spring，springBoot,springMVC 區(qū)別？

• Spring是一個資源整合框架（Framework），通過spring可將很多資源（自己寫的對象或第三方提供的對象，例如連接池等）整合在一起，然后進行科學應(yīng)用，以便更好的對外提供服務(wù)。
• Springmvc是spring框架的一個模塊，spring和springmvc無需中間整合層整合。Springmvc是一個基于mvc的web框架
• Spring boot是一個腳手架，構(gòu)建于spring框架基礎(chǔ)之上，基于快速構(gòu)建理念，提供了自動配置功能，可實現(xiàn)其開箱即用特性，可以零配置或者少量配置即可運行項目，其核心主要有如下幾個方面：
  • 起步依賴（Starter Dependency）
  • 自動配置（Auto Configuration）
  • 健康檢查（Actator）

JWT 鑒權(quán)

JWT 的原理是，服務(wù)器認證以后，生成一個 JSON 對象，發(fā)回給用戶。用戶與服務(wù)端通信的時候，都要發(fā)回這個 JSON 對象。服務(wù)器完全只靠這個對象認定用戶身份。為了防止用戶篡改數(shù)據(jù)，服務(wù)器在生成這個對象的時候，會加上簽名。服務(wù)器就不保存任何 session 數(shù)據(jù)了，也就是說，服務(wù)器變成無狀態(tài)了，從而比較容易實現(xiàn)擴展。
JWT簽名是一個很長的字符串，中間用點（.）分隔成三個部分。
JWT 的三個部分依次如下。
+header(頭部)
+Payload（負載）
+Signature（簽名）
簽名格式為 Header.Payload.Signature

1. Header 部分是一個 JSON 對象，描述 JWT 的元數(shù)據(jù)，通常是下面的樣子。

   {
    "alg": "HS256",
    "typ": "JWT"
  }

alg屬性表示簽名的算法（algorithm），默認是 HMAC SHA256（寫成 HS256）；typ屬性表示這個令牌（token）的類型（type），JWT 令牌統(tǒng)一寫為JWT。

2. Payload 部分也是一個 JSON 對象，用來存放實際需要傳遞的數(shù)據(jù)。JWT 規(guī)定了7個官方字段，供選用

iss (issuer)：簽發(fā)人
exp (expiration time)：過期時間
sub (subject)：主題
aud (audience)：受眾
nbf (Not Before)：生效時間
iat (Issued At)：簽發(fā)時間
jti (JWT ID)：編號

還可以自定義屬性

{
  "sub": "110101000000",
  "name": "admin",
  "admin": true
}

3. Signature 部分是對前兩部分的簽名，防止數(shù)據(jù)篡改。
   首先，需要指定一個密鑰（secret）。這個密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認是 HMAC SHA256），按照下面的公式產(chǎn)生簽名

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

客戶端收到服務(wù)器返回的 JWT，可以儲存在 Cookie 里面，也可以儲存在 localStorage。

此后，客戶端每次與服務(wù)器通信，都要帶上這個 JWT。你可以把它放在 Cookie 里面自動發(fā)送，但是這樣不能跨域，所以更好的做法是放在 HTTP 請求的頭信息Authorization字段里面。

JWT 默認是不加密，但也是可以加密的。生成原始 Token 以后，可以用密鑰再加密一次。
JWT 不加密的情況下，不能將秘密數(shù)據(jù)寫入 JWT。
JWT 本身包含了認證信息，一旦泄露，任何人都可以獲得該令牌的所有權(quán)限。為了減少盜用，JWT 的有效期應(yīng)該設(shè)置得比較短。對于一些比較重要的權(quán)限，使用時應(yīng)該再次對用戶進行認證。