wt

j是虚数单位，在电学中就是用j来表示的在数学中是用i表示的很高兴能回答您的提问，您不用添加任何财富，只要及时采纳就是对我们最好的回报。若提问人还有任何不懂的地方可随时追问，我会尽量解答，祝您学业进步，谢谢。☆⌒_⌒☆ 如果问题解决后，请点击下面的“选为满意答案”

System error 53 has occurred. 系统发生53错误 //指这个你不能连接上IP地址,53是错误代码 The network path was not found. 找不到指定的网络路径 //指这个你不能连接上IP地址 "h" is not recognized as an internal or external command, operable program or batch file. "h"不是内部或外部命令,也不是一个个运行的程序 或批处理文件 //表示h是你自己胡乱打的东西,电脑不认识这条命令

网断了，打10000

有两个意思，你看下哪个：nwt——net weight 净重NWT——Northwest Territories 西北地区

金首饰。NWT的意思是指净重，NWT一般用于珠宝界，用这种专业的术语来描述金首饰的净重，来帮助消费者更好的了解到自己购买的金首饰的尺寸和重量，根据净重能够计算出金首饰的价格。

North West Territories 〈加〉西北地区

wxwtzxrks 我希望躺在向日葵上jbjs 既不沮丧ynczyg 也能穿着阳光大概这么个意思吧

朋友阅读面好广啊。这个主要用于股市。请看作为股票市场的投资者，我们整天和Profit、Inflation和Growth(PIG)打交道，PIG已成为投资者的“三大法宝”。 通常来说，股市投资时比较关注利润、通货膨胀以及成长性这三大指标。这三大指标英文分别为：利润（Profit）、通货膨胀（Inflation）和成长性（Growth）。三个英文字母P、I、G，联合起来即为PIG（猪）。PIG（猪）法，可参照SWOT市场分析，套用于股市投资分析时一种方法或定式。===供朋友参考

登录QQ书签收藏10个网址就能点亮图标，望楼主采纳！！！

CA 99989 是美国加州，数字是当地邮编Newtown 是城市的名字643 Front Drive 一条街叫Front Drive，643是门牌号warehouse 是仓库说的是这个仓库在加州Newtown市Front Drive街第643号。

波士顿矩阵——决策投资组合的模型波士顿咨询集团法（The Boston Matrix、又称波士顿矩阵、四象限分析法、产品系列结构管理法等）是由波士顿咨询首创的一种规划企业产品组合的方法。对于拥有复杂产品系列的企业来说，一般决定产品结构的基本因素有2个：即市场引力与企业实力。波士顿矩阵就像安索夫矩阵一样，对营销管理者来说是一个很好工具。它由美国一个大型的咨询公司提出的，这个模型主要用来协助企业进行业务组合或投资组合。波士顿矩阵有两个控制因素，一是相对市场占有率（相对于你的竞争者而言），二是市场增长率。如果你是一个英名的管理者，你应该关注你所组合的每一个产品并将它们逐一放到矩阵中进行分析。同时，你可以分析竞争对手的产品和市场占有率，并且与你的进行对比。波士顿矩阵这是一个在很多方面都简单化的图形，当然它有一定的局限性，我们稍后会做讨论。处在每一个象限的产品都具有不同的意义：瘦狗产品类指低市场占有率和低市场增长率的产品。他们就像犬齿一样是“无用的东西”。它们不能为公司创造任何利益，反而让公司花钱。这一类的产品就应该马上放弃。现金牛产品类指高市场占有率和低市场增长率的产品。现金牛产品产生了比投资金额多得多的丰厚的利润。因此在产品组合一开始就应该保留这一类产品。问题小孩类产品指低市场占有率和高市场增长率的产品。它们消耗了很多资源而回报却很少。需要花很多钱去进行市场占有率的扩展。明星类产品指高市场增长率和高市场占有率的产品。明星产品会带来高额回报，保持并且扩展你的明星产品。在你的产品组合中寻找一点平衡。尽量避免瘦狗产品，而对于现金牛，问题小孩及明星产品要找到一个平衡点。由现金牛产品产生的资金应该试图用于将问题小孩产品转变为明星类产品，当然有可能最终转变成的是现金牛产品。有时候这种转变可能会将一个问题小孩产品转变为瘦狗产品，这时候就需要从一些成功的产品中获取更多的利益来弥补这个失败的转变。波士顿咨询集团法的应用法则 按照波士顿咨询集团法的原理，产品市场占有率越高，创造利润的能力越大；另一方面，销售增长率越高，为了维持其增长及扩大市场占有率所需的资金亦越多。这样可以使企业的产品结构实现产品互相支持，资金良性循环的局面。按照产品在象限内的位置及移动趋势的划分，形成了波士顿咨询集团法的基本应用法则。第一法则：成功的月牙环。在企业所从事的事业领域内各种产品的分布若显示月牙环形，这是成功企业的象征，因为盈利大的产品不只一个，而且这些产品的销售收入都比较大，还有不少明星产品。问题产品和瘦狗产品的销售量都很少。若产品结构显示的散乱分布，说明其事业内的产品结构未规划好，企业业绩必然较差。这时就应区别不同产品，彩不同策略。第二法则：黑球失败法则。如果在第四象限内一个产品都没有，或者即使有，其销售收入也几乎近于零，可用一个大黑球表示。该种状况显示企业没有任何盈利大的产品，说明应当对现有产品结构进行撤退、缩小的战略调整，考虑向其它事业渗透，开发新的事业。第三法则：东北方向大吉。一个企业的产品在四个象限中的分布越是集中于东北方向，则显示该企业的产品结构中明星产品越多，越有发展潜力；相反，产品的分布越是集中在西南角，说明瘦狗类产品数量大，说明该企业产品结构衰退，经营不成功。第四法则：踊跃移动速度法则。从每个产品的发展过程及趋势看，产品的销售增长率越高，为维持其持续增长所需资金量也相对越高；而市场占有率越大，创造利润的能力也越大，持续时间也相对长一些。按正常趋势，问题产品经明星产品最后进入现金牛产品阶段，标志了该产品从纯资金耗费到为企业提供效益的发展过程，但是这一趋势移动速度的快也影响到其所能提供的收益的大小。如果某一产品从问题产品（包括从瘦狗产品）变成现金牛产品的移动速度太快，说明其在高投资与高利润率的明星区域仪时间很短，因此对企业提供利润的可能性及持续时间都不会太长，总的贡献也不会大；但如果产品发展速度太慢，在某一象限内停留时间过长，则该产品也会很快被淘汰。在本方法的应用中，企业经营者的任务，是通过四象限法的分析，掌握产品结构的现状及预测未来市场的变化，进而有效地、合理地分配企业经营资源。在产品结构调整中，企业的经营者不是在产品到了”瘦狗”阶段才考虑如何撤退，而应在”现金牛” 阶段时 就考虑如何使产品造成的损失最小而收益最大。波士顿矩阵会产生的问题1．波士顿矩阵会形成一种假设，高市场占有率可以带来高利润率，但有些时候并非如此。比如：当波音公司投放了一款新机型，它可能很快会获得高的市场占有率，但是研制这种新机型的费用是非常昂贵的，所以公司并没有很高的利润。2．它通常应用于战略商业机构。这些是一些商业范畴而不仅仅是产品。比如：福特在英国拥有多用途越野车。这是一个战略性商业机构而不是一个产品。3．这个矩阵会产生一个假设，就是战略性商业机构将会合作。而情况并不总是这样的。4．波士顿矩阵最主要的问题是它将一系列复杂的决定过分简单化。大家要非常注意这一点，谨慎地将这个矩阵当作计划地工具来使用。

是两个不同的组织

冰箱内底部结冰，建议你把温控器调整一下，下面告诉你温控器调整方法：在冰箱冷藏室里有温控器，你在夏天最热时可调整到二档，这样夏天冷藏室不结冰。冬天最冷时调整到五档或六档，这样冬天冰箱可以正常启动，平常不热不冷时可以调整三档至四档就行了，七档是强制冷，调到七档冷藏室也会结冰的，请采纳。

这个型号的海信冰箱净化功能使用方法可以联系售后。

商品名称：海信冰箱BCD-236WTDG品牌：海信颜色：白色箱门结构：三门制冷方式：风冷控温方式：电脑控温日耗电量：0.69国家能效等级：1级总有效容积：236升

海信冰箱开关大部分都在温控器旋钮旁边。较新的用的都是磁控开关，就是能根据环境温度的变化自动接通或断开加热器，磁控开关一般在顶盖里面，外面看不见，只有卸下顶盖才能见到。

Color Dependent Plot Styles 这个的大概意思是颜色相关打印，说实话，我自己也不知道到底是什么区别 Named Plot Styles命名打印样式表 这个应该是大家都经常用的 就是做好了一个图，然后按照自己的习惯，将打印样式修改了，然后出图 Gb_a4 -Named Plot Styles 这个样本文件是带有完整会签栏的A4图框 而且没有让你看的到模型，只能在视口里的模型空间做图和修改AutoCAD 2002中文版在以下样本文件中已设置了符合国标要求的文字样式(文字样式名为“工程字”)，用户以这些文件为样本绘图形时，可直接使用对应的文字样式。Gb -Color Dependent Plot Styles.dwtGb -Named Plot Styles.dwtGb_a0 -Color Dependent Plot Styles.dwtGb_a0 -Named Plot Styles.dwtGb_a1 -Color Dependent Plot Styles.dwtGb_a1 -Named Plot Styles.dwtGb_a2 -Color Dependent Plot Styles.dwtGb_a2 -Named Plot Styles.dwtGb_a3 -Color Dependent Plot Styles.dwtGb_a3 -Named Plot Styles.dwtGb_a4 -Color Dependent Plot Styles.dwtGb_a4 -Named Plot Styles.dwtGBa3.dwt其中，与文件名前缀Gb_a0 ~ Gb_a4对应的文件分别表示对应的样本文件适用于绘制图幅为0号到4号的图形摘的别人的，不好意思啊 `！ 我也不太明白这个问题~！

“规定强制执行的产品特性或与其相关工艺和生产方法、包括适用的管理规定在内的文件。该文件还可包括或专门关于适用于产品、工艺或生产方法的专门术语、符号、标志或标签要求”。WTO/TBT协定要求各成员按照产品性质而不是按照其设计或描述特征来制定技术法规。

WTO/TBT协议是《世界贸易组织贸易技术壁垒协议》（Agreement on Technical Barriers to Trade of The World Trade Organization）的简称，1994年在“乌拉圭回合”中签署。它的前身是《关税和贸易总协议贸易技术壁垒协议》（Agreement on Technical Barriers to Trade of the General Agreement on Tariffs and Trade，GATT/TBT）。在“乌拉圭回合”谈判中，WTO/TBT协议已经成为WTO的各项协议中最重要的协议之一。 　　在国际贸易中，由于各国实施的技术法规和标准各不相同，差异较大，给生产者和进出口商造成困难，甚至形成了障碍。在这种情况下，各成员普遍认为有必要制定有关规则，以约束大家的贸易行为。在“东京回合”谈判期间，经过反复讨论、协商，最终就技术法规、标准和合格评定程序的制定与实施，以及解决争端等问题达成一致，并于1979年4月签署了《关贸总协定贸易技术壁垒协议》，自1980年1月1日起正式实施，简称GATT/TBT协议。 　　1986年“乌拉圭回合”在日内瓦举行，GATT/TBT经过6年运作，各国充分认识到了它的重要意义。同时也发现了新的问题，并对《关税与贸易总协定贸易技术壁垒协议》（GATT/TBT）重新进行了修改。1994年，乌拉圭回合结束，世贸组织成立时，在马拉喀什正式签发了《世界贸易组织贸易技术壁垒协议》（WTO/TBT协议）。

WTO/TBT协议中的“标准”（Standard）是指规定产品性能、设计、生产过程、测试方法、标记和包装等要素的技术需求的文件或声明，包括国际标准、区域标准、国家标准等各种类型。根据查询相关公开信息显示：TBT协议规定，成员国应该确保制定的标准不会对其他成员国的产品生产、销售造成无必要的技术障碍。同时，TBT协议还规定，成员国应该通过公开、透明和参与式的制定程序来制定标准，允许其他成员国参与标准制定过程，以确保标准制定过程的公正和合理。

世界留意组织

How to being good moods?如何保持好心情？ I think that it wasn"t quarrel with someone,and if have had some quarrel forget to be quickly will be ok,and talk with the friends also was a good idea.我想不要跟别人吵架，并且如果有一些人要来跟你吵架，快速的忘记它就可以了，并且我想如果真的不开心，和朋友们谈谈也会是个好主意。And tried to hard working,serious working,reading some books,do something you like,easy going guy,doesn"t often quarrels with someone,forgave someone be often,keep smiling,does often thanks for god give us happy life.并且努力认真的去工作，阅读一些书籍，做一些你喜欢做的事情，成为一个容易沟通的人，不常常和别人吵架，做个健忘的人，保持微笑，常常感恩上帝给你的快乐生活。And have had the good relationship with your friends,have had more friends,and enjoyed your life.并且和你的朋友们有好的人际关系，并且你也是个享受生活的人。Studied hard,finished your study set goal,you will have achievement.It will make you happy.努力学习，完成你的学习目标，你也将会为此拥有成就感。Life always give you some surprise,and I think that there was a important thing you should be believe in the god,to be a Christ,you will happy almost time,if you also were not get happy,pray for god give you happy.Life is beautiful,isn"t it?We have had already got more.生活总是会给你一些惊喜，并且我想有件事情我想是重要的，你应该相信上帝，成为一名基督徒，在大多数的时间你将会感到快乐。如果你还是无法感到快乐，祈祷上帝给你快乐吧。生活是美好的，不是吗？ 我们已经得到了许多。

你想干什么

春眠不觉晓，处处闻啼鸟。夜来风雨声，花落知多少。孟浩然的《春晓》

JOWTM商标总申请量1件其中已成功注册0件，有1件正在申请中，无效注册0件，0件在售中。经八戒知识产权统计，JOWTM还可以注册以下商标分类：第1类（化学制剂、肥料）第2类（颜料油漆、染料、防腐制品）第3类（日化用品、洗护、香料）第4类（能源、燃料、油脂）第5类（药品、卫生用品、营养品）第6类（金属制品、金属建材、金属材料）第7类（机械设备、马达、传动）第8类（手动器具（小型）、餐具、冷兵器）第9类（科学仪器、电子产品、安防设备）第10类（医疗器械、医疗用品、成人用品）第12类（运输工具、运载工具零部件）第13类（军火、烟火、个人防护喷雾）第14类（珠宝、贵金属、钟表）第15类（乐器、乐器辅助用品及配件）第16类（纸品、办公用品、文具教具）第17类（橡胶制品、绝缘隔热隔音材料）第18类（箱包、皮革皮具、伞具）第19类（非金属建筑材料）第20类（家具、家具部件、软垫）第21类（厨房器具、家用器皿、洗护用具）第22类（绳缆、遮蓬、袋子）第23类（纱、线、丝）第24类（纺织品、床上用品、毛巾）第25类（服装、鞋帽、袜子手套）第26类（饰品、假发、纽扣拉链）第27类（地毯、席垫、墙纸）第28类（玩具、体育健身器材、钓具）第29类（熟食、肉蛋奶、食用油）第30类（面点、调味品、饮品）第31类（生鲜、动植物、饲料种子）第32类（啤酒、不含酒精的饮料）第33类（酒、含酒精饮料）第34类（烟草、烟具）第35类（广告、商业管理、市场营销）第36类（金融事务、不动产管理、典当担保）第37类（建筑、室内装修、维修维护）第38类（电信、通讯服务）第39类（运输仓储、能源分配、旅行服务）第40类（材料加工、印刷、污物处理）第41类（教育培训、文体活动、娱乐服务）第42类（研发质控、IT服务、建筑咨询）第43类（餐饮住宿、养老托儿、动物食宿）第44类（医疗、美容、园艺）第45类（安保法律、婚礼家政、社会服务）

每一种癌症均有肿瘤相关抗原，它们在正常细胞上有微量表达，但在肿瘤细胞表达明显增高，此类抗原可被免疫系统识别并产生相应的抗体。WT1肿瘤疫苗并非直接杀死癌症细胞，而是极大的提高人体免疫活性等处理抗原能力，通过接种WT1癌症抗原的方式，诱导免疫系统产生识别癌细胞的记忆T细胞。这种记忆T细胞对人体有一生的免疫监控作用，并在发现癌细胞时分化效应T细胞靶向攻击癌细胞加以杀灭，在根源上规避了恶性肿瘤袭击或复发的风险，以此保障身体健康。国内WT1肿瘤疫苗都是通过青岛翰康国际医疗办理的，行业内知名度和影响力都比较大，我们也是通过这个公司去治疗的。

牛顿市（Newton ）是美国的一个小城，位于波士顿近郊，总占地47.1平方公里，海拔30米，距离波士顿市中心以西大约7英里（11公里）。多年被评为全美最安全‘城市"之一。波士顿（Boston）则是美国马萨诸塞州的首府和最大城市，也是新英格兰地区的最大城市。

一）寺庙建筑 ... （Sainte）的地名，（如 St.Polycarpe，St.Clet，Ste Justine－de Newton，Ste.Marthe）与带Notre－Dame...

1. 解答：英语正确的说法是: how tall is the giraffe？这只长颈鹿有多高？也就是how必须与形容词tall紧密结合，以便引导特殊提问句。2. 知识： 英语常常见到以 how引导的特殊疑问句。how单独作疑问副词时提问方式或状态，一般翻译为“怎么样”。how也可以与形容词或副词结合起来，提问状态或程度。和形容词结合的用例最多，比如how old（年龄多大），how heavy（多重），how tall （个子多高），how many （有多少，对可数名词复数的提问），how much（有多少，对不可数名词的数量提问）。和副词结合的用例也不少，例如how often（多久一次），how long（多长时间），how fast（有多快），how soon（时间上有多快）。这些how引导的特殊疑问句，无一例外，都必须和形容词或副词紧密结合置于句首。3. 例句：① How old is the old man? Seventy. 老人高寿了？七十岁了。② How much money do you need? 你需要多少钱？③ How often do you eat fish? Thrice a week. 您多久吃一次鱼肉？一周三次。

　　在你已经有了你创业的构思，并落实到文字上之后，你还需要对它进行检验。你需要知道它是否可行，经得起推敲；是否能使你的企业具有竞争力和赢利能力。　　测试企业构思的一种方式是进行SWOT分析——即优势、劣势、机会、威胁分析法。　　1、什么是SWOT分析　　SWOT由Strength（优势）、Weakness（劣势）、Opportunity（机会）、Threat（威胁）四个英文单词的第一个字母组合而成。SWOT分析时，要考虑你自己的企业，并写下自己企业的所有优势、劣势、机会和威胁。　　优势和劣势是分析存在于企业内部的你可以改变的因素：　　——优势是指你企业的长处。例如，你的产品比竞争对手的好；你的商店的位置非常有利；你的员工技术水平很高等。　　——劣势是指你企业的弱点。例如，你的产品比竞争对手的贵；你没有足够的资金按自己的愿望做广告；你无法像竞争对手那样提供综合性的系列服务等。　　机会和威胁是你需要了解存在于企业外部的你无法施加影响的因素：　　——机会是指周边地区存在的对企业有利的事情。例如，你想制作的产品越来越流行；附近没有和你类似的商店；因为许多新的住宅小区正在这个地区建设，潜在顾客的数量将会上升等。　　——威胁是指周边地区存在的对你企业不利的事情。例如，在这个地区有生产同样产品的其他企业；原材料价格上涨将导致你出售的商品价格上升；你不知道你的产品还能流行多久等。　　2、SWOT分析的结果　　当你做完SWOT分析后，你应该能评估你的创业构思，并做出决定：　　——坚持自己的创业构思并进行全面的可行性研究。　　——修改原来的创业构思。　　——完全放弃这个创业构思。　　SWOT模型是企业结合自身优势（Strengths）、劣势（Weakness）及其所处环境的机会（Opportunities）、威胁（Threats），进行战略构思、战略选择的重要工具，在西方企业的战略选择中得到了广泛应用，目前多见于定性分析。而当战略期限超出三年、甚至更长，影响企业战略决策的内外因素增多且更复杂时，SWOT模型就存在一定的局限性，即对众多因素的差别程度及其发生概率很难在定性分析中得以体现，这就不利于企业战略（特别是总体战略总公司战略）的选择。因此，SWOT模型需要结合前景假设进行定量分析，使其更加完善。

　　在你已经有了你创业的构思，并落实到文字上之后，你还需要对它进行检验。你需要知道它是否可行，经得起推敲；是否能使你的企业具有竞争力和赢利能力。　　测试企业构思的一种方式是进行SWOT分析——即优势、劣势、机会、威胁分析法。　　1、什么是SWOT分析　　SWOT由Strength（优势）、Weakness（劣势）、Opportunity（机会）、Threat（威胁）四个英文单词的第一个字母组合而成。SWOT分析时，要考虑你自己的企业，并写下自己企业的所有优势、劣势、机会和威胁。　　优势和劣势是分析存在于企业内部的你可以改变的因素：　　——优势是指你企业的长处。例如，你的产品比竞争对手的好；你的商店的位置非常有利；你的员工技术水平很高等。　　——劣势是指你企业的弱点。例如，你的产品比竞争对手的贵；你没有足够的资金按自己的愿望做广告；你无法像竞争对手那样提供综合性的系列服务等。　　机会和威胁是你需要了解存在于企业外部的你无法施加影响的因素：　　——机会是指周边地区存在的对企业有利的事情。例如，你想制作的产品越来越流行；附近没有和你类似的商店；因为许多新的住宅小区正在这个地区建设，潜在顾客的数量将会上升等。　　——威胁是指周边地区存在的对你企业不利的事情。例如，在这个地区有生产同样产品的其他企业；原材料价格上涨将导致你出售的商品价格上升；你不知道你的产品还能流行多久等。　　2、SWOT分析的结果　　当你做完SWOT分析后，你应该能评估你的创业构思，并做出决定：　　——坚持自己的创业构思并进行全面的可行性研究。　　——修改原来的创业构思。　　——完全放弃这个创业构思。　　SWOT模型是企业结合自身优势（Strengths）、劣势（Weakness）及其所处环境的机会（Opportunities）、威胁（Threats），进行战略构思、战略选择的重要工具，在西方企业的战略选择中得到了广泛应用，目前多见于定性分析。而当战略期限超出三年、甚至更长，影响企业战略决策的内外因素增多且更复杂时，SWOT模型就存在一定的局限性，即对众多因素的差别程度及其发生概率很难在定性分析中得以体现，这就不利于企业战略（特别是总体战略总公司战略）的选择。因此，SWOT模型需要结合前景假设进行定量分析，使其更加完善。

WTabbr.1. =war tax 战时税2. =wartime3. =water tank 水柜,水池,水箱4. =water tender 供水船,供水车5. =watertight6. =wireless telegraphy 无线电报(术)7. =wireless telephone 无线电话8. =wireless telephony 无线电话(术),无线电话(学)WPabbr.1. =weather permitting 遇雨顺延2. =word processing 文字处理3. =working pressure 工作压力4. =Working Party 【电脑】工作组Ovi是诺基亚推出的互联网服务品牌，Ovi在芬兰语里是“门”的意思，这项服务如同一个人的生活百宝汇，用户可以由Ovi轻松接入他们现有的社交网络和内容。

你好，Swing是AWT的扩展，它提供了许多新的图形界面组件。Swing组件以“J”开头，除了拥有与AWT类似的按钮（JButton)、标签（JLabel)、复选框（JCheckBox)、菜单（JMenu）等基本组件外，还增加了一个丰富的高层组件集合，如表格（JTable）、树（JTree）。在javax.swing包中，定义了两种类型的组件：顶层容器（Jframe、Japplet、JDialog和JWindow）和轻量级组件。说白话一点，组件就是构成你图形界面的零部件。如面板，按钮，下拉选等等。

英语角上最常听到的一句话恐怕就是“How to say?”了。每次不知道该说什么时，总会用“How to say?”来打马虎眼。但事实上，尽管“How to say?”在语法上是正确的一句话，英美人却是从来不这么说的。那么，当找不到合适的词时，他们都会怎么说呢？ 1. How do I put it? / What should I say? 这是最常用的两句了。简单明了，通俗易懂哦！ 2. I don"t know what to say. 过于激动、气愤、恼怒、悲伤或者高兴的时候，总会一时语塞、说不出话来。这时，你就可以说"I don"t know what to say!"。比如： You say you spent $100 on the car! I don"t know what to say! I can"t believe you did that! !（你说你花了100美元买车！我真是不知道该说什么好了，真是难以置信！） I don"t know what to say! You came here and expect me to give you all my attention for a whole hour. You know I"m busy, so just go!（我真是没话说了！你竟然要我给你一个小时的时间陪你。你知道我很忙，一边去吧！） 3. something of the sort 有时我们是真的找不到合适的表达法。这时就可以说： A: What do you think of the idea of permanent education? That is, letting people go on learning until they die? B: Well, that sounds quite new to me. Do you mean evening schools, or something of the sort? B 实在不知道permanent education是怎么回事，于是就用and ... and something of the sort?来代替了。 类似的说法还有something like that，something of that kind，or something or other，or whatever (you call it)。 4. a sort of ..., you know. 这个a sort of..., you know 最适合想了半天却什么也没想出来的场合，让对方从你说话的context中去判断你要表达的意思。例如： This man is so unpopular here. He is just a sort of ..., you know. 这个人在这儿可不怎么受欢迎。他有点……，你知道。 5. You know what I mean. 前面说一大通，最后不知道怎么总结，便可以用You know what I mean. 来“偷懒”喽! 例如： To be honest, this will be difficult. You know your application form will be read not just by me but by at least three members of the academic council, and it"s no easy matter to have all of us aGREe on one thing... you know what I mean. 说实话，这很难。你知道不止一个人要看你的申请，学院委员会至少还有两个人要看。要让我们大家都同意可不是件容易的事……你知道我的意思。 类似的说法还有“You know the sort of thing I mean.”，“I think you understand what I mean. I can"t think of the exact word, but you know.” 6. 此外，你还可以用一些conversational fillers来争取一些思考的时间。常用的有：Mm， Uh，um，er，erm，well，well then，now，actually，of course，in fact，I mean，you know，you see，as a matter of fact，shall I say...，sort of，kind of，like，and等等。

MTY:more than yesterday。你爱我么，到底有多爱我?觉得不妥，缩写出自何处。不会是MTV吧（即“Express Mail Service”），邮政特快专递服务。它是由万国邮联管理下的国际邮件快递服务，是中国邮政提供的一种快递服务。UN：联合国英文缩写词USA：美国英文缩写词UK：英国英文缩写词WTO：是世贸组织的英文简称。是一个独立于联合国的永久性国际组织。1995年1月1日正式开始运作，负责管理世界经济和贸易秩序，总部设在瑞士日内瓦莱蒙湖畔

fast即快调，是鱼竿调性.line wt.是线重，10-20磅的lure wt.是饵重，八分之三盎司-四分之三盎司即10克-21克

AFS 战地服务团 APEC、亚太经济合作组织、WTO、世界贸易组织CPC、中国共产党PRC、中华人民共和国KMT、国民党

世界贸易组织 亚太经合组织不明飞行物中央电视台

　　我为大家整理了WTO商务谈判常用英语，希望对你有帮助哦! 　　一、 　　1、Thanks. By the way, do you have any plans for tonight? 　　谢谢。顺便问一下，今晚有什么安排吗? 　　2、None whatsoever. Im at your disposal. 　　一点儿也没有呢。我得听你安排。 　　3、Why dont we have dinner together to celebrate the success of our first deal. There is a very nice restaurant round the corner. 　　咱们一起吃晚饭，庆祝我们的首次交易成功，好不好?附近有一家饭店非常不错。 　　4、Id love to! 　　太好了! 　　5、Excuse me, are you Mr. Pierre from Paris? 　　请问，哪一位是从巴黎来的皮埃尔先生? 　　6、Please remember to use both English and Chinese versions and both versions should be equally valid. 　　请记住用中英两种文字缮制合同，两种文本同样有效。 　　7、Naturally. Each of us keeps one original and two copies. 　　那是当然。我们每人保留一份正本和两份副本。 　　8、Then Ill come along two days later to put my signature on it. 　　那么两天后我再来签字。 　　9、Good. 　　好的。 　　10、Well Mr.Chen, its been very pleasant talking with you. 　　陈先生，跟您谈话真是非常愉快。 　　11、Your L/C must be opened at least one month before the time of shipment, otherwise we wouldnt be able to catch the ship. 　　你方信用证必须在装货前一个月开出，否则我们将赶不上船。 　　12、No problem. Ill have the covering L/C opened as soon as I get back. 　　没问题。我一回去，就马上安排开立有关信用证。 　　13、Fine. Im very glad our negotiations have arrived at a successful conclusion. 　　好，我很高兴我们的谈判取得了成功。 　　14、Me too. I hope this initial deal will result in further transactions between us. 　　我也是。我希望这首笔生意会带来更多的交易。 　　15、Of course. We will have the Sales Contract made out in two days. 　　当然了。两天后销售合同就准备好。 　　二、 　　1、Shall we fix a time for a talk? 　　我们能定个时间谈谈吗? 　　2、All right. 　　可以。 　　3、Im a foreign trade worker of the China National Textiles Import and Export Corporation. 　　我是中国纺织品进出口公司的业务员。 　　4、I was assigned to negotiate business with you. 　　公司委托我和你们具体洽谈业务。 　　5、Let me introduce you. This is Mr. White. 　　我先给您介绍一下，这位是怀特先生。 　　6、Not too bad. Thank you. 　　还可以。 　　7、You must take a rest today and we can talk about our business tomorrow. 　　今天您先休息休息，业务的事咱们明天再谈。 　　8、Fine. 　　好的。 　　9、Arent you Mr. Smith from the U.S.? 　　您是从美国来的史密斯先生吧?。 　　10、Yes, I am. 　　是的。 　　11、Yes, I am. 　　我就是。 　　12、I work in the China National Machinery Import and Export Corporation. 　　我在中国机械进出口公司工作。 　　13、Whats your name, please? 　　您贵姓? 　　14、My name is Zhang. 　　我姓张。 　　15、Did you have a good journey? 　　您一路上还好吧? 　　三、 　　1、Our manager would like to meet you. 　　我们经理想和你们见见面。 　　2、Our manager would like to invite you to a dinner party this evening at the Beijing Roast Duck Restaurant. 　　今晚我们经理想请你们去北京烤鸭店吃饭。 　　3、We are going to give a dinner party at the Beijing Hotel this evening and would like to invite you all. 　　今晚我们在北京饭店请客，请各位光临。 　　4、If its convenient, would you please tell your manager that he is invited.m very glad to know you. 　　如果方便的话，请您转告经理一下，请他光临。 　　5、If you are free, please come and join us. 　　如果您有时间的话，请光临。 　　6、Weve heard a lot about you. 　　我们对您非常熟悉。 　　7、How shall I get in touch with you? 　　怎么和您联系? 　　8、Im in Rm.208 of Baiyun Guest Hotel. If you need anything, just give me a call. 　　我住白云宾馆二零八(208)房间，有事给我打电话好了。 　　9、Here is my card.m very glad to know you. 　　这是我的名片。 　　10、If there is an opportunity, wed like to see your manager. 　　如果有机会，我们想见一见你们经理。 　　11、Welcome to China. 　　欢迎你们来中国。 　　12、Werent you on the phone to me yesterday? 　　昨天打电话的是您吗? 　　13、Yes, I was. 　　对，是我。 　　14、Im very glad to know you.m very glad to know you. 　　认识您非常高兴。 　　15、Its a great pleasure to meet you today. 　　今天能见到您非常荣幸。 　　四、 　　1、Would you give us a brief account about the new practices you have adopted? 　　你们主要采取了哪些新的做法，能不能给我们简单介绍一下? 　　2、We have mainly adopted some usual international practices. 　　我们主要是采用了一些国际上的习惯作法。 　　3、We would very much like to know something about this line. Could you tell us more about it. 　　我们很想了解这方面的情况，您能具体谈谈吗? 　　4、We have adopted, for example, payment by instalments. 　　比如说：分期付款，我们现在可以采用了。 　　5、Were very glad that you have such a friendly attitude. 　　我们对你们这种友好的态度感到非常高兴。 　　6、We stick to a consistent policy in our foreign trade. 　　我们的贸易政策是一贯的。 　　7、We insist on the principle of equality and mutual benefit, as well as exchanging needed goods. 　　我们坚持平等互利、互通有无的原则。 　　8、You have adopted a more flexible policy in your work than before. 　　你们的一些具体做法比以前灵活多了。 　　9、We are trying to get rid of the over-rigid pratices and adopt some general international pratices. 　　我们设法消除一些死板的做法，采用国际上通用的贸易方式。 　　10、We have adopted a flexible policy in our foreign trade work. 　　我们在外贸工作中采取了一些灵活作法。 　　11、Wed appreciate your kind consideration in the coming negotiation. 　　洽谈中请您多多关照。 　　12、Lets hope for good cooperation between us. 　　希望我们能很好地合作。 　　13、I wish a brisk business for you all and a continued development in our business dealings! 　　祝大家生意兴隆，买卖越做越好! 　　14、Your health! 　　为您的健康干杯! 　　15、It is said that a new policy is being put into practice in your foreign trade. Is that true? 　　据说你们正在实施一种新的贸易政策，不知有没有这回事?

yu()dakai

RF----有电磁辐射ACC---交流电源不知是否这个意思，→有时候一个符号有多种含义，需要看在什么场合出现。

react实现路由可以直接使用react-router。ReactRouter是由Ryan Florence开发的应用于ReactJS的路由组件，它通过定义ReactJS组件<Routes>及相关子组件来实现页面路由的映射、参数的解析和传递。以下是例子：var ReactRouter = require("react-router"); var Routes = ReactRouter.Routes; var Route = ReactRouter.Route;//定义整个页面的路由结构var routes = ( <Routes location="hash"><Route path="/" handler={App}><Route path="books" name="bookList" handler={Books}/><Route path="movies" name="movieList" handler={Movies}/></Route></Routes>);

w为正值时，向量逆时针旋转；w为负值时，向量顺时针旋转e^jwt在复平面上表示绕原点旋转的圆，w为角速度，wt表示变化角度，复平面图像由角度和模构成，少了t没有角度自然不能构成图像了。同样，e^jwt在时域上还可表示成正弦图像，少了一个t轴，自然也不能构成二维图像了。数学中，复平面（complexplane）是用水平的实轴与垂直的虚轴建立起来的复数的几何表示。它可视为一个具有特定代数结构笛卡儿平面（实平面），一个复数的实部用沿着x-轴的位移表示，虚部用沿着y-轴的位移表示。复平面有时也叫做阿尔冈平面，因为它用于阿尔冈图中。这是以让-罗贝尔·阿尔冈（1768-1822）命名的，尽管它们最先是挪威-丹麦土地测量员和数学家卡斯帕尔·韦塞尔（1745-1818）叙述的。阿尔冈图经常用来标示复平面上函数的极点与零点的位置。

1.2. 认证服务器依赖 1.3. 配置文件 application.yml 1.4. 认证服务器配置（核心类AuthorizationServerConfigurerAdapter） 认证服务器配置类必须继承AuthorizationServerConfigurerAdapter类 1.4.1. 内存存储token方案 1.4.2. 配置Spring Security的安全认证 1.4.3. 自定义ClientDetailsService实现类 1.4.4. 相关实体类 1.5. gateway 网关 1.5.1 pom依赖 1.5.2. application.yml配置文件 1.5.3. security安全配置 1.5.4. gateway全局过滤器 1.5.5. 其他类 1.6. 资源服务器 1.6.1. 依赖配置 1.6.2. 资源服务器配置 继承ResourceServerConfigurerAdapter类 安全配置继承WebSecurityConfigurerAdapter 1.6.3 token过滤器 获取从网关处转发的token，填充到认证的安全上下文中，实现身份权限识别 2.2. 安全配置 2.3. 其他配置 2.4. 身份信息过滤

该类实现了UserDetails接口 内含登录成功或失败后的处理方法 用一个简单的类来接受前端出来的登录信息 实现UserDetailsService接口，重写loadUserByUsername方法，按自己的实际需求来编写验证规则 该类为token校验器，并封装了用户权限，保存至security上下文中 首先SysUserController中有三个测试接口，第一个接口认证后即可访问，第二个接口需要登录的用户拥有ROLE_ADMIN角色，第三个接口需要用户拥有ROLE_USER角色。 返回了token信息 请求头中带上token，因为security配置类中关闭了session，后续请求必须带上token才能访问。 访问成功。 该接口需要ROLE_ADMIN，我们已登录的用户只拥有ROLE_USER，所以该接口不能访问。 结果符合预期 该接口需要ROLE_USER，已登录用户可以访问 结果符合预期 项目源码地址： https://github.com/lan-de/SpringSecurity-01

解：1/[jw（1+jwT）]=j(1-jwt)/[j*jw（1+jwT）(1-jwt)]=(j+wt)/[-w(1+w^2T^2)]=-t/(1+w^2T^2)-jw/(1+w^2T^2)利用j^2=-1

sin(wt)=[e^(jwt)-e^(-jwt)]／2；则单边拉普拉斯变换为：L[e^(jwt)]/2j-L[e^(-jwt)]/2j=[(s-jw)*j]/2-[(s+jw)*j]/2=w/(s^2+w^2)

你是概念没有搞清楚。在时谐电场中的瞬时表达式E(t）=Ecos(wt-kz).它可以用复数的实部来表示E(t）=Re[Ee^j(wt-kz)],e^j(wt-kz)取实部就是cos(wt-kz)，所以e^j(wt-kz)才是表示相位，请不要认为e^(iwt)表示相位。将e^j(wt-kz)拆开，得e^jwt和e^-jkz。同时得E(t）=Re[Ee^-jkze^jwt],E(t）=Re[EU（z)e^jwt]中U（z)=Ee^-jkz表示复矢量。在时谐场中所有时谐量都相同，为了方便起见将e^jwt省略，一般是用复矢量E(z）=Ee^-jkz表示，所以在题中一般给的就是复矢量E(z）=Ee^-jkz，学电磁学的一看到E(z）=Ee^-jkz就知道这是复矢量并能加上e^jwt取实部得到瞬时表达式E(t）=Ecos(wt-kz).所以你上面提的问题本身就是错误的。如果这样解释还是没搞明白的话，请参看《电磁场与电磁波》中的“时谐电磁场”。

1/[jw（1+jwT）]=j(1-jwt)/[j*jw（1+jwT）(1-jwt)] =(j+wt)/[-w(1+w^2T^2)] =-t/(1+w^2T^2)-jw/(1+w^2T^2) 利用j^2=-1

Struts+Hibernate+Spring (清华大学出版社)可供你参考！

sin(wt)=[e^(jwt)-e^(-jwt)]／2；则单边拉普拉斯变换为：L[e^(jwt)]/2j-L[e^(-jwt)]/2j=[(s-jw)*j]/2-[(s+jw)*j]/2=w/(s^2+w^2)

根据欧拉公式，cos(3t)=/2。直流信号的傅里叶变换是专2πδ（ω）。根据频移性质可得exp(j3t)的傅里叶变换是2πδ（ω－3)。再根据线性性质，可得cos(3t)=/2的傅里叶变换是πδ（ω－3)+πδ（ω＋3)。三角函数一般用于计算三角形中未知长度的边和未知的角度，在导航、工程学以及物理学方面都有广泛的用途。另外，以三角函数为模版，可以定义一类相似的函数，叫做双曲函数。常见的双曲函数也被称为双曲正弦函数、双曲余弦函数等等。三角函数（也叫做圆函数）是角的函数；它们在研究三角形和建模周期现象和许多其他应用中是很重要的。三角函数通常定义为包含这个角的直角三角形的两个边的比率，也可以等价的定义为单位圆上的各种线段的长度。更现代的定义把它们表达为无穷级数或特定微分方程的解，允许它们扩展到任意正数和负数值，甚至是复数值。

JWT是JSON WEB TOKEN的缩写，它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象，由于使用了数字签名，所以是可信任和安全的。JWT的组成JWT token的格式：header.payload.signatureheader中用于存放签名的生成算法{"alg": "HS512"}Copy to clipboardErrorCopiedpayload中用于存放用户名、token的生成时间和过期时间{"sub":"admin","created":1489079981393,"exp":1489684781}Copy to clipboardErrorCopiedsignature为以header和payload生成的签名，一旦header和payload被篡改，验证将失败//secret为加密算法的密钥 String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

这次给大家带来Koa实现JWT用户认证需要哪些步骤，Koa实现JWT用户认证的注意事项有哪些，下面就是实战案例，一起来看一下。一、前置知识基于Token的身份验证Koajs 中文文档Koa 框架教程二、环境Microsoft Visual Studio 2017集成开发环境Node.js v8.9.4Javascript运行环境三、开始动手，一步步来完善1、创建基础的静态资源服务器、基础架构以下是基本的代码，实现静态服务器，以及一个当token验证异常时候的处理。下面我们将在这个基本代码下逐步增加注册、登录、信息的功能。const path = require("path"); // 用于处理目录路径const Koa = require("koa"); // web开发框架const serve = require("koa-static"); // 静态资源处理const route = require("koa-route"); // 路由中间件const jwt = require("jsonwebtoken"); // 用于签发、解析`token`const jwtKoa = require("koa-jwt"); // 用于路由权限控制const koaBody = require("koa-body"); // 用于查询字符串解析到`ctx.request.query`const app = new Koa();const website = { scheme: "http", host: "localhost", port: 1337, join: function () { return `${this.scheme}://${this.host}:${this.port}` }}/* jwt密钥 */const secret = "secret";/* 当token验证异常时候的处理，如token过期、token错误 */app.use((ctx, next) => { return next().catch((err) => { if (err.status === 401) { ctx.status = 401; ctx.body = { ok: false, msg: err.originalError ? err.originalError.message : err.message } } else { throw err; } });});/* 查询字符串解析到`ctx.request.query` */app.use(koaBody());/* 路由权限控制 */// 待办事项??/* POST /api/register 注册 */// 待办事项??/* GET /api/login 登录 */// 待办事项??/* GET /api/info 信息 */// 待办事项??/* 静态资源处理 */app.use(serve(path.join(dirname, "static")));/* 监听服务器端口 */app.listen(website.port, () => { console.log(`${website.join()} 服务器已经启动！`);});下面，我们将在注册、登录、信息的注释底下添加实现的代码。2、路由权限控制注册、登录接口、其它资源不需要认证，信息接口需要认证。/* 路由权限控制 */app.use(jwtKoa({ secret: secret }).unless({ // 设置login、register接口，可以不需要认证访问 path: [ /^/api/login/, /^/api/register/, /^((?!/api).)*$/ // 设置除了私有接口外的其它资源，可以不需要认证访问 ]}));3、注册/* POST /api/register 注册 */app.use(route.post("/api/register", async (ctx, next) => { const body = ctx.request.body; /* * body = { * user : "御焱", * password : "123456" * } */ // 判断 body.user 和 body.password 格式是否正确 // 待办事项?? // 判断用户是否已经注册 // 待办事项?? // 保存到新用户到数据库中 // 待办事项?? // 是否注册成功 let 是否注册成功 = true; if (是否注册成功) { // 返回一个注册成功的JOSN数据给前端 return ctx.body = { ok: true, msg: "注册成功", token: getToken({ user: body.user, password: body.password }) } } else { // 返回一个注册失败的JOSN数据给前端 return ctx.body = { ok: false, msg: "注册失败" } }}));/* 获取一个期限为4小时的token */function getToken(payload = {}) { return jwt.sign(payload, secret, { expiresIn: "4h" });}3、登录/* GET /api/login 登录 */app.use(route.get("/api/login", async (ctx, next) => { const query = ctx.request.query; /* * query = { * user : "御焱", * password : "123456" * } */ // 判断 query.user 和 query.password 格式是否正确 // 待办事项?? // 判断是否已经注册 // 待办事项?? // 判断姓名、学号是否正确 // 待办事项?? return ctx.body = { ok: true, msg: "登录成功", token: getToken({ user: query.user, password: query.password }) }}));前端获取到token之后，可以保存在任意本地存储里。4、信息/* GET /api/info 信息 */app.use(route.get("/api/info", async (ctx, next) => { // 前端访问时会附带token在请求头 payload = getJWTPayload(ctx.headers.authorization) /* * payload = { * user : "御焱", * iat : 1524042454, * exp : 1524056854 * } */ // 根据 payload.user 查询该用户在数据库中的信息 // 待办事项?? const info = { name: "御焱", age: 10, sex: "男" } let 获取信息成功 = true; if (获取信息成功) { return ctx.body = { ok: true, msg: "获取信息成功", data: info } } else { return ctx.body = { ok: false, msg: "获取信息失败" } }}));/* 通过token获取JWT的payload部分 */function getJWTPayload(token) { // 验证并解析JWT return jwt.verify(token.split(" ")[1], secret);}访问需要认证的接口时，需要在request头附带Authorization:Bearer [token]字段。相信看了本文案例你已经掌握了方法，更多精彩请关注Gxl网其它相关文章！推荐阅读：Vue.js开发mpvue框架步骤详解jquery fullpage插件添加头部与尾部版权相关vue里使用sass配置步骤详解

业务场景 在前后分离场景下，越来越多的项目使用token作为接口的安全机制，APP端或者WEB端（使用VUE、REACTJS等构建）使用token与后端接口交互，以达到安全的目的。本文结合stackover以及本身项目实践，试图总结出一个通用的，可落地的方案。 基本思路 用户仅登录一次，用户改变密码，则废除token，重新登录 1.0实现 1.登录成功，返回access_token和refresh_token，客户端缓存此两种token;2.使用access_token请求接口资源，成功则调用成功；如果token超时，客户端携带refresh_token调用中间件接口获取新的access_token;3.中间件接受刷新token的请求后，检查refresh_token是否过期。如过期，拒绝刷新，客户端收到该状态后，跳转到登录页；如未过期，生成新的access_token和refresh_token并返回给客户端（如有可能，让旧的refresh_token失效），客户端携带新的access_token重新调用上面的资源接口。4.客户端退出登录或修改密码后，调用中间件注销旧的token(使access_token和refresh_token失效)，同时清空客户端的access_token和refresh_toke。 后端表id user_id client_id client_secret refresh_token expire_in create_date del_flag 2.0实现 场景： access_token访问资源 refresh_token授权访问 设置固定时间X必须重新登录 1.登录成功，后台jwt生成access_token（jwt有效期30分钟）和refresh_token（jwt有效期15天），并缓存到redis（hash-key为token,sub-key为手机号,value为设备唯一编号（根据手机号码，可以人工废除全部token，也可以根据sub-key,废除部分设备的token。），设置过期时间为1个月，保证最终所有token都能删除)，返回后，客户端缓存此两种token;2.使用access_token请求接口资源，校验成功且redis中存在该access_token（未废除）则调用成功；如果token超时，中间件删除access_token（废除）；客户端再次携带refresh_token调用中间件接口获取新的access_token;3.中间件接受刷新token的请求后，检查refresh_token是否过期。如过期，拒绝刷新，删除refresh_token（废除）； 客户端收到该状态后，跳转到登录页；如未过期，检查缓存中是否有refresh_token（是否被废除），如果有，则生成新的access_token并返回给客户端，客户端接着携带新的access_token重新调用上面的资源接口。4.客户端退出登录或修改密码后，调用中间件注销旧的token(中间件删除access_token和refresh_token（废除）)，同时清空客户端侧的access_token和refresh_toke。5.如手机丢失，可以根据手机号人工废除指定用户设备关联的token。6.以上3刷新access_token可以增加根据登录时间判断最长X时间必须重新登录，此时则拒绝刷新token。（拒绝的场景：失效，长时间未登录，频繁刷新） 2.0 变动1.登录2.登录拦截器3.增加刷新access_token接口4.退出登录5.修改密码 3.0实现 场景：自动续期 长时间未使用需重新登录 1.登录成功，后台jwt生成access_token（jwt有效期30分钟），并缓存到redis（hash-key为access_token,sub-key为手机号,value为设备唯一编号（根据手机号码，可以人工废除全部token），设置access_token过期时间为7天，保证最终所有token都能删除)，返回后，客户端缓存此token; 2.使用access_token请求接口资源，校验成功且redis中存在该access_token（未废除）则调用成功；如果token超时，中间件删除access_token（废除）,同时生成新的access_token并返回。客户端收到新的access_token，再次请求接口资源。 3.客户端退出登录或修改密码后，调用中间件注销旧的token(中间件删除access_token（废除）)，同时清空客户端侧的access_token。 4.以上2 可以增加根据登录时间判断最长X时间必须重新登录，此时则拒绝刷新token。（拒绝的场景：长时间未登录，频繁刷新） 5.如手机丢失，可以根据手机号人工废除指定用户设备关联的token。 3.0 变动 1.登录2.登录拦截器3.退出登录4.修改密码 1.3 场景：token过期重新登录 长时间未使用需重新登录 1.登录成功，后台jwt生成access_token（jwt有效期7天），并缓存到redis，key为 "user_id:access_token",value为access_token（根据用户id，可以人工废除指定用户全部token），设置缓存过期时间为7天，保证最终所有token都能删除，请求返回后，客户端缓存此access_token； 2.使用access_token请求接口资源，校验成功且redis中存在该access_token（未废除）则调用成功；如果token超时，中间件删除access_token（废除）,同时生成新的access_token并返回。客户端收到新的access_token，再次请求接口资源。 3.客户端退出登录或修改密码后，调用中间件注销旧的token(中间件删除access_token（废除）)，同时清空客户端侧的access_token。 4.以上2 可以增加根据登录时间判断最长X时间必须重新登录，此时则拒绝刷新token。（拒绝的场景：长时间未登录，频繁刷新） 5.如手机丢失，可以根据手机号人工废除指定用户设备关联的token。 1.3 变动 1.登录2.登录拦截器3.退出登录4.修改密码 2.0 场景： access_token访问资源 refresh_token授权访问 设置固定时间X必须重新登录 1.登录成功，后台jwt生成access_token（jwt有效期30分钟）和refresh_token（jwt有效期15天），并缓 存到redis（hash-key为token,sub-key为手机号,value为设备唯一编号（根据手机号码，可以人工废除全 部token，也可以根据sub-key,废除部分设备的token。），设置过期时间为1个月，保证最终所有token都 能删除)，返回后，客户端缓存此两种token; 2.使用access_token请求接口资源，校验成功且redis中存在该access_token（未废除）则调用成功；如果 token超时，中间件删除access_token（废除）；客户端再次携带refresh_token调用中间件接口获取新的 access_token; 3.中间件接受刷新token的请求后，检查refresh_token是否过期。 如过期，拒绝刷新，删除refresh_token（废除）； 客户端收到该状态后，跳转到登录页； 如未过期，检查缓存中是否有refresh_token（是否被废除），如果有，则生成新的access_token并返回给 客户端，客户端接着携带新的access_token重新调用上面的资源接口。 4.客户端退出登录或修改密码后，调用中间件注销旧的token(中间件删除access_token和refresh_token（ 废除）)，同时清空客户端侧的access_token和refresh_toke。 5.如手机丢失，可以根据手机号人工废除指定用户设备关联的token。 6.以上3刷新access_token可以增加根据登录时间判断最长X时间必须重新登录，此时则拒绝刷新token。（ 拒绝的场景：失效，长时间未登录，频繁刷新） 2.0 变动 1.登录 2.登录拦截器 3.增加刷新access_token接口 4.退出登录 5.修改密码 3.0 场景：自动续期 长时间未使用需重新登录 1.登录成功，后台jwt生成access_token（jwt有效期30分钟），并缓存到redis（hash-key为 access_token,sub-key为手机号,value为设备唯一编号（根据手机号码，可以人工废除全部token，也可以 根据sub-key,废除部分设备的token。），设置access_token过期时间为1个月，保证最终所有token都能删 除)，返回后，客户端缓存此token; 2.使用access_token请求接口资源，校验成功且redis中存在该access_token（未废除）则调用成功；如果 token超时，中间件删除access_token（废除）,同时生成新的access_token并返回。客户端收到新的 access_token， 再次请求接口资源。 3.客户端退出登录或修改密码后，调用中间件注销旧的token(中间件删除access_token（废除）)，同时清 空客户端侧的access_token。 4.以上2 可以增加根据登录时间判断最长X时间必须重新登录，此时则拒绝刷新token。（拒绝的场景：长 时间未登录，频繁刷新） 5.如手机丢失，可以根据手机号人工废除指定用户设备关联的token。 3.0 变动 1.登录 2.登录拦截器 3.退出登录 4.修改密码 4.0 场景：token过期重新登录 长时间未使用需重新登录 1.登录成功，后台jwt生成access_token（jwt有效期7天），并缓存到redis，key为 "user_id:access_token" + 用户id,value为access_token（根据用户id，可以人工废除指定用户全部 token），设置缓存过期时间为7天，保证最终所有token都能删除，请求返回后，客户端缓存此 access_token； 2.使用access_token请求接口资源，校验成功且redis中存在该access_token（未废除）则调用成功；如果 token超时，中间件删除access_token（废除）,同时生成新的access_token并返回。客户端收到新的 access_token， 再次请求接口资源。 3.客户端退出登录或修改密码后，调用中间件注销旧的token(中间件删除access_token（废除）)，同时清 空客户端侧的access_token。 4.以上2 可以增加根据登录时间判断最长X时间必须重新登录，此时则拒绝刷新token。（拒绝的场景：长 时间未登录，频繁刷新） 5.如手机丢失，可以根据手机号人工废除指定用户设备关联的token。 4.0 变动 1.登录 2.登录拦截器 3.退出登录 4.修改密码 最终实现 后端

本文适合： 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学，对SpringSecurity有兴趣的也可以当作你们的入门教程，示例代码中也有很多注释。 大家在做系统的时候，一般做的第一个模块就是 认证与授权 模块，因为这是一个系统的入口，也是一个系统最重要最基础的一环，在认证与授权服务设计搭建好了之后，剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring Security，也有大部分公司选择自己研制。出于之前看过很多Spring Security的入门教程，但都觉得讲的不是太好，所以我这两天在自己鼓捣Spring Security的时候萌生了分享一下的想法，希望可以帮助到有兴趣的人。 Spring Security框架我们主要用它就是解决一个认证授权功能，所以我的文章主要会分为两部分： 我会为大家用一个Spring Security + JWT + 缓存的一个demo来展现我要讲的东西，毕竟脑子的东西要体现在具体事物上才可以更直观的让大家去了解去认识。 学习一件新事物的时候，我推荐使用自顶向下的学习方法，这样可以更好的认识新事物，而不是盲人摸象。 注 ：只涉及到用户认证授权不涉及oauth2之类的第三方授权。 想上手 Spring Security 一定要先了解它的工作流程，因为它不像工具包一样，拿来即用，必须要对它有一定的了解，再根据它的用法进行自定义操作。 我们可以先来看看它的工作流程： 在Spring Security的官方文档上有这么一句话： Spring Security 的web基础是Filters。 这句话展示了Spring Security的设计思想： 即通过一层层的Filters来对web请求做处理。 放到真实的Spring Security中，用文字表述的话可以这样说: 一个web请求会经过一条过滤器链，在经过过滤器链的过程中会完成认证与授权，如果中间发现这条请求未认证或者未授权，会根据被保护API的权限去抛出异常，然后由异常处理器去处理这些异常。 用图片表述的话可以这样画，这是我在百度找到的一张图片： 如上图，一个请求想要访问到API就会以从左到右的形式经过蓝线框框里面的过滤器，其中绿色部分是我们本篇主要讲的负责认证的过滤器，蓝色部分负责异常处理，橙色部分则是负责授权。 图中的这两个绿色过滤器我们今天不会去说，因为这是Spring Security对form表单认证和Basic认证内置的两个Filter，而我们的demo是JWT认证方式所以用不上。 如果你用过Spring Security就应该知道配置中有两个叫formLogin和httpBasic的配置项，在配置中打开了它俩就对应着打开了上面的过滤器。 换言之，你配置了这两种认证方式，过滤器链中才会加入它们，否则它们是不会被加到过滤器链中去的。 因为Spring Security自带的过滤器中是没有针对JWT这种认证方式的，所以我们的demo中会 写一个JWT的认证过滤器，然后放在绿色的位置进行认证工作。 知道了Spring Security的大致工作流程之后，我们还需要知道一些非常重要的概念也可以说是组件： 上下文对象，认证后的数据就放在这里面，接口定义如下： 这个接口里面只有两个方法，其主要作用就是get or set Authentication。 可以说是SecurityContext的工具类，用于get or set or clear SecurityContext，默认会把数据都存储到当前线程中。 这几个方法效果如下： Authentication只是定义了一种在SpringSecurity进行认证过的数据的数据形式应该是怎么样的，要有权限，要有密码，要有身份信息，要有额外信息。 AuthenticationManager定义了一个认证方法，它将一个未认证的Authentication传入，返回一个已认证的Authentication，默认使用的实现类为：ProviderManager。 接下来大家可以构思一下如何将这四个部分，串联起来，构成Spring Security进行认证的流程： 1. 先是一个请求带着身份信息进来 2. 经过AuthenticationManager的认证， 3. 再通过SecurityContextHolder获取SecurityContext， 4. 最后将认证后的信息放入到SecurityContext。 真正开始讲诉我们的认证代码之前，我们首先需要导入必要的依赖，数据库相关的依赖可以自行选择什么JDBC框架，我这里用的是国人二次开发的myabtis-plus。 接着，我们需要定义几个必须的组件。 由于我用的Spring-Boot是2.X所以必须要我们自己定义一个加密器： 这个Bean是不必可少的，Spring Security在认证操作时会使用我们定义的这个加密器，如果没有则会出现异常。 实现UserDetailsService的抽象方法并返回一个 UserDetails 对象，认证过程中SpringSecurity会调用这个方法访问数据库进行对用户的搜索，逻辑什么都可以自定义，无论是从数据库中还是从缓存中，但是我们需要将我们查询出来的用户信息和权限信息组装成一个 UserDetails 返回。 UserDetails 也是一个定义了数据形式的接口，用于保存我们从数据库中查出来的数据，其功能主要是验证账号状态和获取权限，具体实现可以查阅我仓库的代码。 由于我们是JWT的认证模式，所以我们也需要一个帮我们操作Token的工具类，一般来说它具有以下三个方法就够了： 在下文我的代码里面，JwtProvider充当了Token工具类的角色，具体实现可以查阅我仓库的代码。 有了前面的讲解之后，大家应该都知道用SpringSecurity做JWT认证需要我们自己写一个过滤器来做JWT的校验，然后将这个过滤器放到绿色部分。 在我们编写这个过滤器之前，我们还需要进行一个认证操作，因为我们要先访问认证接口拿到token，才能把token放到请求头上，进行接下来请求。 如果你不太明白，不要紧，先接着往下看我会在这节结束再次梳理一下。 访问一个系统，一般最先访问的是认证方法，这里我写了最简略的认证需要的几个步骤，因为实际系统中我们还要写登录记录啊，前台密码解密啊这些操作。 这里一共五个步骤，大概只有前四步是比较陌生的： 这样的话就算完成了，感觉上很简单，因为主要认证操作都会由authenticationManager.authenticate()帮我们完成。 接下来我们可以看看源码，从中窥得Spring Security是如何帮我们做这个认证的（省略了一部分）： 看了源码之后你会发现和我们平常写的一样，其主要逻辑也是查数据库然后对比密码。 登录之后效果如下： 我们返回token之后，下次请求其他API的时候就要在请求头中带上这个token，都按照JWT的标准来做就可以。 有了token之后，我们要把过滤器放在过滤器链中，用于解析token，因为我们没有session，所以我们每次去辨别这是哪个用户的请求的时候，都是根据请求中的token来解析出来当前是哪个用户。 所以我们需要一个过滤器去拦截所有请求，前文我们也说过，这个过滤器我们会放在绿色部分用来替代UsernamePasswordAuthenticationFilter，所以我们新建一个JwtAuthenticationTokenFilter，然后将它注册为Bean，并在编写配置文件的时候需要加上这个： addFilterBefore的语义是添加一个Filter到XXXFilter之前，放在这里就是把JwtAuthenticationTokenFilter放在UsernamePasswordAuthenticationFilter之前，因为filter的执行也是有顺序的，我们必须要把我们的filter放在过滤器链中绿色的部分才会起到自动认证的效果。 接下来我们可以看看JwtAuthenticationTokenFilter的具体实现了： 代码里步骤虽然说的很详细了，但是可能因为代码过长不利于阅读，我还是简单说说，也可以直接去仓库查看源码： 这样的话，每一个带有正确token的请求进来之后，都会找到它的账号信息，并放在上下文对象中，我们可以使用SecurityContextHolder很方便的拿到上下文对象中的Authentication对象。 完成之后，启动我们的demo，可以看到过滤器链中有以下过滤器，其中我们自定义的是第5个： 就酱，我们登录完了之后获取到的账号信息与角色信息我们都会放到缓存中，当带着token的请求来到时，我们就把它从缓存中拿出来，再次放到上下文对象中去。 结合认证方法，我们的逻辑链就变成了： 登录拿到token请求带上tokenJWT过滤器拦截校验token将从缓存中查出来的对象放到上下文中 这样之后，我们认证的逻辑就算完成了。 认证和JWT过滤器完成后，这个JWT的项目其实就可以跑起来了，可以实现我们想要的效果，如果想让程序更健壮，我们还需要再加一些辅助功能，让代码更友好。 当用户未登录或者token解析失败时会触发这个处理器，返回一个非法访问的结果。 当用户本身权限不满足所访问API需要的权限时，触发这个处理器，返回一个权限不足的结果。 用户退出一般就是清除掉上下文对象和缓存就行了，你也可以做一下附加操作，这两步是必须的。 JWT的项目token刷新也是必不可少的，这里刷新token的主要方法放在了token工具类里面，刷新完了把缓存重载一遍就行了，因为缓存是有有效期的，重新put可以重置失效时间。 这篇文我从上周日就开始构思了，为了能讲的老妪能解，修修改改了几遍才发出来。 作者：和耳朵 链接：https://juejin.cn/post/6846687598442708999

什么是JWT pom.xml JWTUtil.java 用户登录操作 在前后分离场景下，越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后，用户无法直接感知，假如在用户操作页面期间，突然提示登录，则体验很不友好，所以就有了token自动刷新需求； 方案：前端控制检测token，无感知刷新 用户登录成功的时候，一次性给他两个Token，分别为AccessToken和RefreshToken AccessToken有效期较短,比如1天或者5天，用于正常请求 RefreshToken有效期可以设置长一些，例如10天、20天，作为刷新AccessToken的凭证 刷新方案：当AccessToken即将过期的时候，例如提前30分钟，客户端利用RefreshToken请求指定的API获取新的AccessToken并更新本地存储中的AccessToken 核心逻辑 1、登录成功后，jwt生成AccessToken； UUID生成RefreshToken并存储在服务端redis中,设置过期时间 2、接口返回3个字段AccessToken/RefreshToken/访问令牌过期时间戳 3、由于RefreshToken存储在服务端redis中，假如这个RefreshToken也过期，则提示重新登录； 老王的疑问：RefreshToken有效期那么长，和直接将AccessToken的有效期延长有什么区别 答：RefreshToken不像AccessToken那样在大多数请求中都被使用，主要是本地检测accessToken快过期的时候才使用， 一般本地存储的时候，也不叫refreshToken,前端可以取个别名，混淆代码让攻击者不能直接识别这个就是刷新令牌 缺点：前端每次请求需要判断token距离过期时间 优点：后端压力小，代码逻辑改动不大 刷新token方法未实现。

前后端分离架构带来的好处一搜一大堆，我们来看一下分离后后端接口的安全问题。 前后端分离架构现状： 这样的情况后端api是暴露在外网中，因为常规的web项目无论如何前端都是要通过公网访问到后台api的，带来的隐患也有很多。 1.接口公开，谁都可以访问 2.数据请求的参数在传输过程被篡改 3.接口被重复调用 ... session和cookie都是客户端与服务端通讯需要提供的认证，当客户端的值和服务器的值吻合时，才允许请求api，解决了第1个问题，但是当攻击者获取到了传输过程中的session或者cookie值后，就可以进行第2、3种攻击了 JWT标准的token包含三部分： 头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等 将上面的JSON对象进行 [base64编码] 可以得到下面的字符串。这个字符串我们将它称作JWT的Header Payload也是一个JSON对象。包含了一些其他的信息 这里面的前五个字段都是由JWT的标准所定义的。 将上面的JSON对象进行 [base64编码] 可以得到下面的字符串。这个字符串我们将它称作JWT的Payload 将上面的两个编码后的字符串都用句号 . 连接在一起（头部在前），就形成了 最后，我们将上面拼接完的字符串用 HS256算法 进行加密。在加密的时候，我们还需要提供一个 密钥（secret） 。如果我们用 mystar 作为密钥的话，那么就可以得到我们加密后的内容 这一部分叫做 签名 最后将这一部分签名也拼接在被签名的字符串后面，我们就得到了完整的JWT 签名解决了数据传输过程中参数被篡改的风险 一般而言，加密算法对于不同的输入产生的输出总是不一样的，如果有人 对Header以及Payload的内容解码之后进行修改，再进行编码的话，那么新的头部和载荷的签名和之前的签名就将是不一样的。 而且，如果不知道服务器加密的时候用的密钥的话，得出来的签名也一定会是不一样的。 解决了篡改数据的问题，还有第3个问题，那就是攻击者不修改数据，只是重复攻击 比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统，黑客还是可以利用窃取的Token模拟正常请求，而服务器端对此完全不知道， 因为JWT机制是无状态的。 可以在Payload里增加时间戳并且前后端都参与来解决：

15天。前端发起请求，后端验证token（A）是否过期；如果过期，前端发起刷新token请求，后端设置已再次授权标记为true，请求成功前端发起请求，后端验证再次授权标记，如果已经再次授权，则拒绝刷新token的请求，请求成功，如果前端每隔72小时，必须重新登录，后端检查用户最后一次登录日期，如超过72小时，则拒绝刷新token的请求，请求失败。

1、JWT的构成 - 头部(header):描述该JWT的最基本的信息，如类型以及签名所用的算法。 - 负载(payload):存放有效信息的地方。 - 签证(signature):base64加密后的header、base64加密后的payload和密钥secret加密后组成。 2、整合JWT 2.1 引入JWT依赖 com.auth0 java-jwt 3.18.3 2.2 编写JWTUtils工具类 package com.stock.utils; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTCreator; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import com.auth0.jwt.interfaces.Verification; import java.util.Calendar; import java.util.Map; public class JWTUtils { private static final String SING="@#$%^&*"; // 生成token public static String getToken(Map map){ Calendar instance = Calendar.getInstance(); instance.add(Calendar.MINUTE,30); //创建jwt builder JWTCreator.Builder builder = JWT.create(); //payload builder.withExpiresAt(instance.getTime()); map.forEach((k,v)->{ builder.withClaim(k,v); }); //设置签名 String token = builder.sign(Algorithm.HMAC256(SING)); return token; } //验证令牌 public static void verifyToken(String token){ JWTVerifier require = JWT.require(Algorithm.HMAC256(SING)).build(); require.verify(token); } //获取token信息 public static DecodedJWT getTokenInfo(String token){ DecodedJWT verify = JWT.require(Algorithm.HMAC256(SING)).build().verify(token); return verify; } } 2.3 编写拦截器 public class JWTInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) { System.out.println("OPTIONS请求，放行"); return true; } HashMap map = new HashMap>(); String token = request.getHeader("token"); try { JWTUtils.verifyToken(token); return true; }catch (SignatureVerificationException e){ map.put("msg","无效签名!"); }catch (TokenExpiredException e){ map.put("msg","token过期!"); }catch (AlgorithmMismatchException e){ map.put("msg","token加密算法不一致"); }catch (Exception e){ map.put("msg","无效签名!"); } map.put("state",404); map.put("path","/login"); //将map转化为字符串返回给前端 String result = new ObjectMapper().writeValueAsString(map); response.setContentType("application/json;charset=UTF-8"); response.getWriter().println(result); return false; } } 注意： 1、token存放在请求的header中； 2、在前后端分离的项目中，发送的GET/POST请求实则为两次请求。第一次请求为OPTIONS请求，第二次请求才是GET/POST请求；在OPTIONS请求中，不会携带请求头的参数，会导致在拦截器上获取请求头为空，自定义的拦截器拦截成功。第一次请求不能通过，就不能获取第二次的请求。所以需要在拦截器中加上如下代码来判断是否为OPTIONS请求，对于OPTIONS请求直接放过。 if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) { System.out.println("OPTIONS请求，放行"); return true; } 2.4 配置拦截器 package com.stock.config; import com.stock.Interceptors.JWTInterceptor; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class IntercepterConfg implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JWTInterceptor()) .addPathPatterns("/**") .excludePathPatterns("/login"); } } 2.5 编写Controller package com.stock.controller; import com.stock.entity.User; import com.stock.result.Result; import com.stock.service.UserService; import com.stock.utils.JWTUtils; import com.stock.utils.ResultUtils; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; import java.util.HashMap; @RestController public class LoginController { private UserService userService; @Autowired public LoginController(UserService userService) { this.userService = userService; } @PostMapping("/login") public Result register(User user){ HashMap map = new HashMap>(); map.put("username",user.getUserName()); String token = JWTUtils.getToken(map); HashMap data = new HashMap>(); data.put("token",token); return ResultUtils.getresult(200,"登录成功!",data); } @GetMapping("/main") public Result tomain(){ return ResultUtils.getresult(200,"访问成功",null); } } 2.6使用Postman测试 - 未登录前访问127.0.0.1:8888/main - 先登录再访问127.0.0.1:8888/main

JWT全称“JSON Web Token”，是基于JSON的用户身份认证的令牌。可跨域身份认证，所以JWT很适合做分布式的鉴权，单点登录（SingleSign,SSO）。 jwt有三部分组成用符号"."隔开， HEADER：token头，描述token是什么类型，加密方式是什么，把json内容转为base64 PAYLOAD:内容，是暴露出来的信息，不可存敏感信息,把json内容转为base64 SIGNATURE:签名，按token头的加密方式把HEADER和PAYLOAD的信息加密生成签名，下面是官网上面的介绍，地址： https://jwt.io/ jwt的token是不可以篡改的，虽然前两部分的内容可以base64解码之后就能看到明文，但由于第三部分签名是把前两部分内容用一个密钥加密的，验证的时候也是把前两部分内容再次加密和原来签名对比是否一致，若内容被篡改了，则两次签名不一致校验不通过。 问题一：同一个公司的系统 ，不如果每个系统都有一套自己的用户名密码，那用户记 得头都大了啊。所以这时产生了一个鉴权中心，全部系统用同一套用户信息，同一个地方登录。 问题二：用同一套用户信息可以了，但如果进每个系统都要输一次账户密码登录还是很麻烦的。所以这里还要一处登录 ，处处登录，登录了其中一个系统，进入其它系统的时候不需要登录 效果如下图所示 用户在sso中心登录后的token在站点A，站点B都能使用，并且站点A，站点B和sso中心不需要通讯也能自己鉴别token是否是有效的。 怎么做到站点和sso串联呢？具体的流程是用户打开站点A，发现未登录 ，那站点A会跳转到sso中心登录并且把自己的url带上，sso中心登录成功后，跳转回站点带过来的url并把token也带上。 那站点A登录成功了，站点B怎么共享这个Token呢，做法是，sso中心登录成功的时候同时存一份Token到cookie(或localstorage等地方)，当用户进入站点B的时候，发现没登录，跳转到sso中心带上自己的url，sso中心发现cookie有token了，直接跳转回站点B的url并把token带上，这样站点B就能实现token共享和自动登录了。 新建一个AuthenticationCenter项目 新建一个AuthenticatinController控制器 Login的view视图 其它相关类 上面sso的登录功能就完成了，打开Login页面就能获取到Token了。 新建一个站点A 修改startup.cs文件，在ConfigureServices方法里加上 在Configure方法里加上 新建一个UserController 其它相关类 密钥要和sso中心的保持一致，上面的5000端口是sso的端口，27271端口是站点端口。

不是一回事shiro是一套权限管理框架，包括认证、授权等，在使用时直接写相应的接口就可以了，已经把底层处理都写好了而jwt只是一种生成token的机制，所有权限处理逻辑还需要自己写

启动项目时，SpringBoot自动检索所有带@Configuration的注解，所以就将我们的WebSecurityConfig给加载了，这个config中，我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口，这个接口中只有一个方法，那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要我们按照我们的不同业务场景重写 WebSecurityConfig MyUserDetailsService 其实如果去掉上面的将自定义的JWT过滤器加入到过滤链中的话，这个认证过程已经完成了。使用下面的代码就可以调用起整个认证程序。 核心代码 这一行就会将username和password放到认证程序中进行认证。 也就是需要我们自己的逻辑让他去触发这个代码的实现。就可以自动完成认证程序了。就会触发使用username获取到数据库用户信息，然后经过密码加密比对之后会将认证结果返回。 我们整合JWT其实也很简单，其实就是将JWT的登录部分的操作，使用过滤器封装，将该过滤器放到整个认证的过滤链中 SpringSecurity过滤器的配置无非以下几个条件 先解决逻辑上以上三个问题的答案 针对以上解答，下面用代码来做展示（ps:序号依次对应上面） 完成了以上的配置，前台就可以使用/login/user来进行登录操作了。登录成功会返回一个JSON对象来供前端判断成功与否 全部代码奉上，随意写的注释有点多，不看的可以给删掉

具体如下。最简单方便，直接修改请求头中的key值就可以了，我是将keyApp_Token修改成App-Token就可以正常获取了。去掉Nginx的限制，在Nginx里的nginx.conf配置文件中的http部分将nderscores_in_headers默认的off修改为如果原本没有就直接添加underscores_in_headerson;即可。：token需要查库验证token是否有效，而JWT不用查库或者少查库，直接在服务端进行校验，并且不用查库。服务端验证客户端发送的token信息要进行数据的查询操作Jwt验证客户端发来的token就不用，在服务端使用密钥校验就可以，不用数据库的查询。

您好，想要知道他单点登录的一些原理的话，那么其实是需要学习的。或者也可以问一下吧，不知道你能不能够理解。

第二个错了，少了个负号。不过这里的i和j都是虚数单位，一般情况下（四元数除外）可以互换。

这个库已经没人维护了，他们现在新搞了一个，具体可以去github上看 jwt(json web token)是一种用于前后端身份认证的方法,一个jwt由header，payload，和signature组成。 1.Claims claims是一个实现了Valid方法的interface，Valid方法用于判断该claim是否合法 2.Keyfunc Keyfunc在使用时一般都是返回secret密钥，可以根据Token的种类不同返回不同的密钥. 官方文档:This allows you to use properties in the Header of the token (such as "kid") to identify which key to use. 3.Mapclaims 一个用于放decode出来的claim的map,有Vaild和一系列VerifyXXX的方法 4.Parser 用来将tokenstr转换成token 5.SigningMethod 签名方法的接口，可以通过实现这个接口自定义签名方法，jwt-go内置一些实现了SigningMethod的结构体 6.StandardClaims jwt官方规定的一些预定义的payload: 7.Token Token的结构体 8.ValidationError 定义解析Token时遇到的一些错误 首先我们先来看Parse() 实际上是调用了ParseWithClaims,第二个参数就是一个map[string]interface,这个函数的源码如下,这个函数内部调用的ParseUnverified,我们先来看看这个函数 官方的解释是，这个函数不校验签名的有效性，只单纯负责把tokenStr变成Token对象，而之后的事情就是交给ParseWithClaims来做啦 可以看到，ParseUnverified这个方法真的只是单纯的解码Header段和Claim段，然后检查一下用的alg是不是合法，就返回了，让我们继续往下看验证的逻辑 ok,关于解析token的主要方法我们已经看完了，接下来我们来看看如何生成一个token，其实就是反着操作一遍 先看New函数，选择一种SigningMethod，新建一个token，内部调用NewWithClaims 再看NewWithClaims,发现就是简单的给JwtToken的三个部分赋值 最后是SignedString，即使用alg的算法给token加密，生成最终的tokenStr,内部调用了SigningString，所以先看SigningString 发现SigningString就是把token的头部先变成json然后base64url编码，但是没有生成jwtToken的最后一个部分 所以SignedString作用就是用给定的加密方法和你的SecretKey对前面两部分加密，添在token的最后一段，至此token生成完毕

在jwt文件的头文件中可以看token文件失效，Token在计算机身份认证中是令牌（临时）的意思，在词法分析中是标记的意思。一般作为邀请、登录系统使用。

JWT里有一个关键的东东,就是续期TOKEN,即TOKEN快过期时,刷新一个新的TOKEN给客户端. 办法如下: 1.后端生成TOKEN 原签发TOKEN后10分钟后刷新新的TOKEN 2.前端获取TOKEN 注意一点,需要通过过滤器调整FITLER,增加Access-Control-Expose-Headers的输出,否则无法获取response中的header. 至此,JWT的TOKEN续期功能完成.

JWT表示公司字头，JWT8.000即：晶威特电子有限公司产品 频率为8.000MHz的晶振

OAuth2是一个关于授权的开放标准，核心思路是通过各类认证手段（具体什么手段OAuth2不关心）认证用户身份，并颁发token（令牌），使得第三方应用可以使用该令牌在 限定时间 、 限定范围 访问指定资源。主要涉及的RFC规范有 RFC6749 （整体授权框架）, RFC6750 （令牌使用）, RFC6819 （威胁模型）这几个，一般我们需要了解的就是 RFC6749 。获取令牌的方式主要有四种，分别是 授权码模式 ， 简单模式 ， 密码模式 和 客户端模式 ，如何获取token不在本篇文章的讨论范围，我们这里假定客户端已经通过某种方式获取到了access_token，想了解具体的oauth2授权步骤可以移步阮一峰老师的 理解OAuth 2.0 ，里面有非常详细的说明。 这里要先明确几个OAuth2中的几个重要概念： 明确概念后，就可以看OAuth2的协议握手流程，摘自RFC6749 Spring Security是一套安全框架，可以基于RBAC（基于角色的权限控制）对用户的访问权限进行控制，核心思想是通过一系列的filter chain来进行拦截过滤，以下是ss中默认的内置过滤器列表，当然你也可以通过 custom-filter 来自定义扩展filter chain列表 这里面最核心的就是 FILTER_SECURITY_INTERCEPTOR ，通过 FilterInvocationSecurityMetadataSource 来进行资源权限的匹配， AccessDecisionManager 来执行访问策略。 一般意义来说的应用访问安全性，都是围绕认证（Authentication）和授权（Authorization）这两个核心概念来展开的。即首先需要确定用户身份，在确定这个用户是否有访问指定资源的权限。认证这块的解决方案很多，主流的有 CAS 、 SAML2 、 OAUTH2 等（不巧这几个都用过-_-），我们常说的单点登录方案（SSO）说的就是这块，授权的话主流的就是spring security和shiro。shiro我没用过，据说是比较轻量级，相比较而言spring security确实架构比较复杂。 将OAuth2和Spring Security集成，就可以得到一套完整的安全解决方案。 为了便于理解，现在假设有一个名叫“脸盆网”的社交网站，用户在首次登陆时会要求导入用户在facebook的好友列表，以便于快速建立社交关系。具体的授权流程如下： 不难看出，这个假设的场景中，脸盆网就是第三方应用（client），而facebook既充当了认证服务器，又充当了资源服务器。这个流程里面有几个比较重要的关键点，我需要重点说一下，而这也是其他的涉及spring security与OAuth2整合的文章中很少提及的，很容易云里雾里的地方。 细心的同学应该发现了，其实在标准的OAuth2授权过程中，5、6、8这几步都不是必须的，从上面贴的 RFC6749 规范来看，只要有1、2、3、4、7这几步，就完成了被保护资源访问的整个过程。事实上， RFC6749 协议规范本身也并不关心用户身份的部分，它只关心token如何颁发，如何续签，如何用token访问被保护资源（facebook只要保证返回给脸盆网的就是当前用户的好友，至于当前用户是谁脸盆网不需要关心）。那为什么spring security还要做5、6这两步呢？这是因为spring security是一套完整的安全框架，它必须关心用户身份！在实际的使用场景中，OAuth2一般不仅仅用来进行被保护资源的访问，还会被用来做单点登陆（SSO）。在SSO的场景中，用户身份无疑就是核心，而token本身是不携带用户信息的，这样client就没法知道认证服务器发的token到底对应的是哪个用户。设想一下这个场景，脸盆网不想自建用户体系了，想直接用facebook的用户体系，facebook的用户和脸盆网的用户一一对应（其实在很多中小网站现在都是这种模式，可以选择使用微信、QQ、微博等网站的用户直接登陆），这种情况下，脸盆网在通过OAuth2的认证后，就希望拿到用户信息了。所以现在一般主流的OAuth2认证实现，都会预留一个用户信息获取接口，就是上面提到的 https://api.facebook.com/user (虽然这不是OAuth2授权流程中必须的)，这样client在拿到token后，就可以携带token通过这个接口获取用户信息，完成SSO的整个过程。另外从用户体验的角度来说，如果获取不到用户信息，则意味者每次要从脸盆网访问facebook的资源，都需要重定向一次进行认证，用户体验也不好。 首先要明确一点， OAuth2并不是一个SSO框架，但可以实现SSO功能 。以下是一个使用github作为OAuth2认证服务器的配置文件 可以看到 accessTokenUri 和 userAuthorizationUri 都是为了完成OAuth2的授权流程所必须的配置，而 userInfoUri 则是spring security框架为了完成SSO所必须要的。所以总结一下就是： 通过将用户信息这个资源设置为被保护资源，可以使用OAuth2技术实现单点登陆（SSO），而Spring Security OAuth2就是这种OAuth2 SSO方案的一个实现。 Spring Security在调用user接口成功后，会构造一个 OAuth2Authentication 对象，这个对象是我们通常使用的 UsernamePasswordAuthenticationToken 对象的一个超集，里面封装了一个标准的 UsernamePasswordAuthenticationToken ，同时在 detail 中还携带了OAuth2认证中需要用到的一些关键信息（比如 tokenValue ， tokenType 等），这时候就完成了SSO的登陆认证过程。后续用户如果再想访问被保护资源，spring security只需要从principal中取出这个用户的token，再去访问资源服务器就行了，而不需要每次进行用户授权。这里要注意的一点是 此时浏览器与client之间仍然是通过传统的cookie-session机制来保持会话，而非通过token。实际上在SSO的过程中，使用到token访问的只有client与resource server之间获取user信息那一次，token的信息是保存在client的session中的，而不是在用户本地 。这也是之前我没搞清楚的地方，以为浏览器和client之间也是使用token，绕了不少弯路，对于Spring Security来说， 不管是用cas、saml2还是Oauth2来实现SSO，最后和用户建立会话保持的方式都是一样的 。 根据前面所说，大家不难看出，OAuth2的SSO方案和CAS、SAML2这样的纯SSO框架是有本质区别的。在CAS和SAML2中，没有资源服务器的概念，只有认证客户端（需要验证客户信息的应用）和认证服务器（提供认证服务的应用）的概念。在CAS中这叫做 cas-client 和 cas-server ，SAML2中这叫做 Service Providers 和 Identity Provider ，可以看出CAS、SAML2规范天生就是为SSO设计的，在报文结构上都考虑到了用户信息的问题（SAML2规范甚至还带了权限信息），而OAuth2本身不是专门为SSO设计的，主要是为了解决资源第三方授权访问的问题，所以在用户信息方面，还需要额外提供一个接口。 脸盆网的这个例子中，我们看到资源服务器和认证服务器是在一起的（都是facebook），在互联网场景下一般你很难找到一个独立的、权威的、第三方的认证中心（你很难想像腾讯的QQ空间通过支付宝的认证中心去授权，也很难想像使用谷歌服务要通过亚马逊去授权）。但是如果是在公司内部，这种场景其实是很多的，尤其在微服务架构下，有大量服务会对外提供资源访问，他们都需要做权限控制。那么最合理的当然就是建立一个统一的认证中心，而不是每个服务都做一个认证中心。我们前面也介绍了，token本身是不携带用户信息的，在分离后resouce server在收到请求后，如何检验token的真实性？又如何从token中获取对应的用户信息？这部分的介绍网上其实非常少，幸好我们可以直接从官方文档获取相关的蛛丝马迹，官方文档对于resouce server的配置是这样描述的： 寥寥数语，但已经足够我们分析了。从这个配置可以看出，client在访问resource server的被保护资源时，如果没有携带token，则资源服务器直接返回一个401未认证的错误 如果携带了token，则资源服务器会使用这个token向认证服务器发起一个用户查询的请求，若token错误或已经失效，则会返回 若token验证成功，则认证服务器向资源服务器返回对应的用户信息，此时resource server的spring security安全框架就可以按照标准的授权流程进行访问权限控制了。 从这个流程中我们可以看出，通过OAuth2进行SSO认证，有一个好处是做到了 认证与授权的解耦 。从日常的使用场景来说，认证比较容易做到统一和抽象，毕竟你就是你，走到哪里都是你，但是你在不同系统里面的角色，却可能千差万别（家里你是父亲，单位里你是员工，父母那里你是子女）。同时角色的设计，又是和资源服务器的设计强相关的。从前面的配置中不难发现，如果希望获得为不同资源服务器设计的角色，你只需要替换 https://api.facebook.com/user 这个配置就行了，这为我们的权限控制带来了更大的灵活性，而这是传统的比如SAML2这样的SSO框架做不到的。 终于来到了著名的JWT部分了，JWT全称为Json Web Token，最近随着微服务架构的流行而越来越火，号称新一代的认证技术。今天我们就来看一下，jwt的本质到底是什么。 我们先来看一下OAuth2的token技术有没有什么痛点，相信从之前的介绍中你也发现了，token技术最大的问题是 不携带用户信息 ，且资源服务器无法进行本地验证，每次对于资源的访问，资源服务器都需要向认证服务器发起请求，一是验证token的有效性，二是获取token对应的用户信息。如果有大量的此类请求，无疑处理效率是很低的，且认证服务器会变成一个中心节点，对于SLA和处理性能等均有很高的要求，这在分布式架构下是很要命的。 JWT就是在这样的背景下诞生的，从本质上来说，jwt就是一种 特殊格式 的token。普通的oauth2颁发的就是一串随机hash字符串，本身无意义，而jwt格式的token是有特定含义的，分为三部分： 这三部分均用base64进行编码，当中用 . 进行分隔，一个典型的jwt格式的token类似 xxxxx.yyyyy.zzzzz 。关于jwt格式的更多具体说明，不是本文讨论的重点，大家可以直接去官网查看 官方文档 ，这里不过多赘述。 相信看到签名大家都很熟悉了，没错，jwt其实并不是什么高深莫测的技术，相反非常简单。认证服务器通过对称或非对称的加密方式利用 payload 生成 signature ，并在 header 中申明签名方式，仅此而已。通过这种本质上极其传统的方式，jwt可以实现 分布式的token验证功能 ，即资源服务器通过事先维护好的对称或者非对称密钥（非对称的话就是认证服务器提供的公钥），直接在本地验证token，这种去中心化的验证机制无疑很对现在分布式架构的胃口。jwt相对于传统的token来说，解决以下两个痛点： 在上面的那个资源服务器和认证服务器分离的例子中，如果认证服务器颁发的是jwt格式的token，那么资源服务器就可以直接自己验证token的有效性并绑定用户，这无疑大大提升了处理效率且减少了单点隐患。 就像布鲁克斯在《人月神话》中所说的名言一样：“没有银弹”。JWT的使用上现在也有一种误区，认为传统的认证方式都应该被jwt取代。事实上，jwt也不能解决一切问题，它也有适用场景和不适用场景。 适用场景： 这些场景能充分发挥jwt无状态以及分布式验证的优势 不适用的场景： 不要试图用jwt去代替session。 这种模式下其实传统的session+cookie机制工作的更好，jwt因为其无状态和分布式，事实上只要在有效期内，是无法作废的，用户的签退更多是一个客户端的签退，服务端token仍然有效，你只要使用这个token，仍然可以登陆系统。另外一个问题是续签问题，使用token，无疑令续签变得十分麻烦，当然你也可以通过redis去记录token状态，并在用户访问后更新这个状态，但这就是硬生生把jwt的无状态搞成有状态了，而这些在传统的session+cookie机制中都是不需要去考虑的。这种场景下，考虑高可用，我更加推荐采用分布式的session机制，现在已经有很多的成熟框架可供选择了（比如spring session）。

jwt一般存在在sessionStorage、cookie或localStorage里。jwt即JSON Web Token，是一种认证协议，一般用来校验请求的身份信息和身份权限。sessionStorage是会话级存储，关闭页面或浏览器后会被清除；用cookie存储时需要注意防范CSRF攻击，前网页的URL要与请求目标一致；用localStorage存储不易受到CSRF的影响，需要通过代码来实现，容易受到XSS攻击。

GWT单点登录原理这是一个技术原始问题，服务器这边准备一个密码字符串，各服务器保持字符串一样。当用户登录一台服务器成功后，服务器将他的账号和密码字符串通过算法整合一下，形成一个新的字符串。通常这个算法会将密码字符串用哈希的方式来处理，但账号可以直接在新的字符串中拿到。这样，服务器将这个新的字符串给用户(即保存在cookie中，或保存在storage中)。用户每次访问，都会带上这个字符串(类似jsessionid)。服务器这边拿到用户带来的字符串，从中取出账号，将账号和服务器这边存。字符串在存储上类似字符数组，它每一位单个元素都是能提取的，字符串的零位是它的长度，如s[0]=10，这提供给我们很多方便，例如高精度运算时每一位都能转化为数字存入数组。通常以串的整体作为操作对象，如：在串中查找某个子串、求取一个子串、在串的某个位置上插入一个子串以及删除一个子串等。两个字符串相等的充要条件是：长度相等，并且各个对应位置上的字符都相等。设p、q是两个串，求q在p中首次出现的位置的运算叫做模式匹配。串的两种最基本的存储方式是顺序存储方式和链接存储方式。

用户登录时调用后端认证接口，后端验证用户成功之后生成两个token，access_token和refresh_token，后端将用户信息和这两个token打包成JWT后并返回给前端。前端在获取到登录成功返回的两个token之后，将之存放到localStorage本地存储中。JWT设置了过期时间以后，一定超过，那么接口就不能访问了，需要用户重新登录获取token。如果经常需要用户重新登录，显然这种体验不是太好，因此很多应用会采用token过期后自动续期的方案，只有特定条件下才会让用户重新登录。JWT是一种授权的场景，可以用来在非常有限的时间内允许用户使用服务终端访问服务器，在整个会话过程中JWT用户身份认证，JWT也会存在过期，这时就需要进行更新处理，以达到提升安全性的目的。

我们来继续前两章（ OAuth2 总结 , 对OpenID Connect的理解 ）的讨论，进入对JWT的理解。先来简单回顾一下OAuth2和OpenID： OpenID建立在OAuth之上，完成了认证和授权。而认证和授权的结果就体现在这个ID token之上，而这个ID token通常会是JWT。那么为什么会是JWT呢？我们通过以下几点来逐一解释。 JWT RFC 7519 给出了官方定义的一些字段： 当然也不限于此，可以根据自己的需要，添加其他字段。到此，我们可以看出JWT提供了ID token所需要的能力。一个完整的JTW是由三部分组成：Header，Payload，Signature。三者之间由 . 隔开，刚才提到的认证授权的字段就存在于Payload中。 Header中存放的是JTW的元数据，包含签名的算法以及token的类型，如下所示： Signature部分是对前两部分的签名， 防止数据篡改 。首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。 算出签名以后，把 Header、Payload、Signature三个部分经过base64序列化为三个字符串，再讲三个字符串由 . 为间隔拼接成一个字符串返回给客户端。 ID Token需要有足够的安全性，JWT是如何做到的呢？ 刚看到了签名部分，签名的作用只是为了防止数据篡改，而JWT默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。比如认证服务器中使用私钥进行加密，把公钥分发给其他应用服务器，应用服务拿到加密后的token后用公钥解密，获取到JWT，再用签名的秘钥来验证数据是否经过的篡改。 我们来看看还有神马其他备选么？Simple Web Tokens (SWT)和Security Assertion Markup Language Tokens (SAML)。 JWT vs SAML：JWT基于json，而SAML基于XML，在大小上就有足够的优势，更适用于HTML和HTTP。 JWT vs SWT：在安全性上，SWT只支持对称加密，而JWT和SAML支持公私钥的加密方式。 作为一个mobile developer，也想在这里对比一下原先的简单token模式和SSO中的JWT： 在没有该机制前，我们通常会使用一个随机产生的字符串作为token，认证成功后返回给前端，之后前端的每个请求带上这个token。若后台服务的是个单体应用没有什么问题，请求来了，验证一下token是否有效即可，但当认证服务和其他的应用服务是分离的，怎么做呢？应用服务受到请求，再向认证服务发起一个请求来验证验证token是否合法，是否有权限访问该应用服务。这样做到没有什么问题，只是当服务变多时，比如微服务下，势必会造成认证服务器的压力过大。 在使用该机制后，客户端通过认证服务登录，获得这个JWT，之后其他应用服务自身便可以验证这个token的是否有效，是否有权访问。 看似完美，但也有它自身的问题，我们来看一个场景：权限变更。某用户原先是一个超级管理员，可以访问所有服务，并可进行任意的删除，更改操作，他在这个状态下拿到了JWT。随后，由于权限更改为普通管理员，便不应该具有所有权限，但此时他开始时的JWT被缓存在客户端仍然可用，其他应用服务也并无法知道这个用户的权限已经被更改，后果可想而知了。解决的方式无非是将这个token的有效时间设置的短一些。

注：参考 Spring Security 整合 JSON Web Token(JWT) 提升 REST 安全性 ，写的特别全面，本文只是学习总结基于token的鉴权机制基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了，这就为应用的扩展提供了便利。 流程上是这样的： 1.用户使用用户名密码来请求服务器 2.服务器进行验证用户的信息 3.服务器通过验证发送给用户一个token 4.客户端存储token，并在每次请求时附送上这个token值 5.服务端验证token值，并返回数据 这个token必须要在每次请求时传递给服务端，它应该保存在请求头里， 另外，服务端要支持CORS(跨来源资源共享)策略，一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *。 第一部分我们称它为头部（header),第二部分我们称其为载荷（payload, 类似于飞机上承载的物品)，第三部分是签证（signature). jwt的头部承载两部分信息： 声明类型，这里是jwt 声明加密的算法 通常直接使用 HMAC SHA256 完整的头部就像下面这样的JSON： 然后将头部进行base64加密（该加密是可以对称解密的),构成了第一部分. 载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品，这些有效信息包含三个部分 1.标准中注册的声明 2.公共的声明 3.私有的声明 标准中注册的声明 (建议但不强制使用) ： iss : jwt签发者 sub : jwt所面向的用户 aud : 接收jwt的一方 exp : jwt的过期时间，这个过期时间必须要大于签发时间 nbf : 定义在什么时间之前，该jwt都是不可用的. iat : jwt的签发时间 jti : jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。 公共的声明 ： 公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密. 私有的声明 ： 私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。 定义一个payload: 然后将其进行base64加密，得到Jwt的第二部分。 jwt的第三部分是一个签证信息，这个签证信息由三部分组成： 1.header (base64后的) 2.payload (base64后的) 3.secret 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。 将这三部分用.连接成一个完整的字符串,构成了最终的jwt: 注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。 如何应用 一般是在请求头里加入Authorization，并加上Bearer标注： 服务端会验证token，如果验证通过就会返回相应的资源。整个流程就是这样的: jwt-diagram 总结 优点 因为json的通用性，所以JWT是可以进行跨语言支持的，像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。 因为有了payload部分，所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。 便于传输，jwt的构成非常简单，字节占用很小，所以它是非常便于传输的。 它不需要在服务端保存会话信息, 所以它易于应用的扩展 安全相关 不应该在jwt的payload部分存放敏感信息，因为该部分是客户端可解密的部分。 保护好secret私钥，该私钥非常重要。 如果可以，请使用https协议 在SpringBoot中整合JWTSpring Security的步奏： 1.在项目中引入（本项目使用Gradle） 2.配置 目录结构如下： WebSecurityConfig文件：

1.问题描述jwt与token+redis，哪种方案更好用？问题结论刚好最近有项目使用了jwt，而且是定制化的jwt的认证机制，就个人的理解而言，各自有其优缺点，并且针对不同的场景需要进行约束性开发，如用户剔除、同一用户每2h只生成一次jwt等。2.Token机制简述2.1Token的用途用户在登录APP时，APP端会发送加密的用户名和密码到服务器，服务器验证用户名和密码，如果验证成功，就会生成相应位数的字符产作为token存储到服务器中，并且将该token返回给APP端。以后APP再次请求时，凡是需要验证的地方都要带上该token，然后服务器端验证token，成功返回所需要的结果，失败返回错误信息，让用户重新登录。其中，服务器上会给token设置一个有效期，每次APP请求的时候都验证token和有效期。在存储的时候把token进行对称加密存储，用到的时候再解密。文章最开始提到的签名sign：将请求URL、时间戳、token三者合并，通过算法进行加密处理。2.2token+redis机制用户验证通过后，服务端通过如uuid相关的方法，生成token，存储用户信息。当请求服务时，客户端将token带上来，进行查询验证，如token存在并在有限期内，请求有效，否则请求非法。token+redis机制是中心化的，每次验证token有效性时，都需要访问redis，其核心优点实服务端可以主动让token失效，缺点是每次都要进行redis查询。占用redis存储空间。2.3jwt机制这是一种无状态身份验证机制，因为用户状态永远不会保存在服务器内存中。服务器受保护的路由将在授权头中检查有效的JWT，如果存在，则允许用户访问受保护的资源。由于JWT是独立的，所有必要的信息都在那里，减少了多次查询数据库的需求。Javajwt普遍选用java-jwt工具包依赖，gradle依赖：compile"com.auth0:java-jwt:3.2.0"用户发起登录请求，验证通过后，服务端创建一个加密后的JWT信息，作为Token返回。在后续请求中JWT信息作为请求头，发给服务端。服务端拿到JWT之后进行解密，正确解密表示此次请求合法，验证通过；解密失败说明Token无效或者已过期。jwt的有点主要有：a.其是去中心化的，便于分布式系统使用；2.基本信息可以直接放在token中。user_id，session_id；3.功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限。其缺点有：服务端无法主动让token失效，另一个是无法很好的控制payload的数据量。3.小结jwt和token+redis两种方案，没有最优，只有结合不同的业务场景，需求最适合的方案。就比如token2h过期，同一用户每1.5h只生成一次token，当两次token并存时，同时有效。大家可以考虑在这两种方案的前提下，分别如何实现？

A JWT token contains a Header, a Payload, and a Signature. Header Header contains the algorithms like RSA or HMACSHA256 and the information of the type of Token. Payload Payload contains the information of rows, i.e., user credentials. How Does JWT Work? Step 1 Client logs in with his/her credentials. Step 2 Server generates a Jwt token at server side. Step 3 After token generation, the server returns a token in response. Step 4 Now, the client sends a copy of the token to validate the token. Step 5 The server checks JWT token to see if it"s valid or not. Step 6 After the token is validated, the server sends a status message to the client. [图片上传中...(-4ee818-1642837712343-0)] 授权流程： 1、用户请求登录，携带用户名密码到授权中心 2、授权中心携带用户名密码，到用户中心查询用户 3、查询如果正确，生成JWT凭证 4、返回JWT给用户 鉴权流程： 1、用户请求某微服务功能，携带JWT 2、微服务将jwt交给授权中心校验 3、授权中心返回校验结果到微服务 4、微服务判断校验结果，成功或失败 5、失败则直接返回401 6、成功则处理业务并返回

JWT（json web token）是为了在网络应用环境之间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在 身份提供者 和 服务提供者 间传递被认证的用户身份信息，以便从资源服务器获取资源。比如用于登录。 shiro（9）-有状态身份认证和无状态身份认证的区别 JWT由三部分组成：头部(header)、载荷(payload)、签名(signature)。头部定义类型和加密方式；载荷部分放的不是很重要的数据；签名使用定义的加密方式加密base64后的header和payload和一段自己加密key。最后的token由base64(header).base64(payload).base64(signature)组成。 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9.49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY JWT头部分是一个描述JWT元数据的JSON对象。 完整的头部就像下面这样的json。 然后将头部进行base64加密，构成第一部分： eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 载荷是存放有效信息的地方，这些有效部分包含三个部分。 公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息， 但不建议添加敏感的信息，因为这部分在客户端可解密。 私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。 定义一个payload： 然后将其进行base64加密，得到第二部分 eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9 jwt的第三部分是一个签证信息，这个签证信息由三部分组成： 这个部分需要base64加密后的header和base64加密后的payload使用 . 连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，就构成了jwt的第三部分： 49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY 注：密钥secret是保存在服务端的，服务端会根据这个密钥进行生成token和验证，所以要保护好。 解析结果 重放攻击是攻击者获取客户端发送给服务器端的包，不做修改，原封不动的发送给服务器用来实现某些功能。比如说客户端发送给服务器端一个包的功能是查询某个信息，攻击者拦截到这个包，然后想要查询这个信息的时候，把这个包发送给服务器，服务器就会做相应的操作，返回查询的信息。

简单来说是一种令牌（用户访问系统的通行证），该令牌是使用用户的一些非隐私信息经过加密和签名得到的唯一凭证。该令牌由服务器端生成，保存与客户端。 JWT由三部分组成：头(header)，载荷(payload)，签名(signature)，然后将这三部分经过加密以后使用点(.)连接起来构成token字符串。 header.payload.signature 例:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoibGlseSIsImlkIjoiMSIsImV4cCI6MTY1MDE3ODk2OH0.7S2dZoxCVBcrNjg31SV5u6ngChhoMPIWoh-ZB3kknnw 2.简单案例（模拟登录）： 由于spring系列已经内嵌了jackson-...，以及其它的一些jar包，故只需引入jwt或者jjwt的pom坐标就可以在项目中使用了，所以此处不赘述spring系列关于jwt的使用