JWT 在目前的項目開發(fā)中使用到的頻率是非常高的，因此它也是面試常問的一類問題，所以今天我們就來看看“項目中 JWT 的執(zhí)行流程？”這個問題。

1.什么是 JWT？

JWT（JSON Web Token） 是一種開放標準（RFC 7519），用于在網(wǎng)絡應用間安全傳輸信息，通常用于身份驗證和信息交換。其核心特點是通過緊湊且自包含的 JSON 對象傳遞數(shù)據(jù)，無需服務端存儲會話狀態(tài)。

2.JWT組成

JWT 是由三部分組成的：

• Header（頭部）：通常由以下兩部分組成：

• Token 類型：通常是 JWT。
• 加密算法：例如 HS256（HMAC SHA-256）、RS256（RSA SHA-256）等。

• Payload（載荷） ：JWT 的主體部分，通常為以下三類：
• 標準聲明（Registered Claims）：預定義的字段，如 iss（發(fā)行者）、exp （過期時間）、sub（主題）等。
• 公共聲明（Public Claims）：用戶自定義的字段，例如用戶 ID、用戶名、角色等。
• 私有聲明（Private Claims）：在特定場景下使用的字段，通常用于內部系統(tǒng)。
• Signature（簽名）：用于驗證 Token 的完整性和防止篡改。

它們之間用點“.”分隔，形成一個字符串（Token）。

3.執(zhí)行流程

JWT 執(zhí)行流程如下：

在 Spring Boot 項目中，JWT 的執(zhí)行流程主要分為以下步驟：

1. 用戶登錄與令牌生成

• 用戶通過用戶名和密碼發(fā)起登錄請求。
• 服務端驗證用戶憑證，若驗證成功，則使用 JWT 工具類生成令牌：

• Header：指定算法（如 HS256）和令牌類型（JWT）。
• Payload：包含用戶信息（如用戶 ID、角色）和聲明（如過期時間 exp）。
• Signature：使用密鑰對 Header 和 Payload 進行簽名，確保令牌不可篡改。

2. 客戶端存儲令牌

• 服務端將生成的 JWT 返回給客戶端（通常通過響應體或 Header）。
• 客戶端（如瀏覽器或移動端）將令牌存儲在本地（如 LocalStorage 或 Cookie）。

3. 請求攜帶令牌

• 客戶端在后續(xù)請求的 Authorization Header 中以 Bearer格式攜帶 JWT。

4. 服務端驗證令牌

• 攔截器/過濾器：Spring Boot 通過自定義攔截器或 Spring Security 過濾器鏈攔截請求，提取并驗證 JWT：

• 簽名驗證：使用密鑰校驗簽名是否有效。
• 過期檢查：檢查 exp 字段是否過期。
• 用戶信息提?。航馕?Payload 中的用戶信息（如用戶 ID），用于后續(xù)權限控制。

5. 授權與響應

• 若驗證通過，服務端處理請求并返回數(shù)據(jù)。
• 若驗證失?。ㄈ缌钆七^期或簽名錯誤），返回 401 狀態(tài)碼或自定義錯誤信息。

4.JWT核心實現(xiàn)代碼

// 生成 JWT（示例）|SECRET_KEY 為服務保存的密鑰。
public String generateToken(UserDetails user) {
return Jwts.builder()
.setSubject(user.getUsername())
.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}

// 驗證 JWT（示例）
public boolean validateToken(String token) {
    try {
        Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
        return true;
    } catch (Exception e) {
        return false;
    }
}

注意事項

• 密鑰安全：簽名密鑰需妥善保管，并定期修改，避免泄露。
• 無狀態(tài)性：JWT 無需服務端存儲會話信息，適合分布式系統(tǒng)。

5.JWT 優(yōu)點分析

JWT 相較于傳統(tǒng)的基于會話（Session）的認證機制，具有以下優(yōu)勢：

1. 無需服務器存儲狀態(tài)：傳統(tǒng)的基于會話的認證機制需要服務器在會話中存儲用戶的狀態(tài)信息，包括用戶的登錄狀態(tài)、權限等。而使用 JWT，服務器無需存儲任何會話狀態(tài)信息，所有的認證和授權信息都包含在 JWT 中，使得系統(tǒng)可以更容易地進行水平擴展。
2. 跨域支持：由于 JWT 包含了完整的認證和授權信息，因此可以輕松地在多個域之間進行傳遞和使用，實現(xiàn)跨域授權。
3. 適應微服務架構：在微服務架構中，很多服務是獨立部署并且可以橫向擴展的，這就需要保證認證和授權的無狀態(tài)性。使用 JWT 可以滿足這種需求，每次請求攜帶 JWT 即可實現(xiàn)認證和授權。
4. 自包含：JWT 包含了認證和授權信息，以及其他自定義的聲明，這些信息都被編碼在 JWT 中，在服務端解碼后使用。JWT 的自包含性減少了對服務端資源的依賴，并提供了統(tǒng)一的安全機制。
5. 擴展性：JWT 可以被擴展和定制，可以按照需求添加自定義的聲明和數(shù)據(jù)，靈活性更高。

小結

JWT 執(zhí)行流程：用戶登錄后生成加密令牌、客戶端存儲并在請求頭攜帶、服務端驗證簽名和過期時間后授權。它的優(yōu)點包括無狀態(tài)、跨域支持、自包含性，適用于分布式系統(tǒng)和微服務架構，通過簽名確保數(shù)據(jù)安全。

課后思考：JWT 過期后會怎樣？如何實現(xiàn)自動續(xù)期？