原文鏈接:
JWT詳解:https://blog.csdn.net/weixin_45070175/article/details/118559272
1、什么是JWT
通俗地說,JWT的本質就是一個字串,它是將用戶資訊保存到一個Json字串中,然后進行編碼后得到一個JWT token,并且這個JWT token帶有簽名資訊,接收后可以校驗是否被篡改,所以可以用于在各方之間安全地將資訊作為Json物件傳輸,JWT的認證流程如下:
- 首先,前端通過Web表單將自己的用戶名和密碼發送到后端的介面,這個程序一般是一個
POST請求,建議的方式是通過SSL加密的傳輸(HTTPS),從而避免敏感資訊被嗅探; - 后端核對用戶名和密碼成功后,將包含用戶資訊的資料作為JWT的
Payload,將其與JWT Heade分別進行Base64編碼拼接后簽名,形成一個JWT Token,形成的JWT Token就是一個如同lll.zzz.xxx的字串; - 后端將
JWT Token字串作為登錄成功的結果回傳給前端,前端可以將回傳的結果保存在瀏覽器中,退出登錄時洗掉保存的JWT Token即可; - 前端在每次請求時將
JWT Token放入HTTP請求頭中的Authorization屬性中(解決XSS和XSRF問題); - 后端檢查前端傳過來的
JWT Token,驗證其有效性,比如檢查簽名是否正確、是否過期、token的接收方是否是自己等等; - 驗證通過后,后端決議出
JWT Token中包含的用戶資訊,進行其他邏輯操作(一般是根據用戶資訊得到權限等),回傳結果;
2、 JWT認證的優勢
對比傳統的session認證方式,JWT的優勢是:
- 簡潔:
JWT Token資料量小,傳輸速度也很快; - 因為JWT Token是以JSON加密形式保存在客戶端的,所以JWT是跨語言的,原則上任何web形式都支持;
- 不需要在服務端保存會話資訊,也就是說不依賴于cookie和session,所以沒有了傳統session認證的弊端,特別適用于分布式微服務;
- 單點登錄友好:使用Session進行身份認證的話,由于cookie無法跨域,難以實作單點登錄,但是,使用token進行認證的話, token可以被保存在客戶端的任意位置的記憶體中,不一定是cookie,所以不依賴cookie,不會存在這些問題;
- 適合移動端應用:使用Session進行身份認證的話,需要保存一份資訊在服務器端,而且這種方式會依賴到Cookie(需要 Cookie 保存 SessionId),所以不適合移動端;
- 因為這些優勢,目前無論單體應用還是分布式應用,都更加推薦用JWT token的方式進行用戶認證;
3、JWT結構
JWT由3部分組成:標頭(Header)、有效載荷(Payload)和簽名(Signature),在傳輸的時候,會將JWT的3部分分別進行Base64編碼后用.進行連接形成最終傳輸的字串;
JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
3.1 Header
JWT頭是一個描述JWT元資料的JSON物件,alg屬性表示簽名使用的演算法,默認為HMAC SHA256(寫為HS256);typ屬性表示令牌的型別,JWT令牌統一寫為JWT,最后,使用Base64 URL演算法將上述JSON物件轉換為字串保存;
{
"alg": "HS256",
"typ": "JWT"
}
3.2 Payload
有效載荷部分,是JWT的主體內容部分,也是一個JSON物件,包含需要傳遞的資料, JWT指定七個默認欄位供選擇
iss: 發行人
exp: 到期時間
sub: 主題
aud: 用戶
nbf: 在此之前不可用
iat: 發布時間
jti: JWT ID用于標識該JWT
這些預定義的欄位并不要求強制使用,除以上默認欄位外,我們還可以自定義私有欄位,一般會把包含用戶資訊的資料放到payload中,如下例:
{
"sub": "1234567890",
"name": "Helen",
"admin": true
}
請注意,默認情況下JWT是未加密的,因為只是采用base64演算法,拿到JWT字串后可以轉換回原本的JSON資料,任何人都可以解讀其內容,因此不要構建隱私資訊欄位,比如用戶的密碼一定不能保存到JWT中,以防止資訊泄露,JWT只是適合在網路中傳輸一些非敏感的資訊
3.3 3.Signature
簽名哈希部分是對上面兩部分資料簽名,需要使用base64編碼后的header和payload資料,通過指定的演算法生成哈希,以確保資料不會被篡改,首先,需要指定一個密鑰(secret),該密碼僅僅為保存在服務器中,并且不能向用戶公開,然后,使用header中指定的簽名演算法(默認情況下為HMAC SHA256)根據以下公式生成簽名;
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
在計算出簽名哈希后,JWT頭,有效載荷和簽名哈希的三個部分組合成一個字串,每個部分用.分隔,就構成整個JWT物件:
注意JWT每部分的作用,在服務端接收到客戶端發送過來的JWT token之后:
- header和payload可以直接利用base64解碼出原文,從header中獲取哈希簽名的演算法,從payload中獲取有效資料;
- signature由于使用了不可逆的加密演算法,無法解碼出原文,它的作用是校驗token有沒有被篡改,服務端獲取header中的加密演算法之后,利用該演算法加上secretKey對header、payload進行加密,比對加密后的資料和客戶端發送過來的是否一致,注意secretKey只能保存在服務端,而且對于不同的加密演算法其含義有所不同,一般對于MD5型別的摘要加密演算法,secretKey實際上代表的是鹽值;
4、Java中使用JWT
官網推薦了6個Java使用JWT的開源庫,其中比較推薦使用的是java-jwt和jjwt-root;
4.1.java-jwt
4.1.1 對稱簽名
4.1.1.1 依賴
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
4.1.1.2 生成JWT的token
/**
* @author : huayu
* @date : 25/11/2022
* @param : []
* @return : void
* @description : 生成JWT的token
*/
@Test
public void testGenerateToken(){
// 指定token過期時間為10秒
Calendar calendar = Calendar.getInstance();
// calendar.add(Calendar.SECOND, 10);
//為了測驗不過期,指定token過期時間為100秒
calendar.add(Calendar.SECOND, 100);
String token = JWT.create()
.withHeader(new HashMap<>()) // Header
.withClaim("userId", 001) // Payload
.withClaim("userName", "huayu")
.withExpiresAt(calendar.getTime()) // 過期時間
.sign(Algorithm.HMAC256("!34ADAS")); // 簽名用的secret
System.out.println(token);
}
測驗結果:
4.1.1.3 決議JWT字串
/**
* @author : huayu
* @date : 25/11/2022
* @param : []
* @return : void
* @description : 決議JWT字串
*/
@Test
public void testResolveToken(){
// 創建決議物件,使用的演算法和secret要與創建token時保持一致
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!34ADAS")).build();
// 決議指定的token
DecodedJWT decodedJWT = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6Imh1YXl1IiwiZXhwIjoxNjY5MzQ1NTE2LCJ1c2VySWQiOjF9.mN9DIfqy6ZKl6gwQ4WM5gmrQL2y0Q0bvleTy7AfTuFo");
// 獲取決議后的token中的payload資訊
Claim userId = decodedJWT.getClaim("userId");
Claim userName = decodedJWT.getClaim("userName");
log.info("userId:{}",userId.asInt());
log.info("userName:{}",userName.asString());
// 輸出超時時間
log.info("超出時間:{}",decodedJWT.getExpiresAt());
}
測驗:
我們設定過期時間位100秒,再次測驗:
4.1.1.4 封裝成工具類
public class JWTUtils {
// 簽名密鑰
private static final String SECRET = "!DAR$";
/**
* 生成token
* @param payload token攜帶的資訊
* @return token字串
*/
public static String getToken(Map<String,String> payload){
// 指定token過期時間為7天
Calendar calendar = Calendar.getInstance();
// calendar.add(Calendar.DATE, 7);
// 指定token過期時間為 12分鐘
// calendar.add(Calendar.MINUTE, 12);
// 指定token過期時間為 100秒
calendar.add(Calendar.SECOND, 100);
JWTCreator.Builder builder = JWT.create().withHeader(new HashMap<>());
// 構建payload
payload.forEach((k,v) -> builder.withClaim(k,v));
// 指定過期時間和簽名演算法
String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SECRET));
return token;
}
/**
* 決議token
* @param token token字串
* @return 決議后的token
*/
public static DecodedJWT decode(String token){
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
return decodedJWT;
}
}
4.1.1.5 JWTUtils 工具類測驗
/**
* @author : huayu
* @date : 25/11/2022
* @param : []
* @return : void
* @description : 測驗 JWTUtils 工具類 生成token 和 token 決議
*/
@Test
public void testJWTUtils(){
//創建payload map 存放用戶資訊
Map<String, String> payload = new HashMap();
payload.put("userId","1");
payload.put("userName","hauyu");
//生成 token
String token = JWTUtils.getToken(payload);
//決議token
DecodedJWT decodedJWT = JWTUtils.decode(token);
Claim userId = decodedJWT.getClaim("userId");
Claim userName = decodedJWT.getClaim("userName");
log.info("userId:{}",userId.asString());
log.info("userName:{}",userName.asString());
// 輸出超時時間
log.info("超出時間:{}",decodedJWT.getExpiresAt());
log.info("token:{}",token);
}
測驗結果:
4.1.2 非對稱簽名
生成jwt串的時候需要指定私鑰,決議jwt串的時候需要指定公鑰
還沒有測驗成功,我的 RSA rsa = new RSA(null, RSA_PUBLIC_KEY); 只有一個引數,無法實體化RSA
4.2 jwt-root
4.2.1 對稱簽名
4.2.1.1 依賴
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
4.2.1.2 工具類
public class JWTUtils2 {
// token時效:24小時
public static final long EXPIRE = 1000 * 60 * 60 * 24;
// 簽名哈希的密鑰,對于不同的加密演算法來說含義不同
public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";
/**
* 根據用戶id和昵稱生成token
* @param id 用戶id
* @param nickname 用戶昵稱
* @return JWT規則生成的token
*/
public static String getJwtToken(String id, String nickname){
String JwtToken = Jwts.builder()
.setHeaderParam("typ", "JWT")
.setHeaderParam("alg", "HS256")
.setSubject("baobao-user")
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
.claim("id", id)
.claim("nickname", nickname)
// HS256演算法實際上就是MD5加鹽值,此時APP_SECRET就代表鹽值
.signWith(SignatureAlgorithm.HS256, APP_SECRET)
.compact();
return JwtToken;
}
/**
* 判斷token是否存在與有效
* @param jwtToken token字串
* @return 如果token有效回傳true,否則回傳false
*/
public static boolean checkToken(String jwtToken) {
if(StringUtils.isEmpty(jwtToken)) return false;
try {
Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
} catch (Exception e) {
e.printStackTrace();
return false;
}
return true;
}
/**
* 判斷token是否存在與有效
* @param request Http請求物件
* @return 如果token有效回傳true,否則回傳false
*/
public static boolean checkToken(HttpServletRequest request) {
try {
// 從http請求頭中獲取token字串
String jwtToken = request.getHeader("token");
if(StringUtils.isEmpty(jwtToken)) return false;
Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
} catch (Exception e) {
e.printStackTrace();
return false;
}
return true;
}
/**
* 根據token獲取會員id
* @param request Http請求物件
* @return 決議token后獲得的用戶id
*/
public static String getMemberIdByJwtToken(HttpServletRequest request) {
String jwtToken = request.getHeader("token");
if(StringUtils.isEmpty(jwtToken)) return "";
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
Claims claims = claimsJws.getBody();
return (String)claims.get("id");
}
}
4.2.1.3 請求方法
4.2.1.3.1 JWT規則生成的token 和 判斷token是否存在與有效
/**
* @author : huayu
* @date : 25/11/2022
* @param : [id, nickname]
* @return : java.lang.String
* @description : JWT規則生成的token 和 判斷token是否存在與有效
*/
@ApiOperation(value = "https://www.cnblogs.com/xiaoqigui/archive/2022/12/03/JWT規則生成的token 和 判斷token是否存在與有效")
@PostMapping("testGetJwtToken")
@ApiImplicitParams({
@ApiImplicitParam(value = "https://www.cnblogs.com/xiaoqigui/archive/2022/12/03/用戶id",name = "id"),
@ApiImplicitParam(value = "https://www.cnblogs.com/xiaoqigui/archive/2022/12/03/昵稱",name = "nickname")
})
public String testGetJwtToken(@RequestParam("id") String id,
@RequestParam("nickname") String nickname){
//JWT規則生成的token
String jwtToken = JWTUtils2.getJwtToken(id, nickname);
log.info("JWT規則生成的token jwtToken:{}",jwtToken);
//判斷token是否存在與有效
boolean checkoutToken = JWTUtils2.checkToken(jwtToken);
log.info("判斷token是否存在與有效 checkoutToken:{}",checkoutToken);
return jwtToken;
}
測驗結果:
4.2.1.3.2 根據token獲取會員id
/**
* @author : huayu
* @date : 25/11/2022
* @param : [request]
* @return : java.lang.String
* @description : 根據token獲取會員id
*/
@ApiOperation(value = "https://www.cnblogs.com/xiaoqigui/archive/2022/12/03/根據token獲取會員id")
@PostMapping("testGetMemberIdByJwtToken")
public String testGetMemberIdByJwtToken(HttpServletRequest request){
//根據token獲取會員id
String memberIdByJwtToken = JWTUtils2.getMemberIdByJwtToken(request);
log.info("根據token獲取會員id memberIdByJwtToken:{}",memberIdByJwtToken);
return memberIdByJwtToken;
}
測驗結果:
4.2.2 非對稱簽名
還沒有測驗成功,我的 RSA rsa = new RSA(null, RSA_PUBLIC_KEY); 只有一個引數,無法實體化RSA
5、實際開發中的應用
在實際的SpringBoot專案中,一般我們可以用如下流程做登錄:
- 在登錄驗證通過后,給用戶生成一個對應的隨機token(注意這個token不是指jwt,可以用uuid等演算法生成),然后將這個token作為key的一部分,用戶資訊作為value存入Redis,并設定過期時間,這個過期時間就是登錄失效的時間;
- 將第1步中生成的隨機token作為JWT的payload生成JWT字串回傳給前端;
- 前端之后每次請求都在請求頭中的Authorization欄位中攜帶JWT字串;
- 后端定義一個攔截器,每次收到前端請求時,都先從請求頭中的Authorization欄位中取出JWT字串并進行驗證,驗證通過后決議出payload中的隨機token,然后再用這個隨機token得到key,從Redis中獲取用戶資訊,如果能獲取到就說明用戶已經登錄;
public class JWTInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String JWT = request.getHeader("Authorization");
try {
// 1.校驗JWT字串
DecodedJWT decodedJWT = JWTUtils.decode(JWT);
// 2.取出JWT字串載荷中的隨機token,從Redis中獲取用戶資訊
...
return true;
}catch (SignatureVerificationException e){
System.out.println("無效簽名");
e.printStackTrace();
}catch (TokenExpiredException e){
System.out.println("token已經過期");
e.printStackTrace();
}catch (AlgorithmMismatchException e){
System.out.println("演算法不一致");
e.printStackTrace();
}catch (Exception e){
System.out.println("token無效");
e.printStackTrace();
}
return false;
}
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/539102.html
標籤:其他
上一篇:一文教會你如何在內網搭建一套屬于自己小組的在線 API 檔案?
下一篇:鎖 - 分布式鎖工具