Springboot之登录模块探索（含Token，验证码，网络安全等知识）(11)

然后用 Base64Url 编码得到头部，即 xxxxx。Base64Url编码后，才能在URL中正常传输（因为有人会把Token放在URL里.....）
载荷（Payload）
载荷中放置了 token 的一些基本信息，以帮助接受它的服务器来理解这个 token。同时还可以包含一些自定义的信息，用户信息交换，如:
{ "sub": "1", "iss": "http://localhost:8000/auth/login", "iat": 1451888119, "exp": 1454516119, "nbf": 1451888119, "jti": "37c107e4609ddbcc9c096ea5ee76c667", "aud": "dev"}
可以将载荷用别的方式加密一遍，这样别人得到了token也看不懂
签名（Signature）
签名时需要用到前面编码过的两个字符串，如果以 HMACSHA256 加密，就如下：
HMACSHA256( base64UrlEncode(header) "." base64UrlEncode(payload), secret)
加密后再进行 base64url 编码最后得到的字符串就是 token 的第三部分 zzzzz。
组合便可以得到 token：xxxxx.yyyyy.zzzzz。
签名的作用：保证 JWT 没有被篡改过，原理如下：
HMAC 算法是不可逆算法，类似 MD5 和 hash ，但多一个密钥，密钥（即上面的 secret）由服务端持有，客户端把 token 发给服务端后，服务端可以把其中的头部和载荷再加上事先共享的 secret 再进行一次 HMAC 加密，得到的结果和 token 的第三段进行对比，如果一样则表明数据没有被篡改。
具体Java使用：
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.2</version> </dependency> <!--jwt一些工具类--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version></dependency>