登录验证

会话技术

会话 打开浏览器，访问web服务器的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求与响应

会话跟踪 一种维护浏览器的方法 服务器需要识别多次请求是否来自于同一浏览器 以便在同一次会话的多次请求间共享数据

会话跟踪方案?

? ? ? ? 客户端会话跟踪技术 Cookie

? ? ? ? 服务端会话跟踪技术 Session

? ? ? ? 令牌技术

JWT

Json Web Token

定义了一种简洁的，自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的

?组成

? ? ? ? 第一部分 header 头：记录令牌类型，签名算法等

? ? ? ? 第二部分 Payload 有效载荷：携带一些自定义信息，默认信息等

? ? ? ? 第三部分 Signature 签名：防止Token被修改，确保安全性。将header，Payload加入执行密匙，通过指定签名算法计算而来

?在pom.xml中引入JWT令牌依赖

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

Jwt生成

@SpringBootTest
class SpringbootMybatisCrudApplicationTests {

    @Autowired
    private EmpMapper empMapper;

    @Test
    public void testGenJwt(){
        Map<String,Object>claims = new HashMap<>();
        claims.put("id",1);
        claims.put("name","tom");
        String jwt =  Jwts.builder()
                .signWith(SignatureAlgorithm.HS256,"awaw")//签名算法
                .setClaims(claims)//自定义内容(载荷)
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 10000))//有效期
                .compact();
        System.out.println(jwt);
    }
}

Jwt校验

Jwt检验时使用的签名秘钥，必须和生成Jwt令牌时使用的秘钥是配套的?

@SpringBootTest
class SpringbootMybatisCrudApplicationTests {

    @Autowired
    private EmpMapper empMapper;
    
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("awaw")//指定签名密匙
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcwNDY0NjU4OH0.EKF6hnJvMExOBaJHE71OZmQBN0Sbcc3sH9FHkBq8sDY")//解析令牌
                .getBody();
        System.out.println(claims);
    }
}