面试官:什么是JWT?为什么要用JWT?

最新推荐文章于 2025-06-18 19:56:24 发布
最新推荐文章于 2025-06-18 19:56:24 发布
阅读量1.1k 收藏 24
点赞数 16
CC 4.0 BY-SA版权
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BASK2311/article/details/134840540
本文介绍了JWT(JSONWebToken)的概念、优点,如无状态、跨域支持和适应微服务架构,并展示了在Java开发中的使用方法和原理。JWT是一种安全的认证机制,尤其适合现代分布式系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目前传统的后台管理系统,以及不使用第三方登录的系统,使用 JWT 技术的还是挺多的,因此在面试中被问到的频率也比较高,所以今天我们就来看一下:什么是 JWT?为什么要用 JWT?

1.什么是 JWT?

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。 JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

  1. 头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。
  2. 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT 官方规定了 7 个字段,可供使用:
    1. iss (Issuer):签发者。
    2. sub (Subject):主题。
    3. aud (Audience):接收者。
    4. exp (Expiration time):过期时间。
    5. nbf (Not Before):生效时间。
    6. iat (Issued At):签发时间。
    7. jti (JWT ID):编号。
  3. 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

JWT 官网:jwt.io/

2.为什么要用 JWT?

JWT 相较于传统的基于会话(Session)的认证机制,具有以下优势:

  1. 无需服务器存储状态:传统的基于会话的认证机制需要服务器在会话中存储用户的状态信息,包括用户的登录状态、权限等。而使用 JWT,服务器无需存储任何会话状态信息,所有的认证和授权信息都包含在 JWT 中,使得系统可以更容易地进行水平扩展。
  2. 跨域支持:由于 JWT 包含了完整的认证和授权信息,因此可以轻松地在多个域之间进行传递和使用,实现跨域授权。
  3. 适应微服务架构:在微服务架构中,很多服务是独立部署并且可以横向扩展的,这就需要保证认证和授权的无状态性。使用 JWT 可以满足这种需求,每次请求携带 JWT 即可实现认证和授权。
  4. 自包含:JWT 包含了认证和授权信息,以及其他自定义的声明,这些信息都被编码在 JWT 中,在服务端解码后使用。JWT 的自包含性减少了对服务端资源的依赖,并提供了统一的安全机制。
  5. 扩展性:JWT 可以被扩展和定制,可以按照需求添加自定义的声明和数据,灵活性更高。

总结来说,使用 JWT 相较于传统的基于会话的认证机制,可以减少服务器存储开销和管理复杂性,实现跨域支持和水平扩展,并且更适应无状态和微服务架构。

3.JWT 基本使用

在 Java 开发中,可以借助 JWT 工具类来方便的操作 JWT,例如 HuTool 框架中的 JWTUtil。

HuTool 介绍:doc.hutool.cn/pages/JWTUt…

使用 HuTool 操作 JWT 的步骤如下:

  1. 添加 HuTool 框架依赖
  2. 生成 Token
  3. 验证和解析 Token

3.1 添加 HuTool 框架依赖

在 pom.xml 中添加以下信息:

 

xml
 

复制代码
 

<dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.8.16</version> </dependency> 
 

3.2 生成 Token
 

 

java
 

复制代码
 

Map<String, Object> map = new HashMap<String, Object>() { private static final long serialVersionUID = 1L; { put("uid", Integer.parseInt("123")); // 用户ID put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 过期时间15天 } }; JWTUtil.createToken(map, "服务器端秘钥".getBytes()); 
 

3.3 验证和解析 Token
 

验证 Token 的示例代码如下:
 

 

java
 

复制代码
 

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew"; JWTUtil.verify(token, "123456".getBytes()); 
 

解析 Token 的示例代码如下:
 

 

java
 

复制代码
 

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA"; final JWT jwt = JWTUtil.parseToken(rightToken); jwt.getHeader(JWTHeader.TYPE); jwt.getPayload("sub"); 
 

3.4 代码实战
 

在登录成功之后,生成 Token 的示例代码如下:
 

 

java
 

复制代码
 

// 登录成功,使用 JWT 生成 Token Map<String, Object> payload = new HashMap<String, Object>() { private static final long serialVersionUID = 1L; { put("uid", userinfo.getUid()); put("manager", userinfo.getManager()); // JWT 过期时间为 15 天 put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); } }; String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes()); 
 

例如在 Spring Cloud Gateway 网关中验证 Token 的实现代码如下:
 

 

java
 

复制代码
 

import cn.hutool.jwt.JWT; import cn.hutool.jwt.JWTUtil; import com.example.common.AppVariable; import org.springframework.cloud.gateway.filter.GatewayFilterChain; import org.springframework.cloud.gateway.filter.GlobalFilter; import org.springframework.core.Ordered; import org.springframework.http.HttpStatus; import org.springframework.http.server.reactive.ServerHttpResponse; import org.springframework.stereotype.Component; import org.springframework.web.server.ServerWebExchange; import reactor.core.publisher.Mono; import java.util.List; /** * 登录过滤器(登录判断) */ @Component public class AuthFilter implements GlobalFilter, Ordered { // 排除登录验证的 URL 地址 private String[] skipAuthUrls = {"/user/add", "/user/login"}; @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { // 当前请求的 URL String url = exchange.getRequest().getURI().getPath(); for (String item : skipAuthUrls) { if (item.equals(url)) { // 继续往下走 return chain.filter(exchange); } } ServerHttpResponse response = exchange.getResponse(); // 登录判断 List<String> tokens = exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY); if (tokens == null || tokens.size() == 0) { // 当前未登录 response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); } // token 有值 String token = tokens.get(0); // JWT 效验 token 是否有效 boolean result = false; try { result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes()); } catch (Exception e) { result = false; } if (!result) { // 无效 token response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); } else { // 判断 token 是否过期 final JWT jwt = JWTUtil.parseToken(token); // 得到过期时间 Object expObj = jwt.getPayload("exp"); if (expObj == null) { response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); } long exp = Long.parseLong(expObj.toString()); if (System.currentTimeMillis() > exp) { // token 过期 response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); } } return chain.filter(exchange); } @Override public int getOrder() { // 值越小越早执行 return 1; } } 
 

4.实现原理分析
 

JWT 本质是将秘钥存放在服务器端,并通过某种加密手段进行加密和验证的机制。加密签名=某加密算法(header+payload+服务器端私钥),因为服务端私钥别人不能获取,所以 JWT 能保证自身其安全性。
 

小结
 

JWT 相比与传统的 Session 会话机制,具备无状态性(无需服务器端存储会话信息),并且它更加灵活、更适合微服务环境下的登录和授权判断。JWT 是由三部分组成的:Header(头部)、Payload(数据载荷)和 Signature(签名)。
 

 
 
本文已收录到我的面试小站 资料免费获取链接 (qq.com)icon-default.png?t=N7T8https://docs.qq.com/doc/DQXdYWE9LZ2ZHZ1ho,其中包含的内容有:Redis、JVM、并发、并发、MySQL、Spring、Spring MVC、Spring Boot、Spring Cloud、MyBatis、设计模式、消息队列等模块。
 

 


                

        

    

    
  



    



                



	

		

			

				
					
面试题:jwt 是什么?java-jwt 呢?

				
			

			

				

					xuxu96
				

				

					09-18
					
					493
					
				

			

		

		

			
				
JWT只是一个标准 可以通过不过的开发语言实现,包括Java,.NET, Python,Node Js, JavaScript,Perl, Ruby,Go等。JWT加密JSON,保存在客户端,不需要在服务端保存会话信息,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。这个网站提供了在线的基于不同算法的字符串和JSON对象的转换工具,同时也收集了不同语言的多种实现库。sub Subject 面向主体。

			
		

	



                

            
              



	

		

			

				
					
nodejs面试官:如何实现jwt鉴权机制?说说你的思路

				
			

			

				

					VAN
				

				

					02-13
					
					668
					
				

			

		

		

			
				
前端八股文

			
		

	



              


  
              

                


	

		

			

				
					
JWT是什么

				
			

			

				

					要成为架构师的男人
				

				

					11-01
					
					1078
					
				

			

		

		

			
				
JWT是什么

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

JSON Web Token的结构





JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:

Header
	Payload
	Signa...

			
		

	





	

		

			

				
					
java编程之java jwt token什么是JWT?(一)

				
			

			

				

					Rome was not built in one day
				

				

					01-17
					
					1207
					
				

			

		

		

			
				
转自:http://www.leftso.com/blog/220.html


一、什么是JWT?了解JWT,认知JWT
  首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录。jwt也是经常作为一种安全的token使用。

JWT的定义:


			
		

	



		

			
		



	

		

			

				
					
JWT基础概念详解

					
最新发布

				
			

			

				

					持续更新中!!!
				

				

					06-18
					
					812
					
				

			

		

		

			
				
JWT(JSON Web Token)是一种流行的跨域认证解决方案,采用基于Token的无状态认证机制。它由Header、Payload和Signature三部分组成,通过数字签名确保数据安全。JWT的优势在于简单易用、安全可靠、支持跨域和移动端,特别适合微服务架构。但存在注销后仍有效、续签等题,常见解决方案包括黑名单机制、双Token策略等。尽管JWT有诸多优点,仍需根据项目需求合理选择认证方案,不能盲目推崇。其核心在于签名安全,密钥保管尤为重要。


			
		

	





	

		

			

				
					
JWT面试

				
			

			

				

					maotou526的博客
				

				

					05-11
					
					2586
					
				

			

		

		

			
				
一、JWT出现的原因
1.1 http无状态协议
http是无状态的协议,也就是说当客户端发来请求时,服务端并不清楚该请求是哪台主机发出的,因此需要有一种识别和鉴定机制来实现这一需求
1.2 传统上是采用给用户分配唯一session_id的方式实现这一需求
1)客户端登录成功后,服务器会给每一台主机分配一个唯一的session_id,用来区分他们,除了存入服务器的缓存,数据库或者内存中,还会把这个session_id返回给相应的主机,
2)主机收到session_id后会存入cookie中,以后主机的每一次

			
		

	





	

		

			

				
					
什么是jwt

				
			

			

				

					小明同学的博客
				

				

					06-26
					
					1481
					
				

			

		

		

			
				
json web token(jwt)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC7519),该 token被设计为紧凑且安全的,特别适合于分布式站点的单店登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
起...

			
		

	





	

		

			

				
					
面试官:Session和JWT有什么区别?

				
			

			

				

					2401_85373732的博客
				

				

					12-26
					
					1277
					
				

			

		

		

			
				
JWT是一种开放标准(RFC 7519),用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部(Header):包含了关于生成该JWT的信息以及所使用的算法类型。载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT官方规定了7个字段,可供使用:iss(Issuer):签发者。sub(Subject):主题。aud(Audience):接收者。exp。

			
		

	





	

		

			

				
					
面试官:说说 Cookie、Session、Token、JWT

				
			

			

				

					m0_71777195的博客
				

				

					12-26
					
					220
					
				

			

		

		

			
				
用户授予第三方应用访该用户某些资源的权限你在安装手机应用的时候,APP 会询是否允许授予权限(访相册、地理位置等权限)你在访微信小程序时,当登录时,小程序会询是否允许授予权限(获取昵称、头像、地区、性别等个人信息)实现授权的方式有:cookie、session、token、OAuth什么是凭证(Credentials)实现认证和授权的前提是需要一种媒介(证书) 来标记访者的身份在战国时期,商鞅变法,发明了照身帖。照身帖由官府发放,是一块打磨光滑细密的竹板,上面刻有持有人的头像和籍贯信息。

			
		

	





	

		

			

				
					
cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~

				
			

			

				

					LYJbao的博客
				

				

					11-06
					
					974
					
				

			

		

		

			
				
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。

			
		

	





	

		

			

				
					
什么是JWT

				
			

			

				

					Maisu的博客
				

				

					12-30
					
					1879
					
				

			

		

		

			
				
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。

			
		

	





	

		

			

				
					
什么是JWT

					
热门推荐

				
			

			

				

					Steve Wang's blog
				

				

					03-14
					
					2万+
					
				

			

		

		

			
				
什么是JWT?它的结构,工作方式,优点。

			
		

	





	

		

			

				
					
什么是JWT??

				
			

			

				

					as15282235592的博客
				

				

					09-04
					
					6005
					
				

			

		

		

			
				
JWT

			
		

	





	

		

			

				
					
为什么使用JWT

				
			

			

				

					weixin_30763455的博客
				

				

					05-07
					
					1436
					
				

			

		

		

			
				
原文:https://blog.youkuaiyun.com/loveliness_peri/article/details/88245981

随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,...

			
		

	





	

		

			

				
					
 JWT究竟是什么呢?

				
			

			

				

					weixin_33827965的博客
				

				

					08-03
					
					174
					
				

			

		

		

			
				
译者按:如果你还在使用session验证用户的话,是时候了解一下JWT了!

原文:What the heck is JWT anyway?

译者:Fundebug


为了保证可读性,本文采用意译而非直译。另外,本文版权归原作者所有,翻译仅用于学习。
小编推荐:Fundebug专注于JavaScript、微信小程序、微信小游戏,Nod...

			
		

	





	

		

			

				
					
为什么要使用JWT?实战项目怎么应用?

				
			

			

				

					weixin_43504955的博客
				

				

					11-12
					
					863
					
				

			

		

		

			
				
Java八股文...技术装逼指数:4颗星

			
		

	





	

		

			

				
					
身份验证——JWT

				
			

			

				

					小六的代码修炼之路
				

				

					01-04
					
					776
					
				

			

		

		

			
				
JSON Web token 简称 JWT, 是用于对应用程序上的用户进行身份验证的标记。也
就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他 session 数 据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且
必须在本地保存 (通常在本地存储中)。 每当用户要访受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求
一起发送 JWT, 通常在授权

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值