用對應的公鑰來驗證簽名。這種方式無需在客戶端和服務器之間共享密鑰，提高了安全性，常用于分布式系統或對安全性要求較高的場景。
• RS384（RSA Signature with SHA - 384）：使用 RSA 算法結合 SHA - 384 哈希函數。
• RS512（RSA Signature with SHA - 512）：使用 RSA 算法結合 SHA - 512 哈希函數。

橢圓曲線算法

• ES256（Elliptic Curve Signature with SHA - 256）：基于橢圓曲線密碼學（ECC）和 SHA - 256 哈希函數。與 RSA 相比，橢圓曲線算法在相同的安全強度下，密鑰長度更短，計算速度更快，適用于對性能要求較高且對安全性有一定要求的移動設備或資源受限的環境。
• ES384（Elliptic Curve Signature with SHA - 384）：使用橢圓曲線算法結合 SHA - 384 哈希函數。
• ES512（Elliptic Curve Signature with SHA - 512）：使用橢圓曲線算法結合 SHA - 512 哈希函數。