JwtUtils.java

JWT的用法： 客户端接收服务器返回的JWT，将其存储在Cookie或localStorage中。 此后，客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中，就可以自动发送，但是不会跨域，因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时，也可以将JWT被放置于POST请求的数据主体中。 JWT问题和趋势： JWT不仅可用于认证，还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。 生产的token可以包含基本信息，比如id、用户昵称、头像等信息，避免再次查库 存储在客户端，不占用服务端的内存资源 JWT默认不加密，但可以加密。生成原始令牌后，可以再次对其进行加密。 当JWT未加密时，一些私密数据无法通过JWT传输。 JWT的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限。也就是说，一旦JWT签发，在有效期内将会一直有效。 JWT本身包含认证信息，token是经过base64编码，所以可以解码，因此token加密前的对象不应该包含敏感信息，一旦信息泄露，任何人都可以获得令牌的所有权限。为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证。 为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。