JWT（JSON Web Token）是一种用于身份验证和授权的开放标准。它以JSON格式存储信息，可以轻松地在网络上传输，并在不同系统之间进行交互。在Java中，我们可以使用现有的库来实现JWT的生成和解析，例如JJwt和Nimbus JOSE + JWT。

JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。头部包含了加密算法和类型的信息，载荷包含了需要传递的信息（例如用户ID、角色、过期时间等），签名则用于验证消息的完整性和真实性。

下面以一个简单的Web应用为例，介绍如何使用JWT进行身份验证和授权。

1、用户登录

当用户成功登录时，服务端可以生成一个JWT并将其返回给客户端（通常作为HTTP响应的一部分）。在生成JWT时，可以在载荷中添加一些用户信息，例如用户ID、用户名和角色等。此外，还需要设置过期时间和签名算法等参数。

以下是一个使用JJwt生成JWT的示例代码：

import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;String secretKey = "mySecretKey";String userId = "1234567890";String userName = "John Doe";String role = "admin";long expirationMs = 3600000; // 1 hourString jwt = Jwts.builder() .setSubject(userId) .claim("userName", userName) .claim("role", role) .setExpiration(new Date(System.currentTimeMillis() + expirationMs)) .signWith(SignatureAlgorithm.HS256, secretKey) .compact();

在上面的代码中，我们使用HS256算法对JWT进行签名，并设置了过期时间为1小时。通过调用.claim()方法，可以将用户信息添加到JWT的载荷中。

2、请求验证

当客户端需要访问受保护的资源时，需要将JWT发送给服务端。服务端可以解析JWT，并验证签名和过期时间等信息。如果验证成功，则说明该请求是合法的，可以继续处理。

以下是一个使用JJwt解析JWT的示例代码：

import io.jsonwebtoken.Claims;import io.jsonwebtoken.Jws;import io.jsonwebtoken.Jwts;String secretKey = "mySecretKey";String jwt = "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwidXNlck5hbWUiOiJKb2huIERvZSIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTYxMjMwNjM0N30.MrJ-bZKvxz_9R_O12UHcO5ZnFAXwQfD8BzEqlgkzK38";try { Jws<Claims> claims = Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(jwt); String userId = claims.getBody().getSubject(); String userName = (String) claims.getBody().get("userName"); String role = (String) claims.getBody().get("role"); // do something with the user information} catch (Exception e) { // handle invalid or expired JWT}

在上面的代码中，我们使用.parser()方法对JWT进行解析，并使用.setSigningKey()方法验证签名。如果解析和验证成功，则可以从载荷中获取用户信息。

需要注意的是，为了保护JWT的安全性，应该采取一些措施，例如使用HTTPS协议传输、设置短暂的过期时间、不在JWT中存储敏感信息等。

JWT是一种简单而强大的身份验证和授权机制，在Web应用和移动应用中得到广泛应用。它能够减少服务端的负担，提高系统的可扩展性和安全性。在Java中，我们可以使用现有的库来实现JWT的生成和解析，实现快速且安全的身份验证和授权。