JWT簡介
JWT全稱為Json Web Token
JWT的本質就是一個字串,它是將用戶資訊保存到一個Json字串中,然后進行編碼后得到一個JWT token,并且這個JWT token帶有簽名資訊,接收后可以校驗是否被篡改,所以可以用于在各方之間安全地將資訊作為Json物件傳輸,
JWT的認證流程如下:
1 首先,前端通過Web表單將自己的用戶名和密碼發送到后端的介面,這個程序一般是一個POST請求,建議的方式是通過SSL加密的傳輸(HTTPS),從而避免敏感資訊被嗅探
2 后端核對用戶名和密碼成功后,將包含用戶資訊的資料作為JWT的Payload,將其與JWT Header分別進行Base64編碼后拼接簽名,形成一個JWT Token,形成的JWT Token就是一個如同lll.zzz.xxx的字串
3 后端將JWT Token字串作為登錄成功的結果回傳給前端,前端可以將回傳的結果保存在瀏覽器中,退出登錄時洗掉保存的JWT Token即可
4 前端在每次請求時將JWT Token放入HTTP請求頭中的Authorization屬性中(解決XSS和XSRF問題)
5 后端檢查前端傳過來的JWT Token,驗證其有效性,比如檢查簽名是否正確、是否過期、token的接收方是否是自己等等
6 驗證通過后,后端決議出JWT Token中包含的用戶資訊,進行其他邏輯操作(一般是根據用戶資訊得到權限等),回傳結果
JWT結構
JWT由3部分組成:標頭(header)、有效載荷(payLoad)、簽名(signature),
在傳輸的時候,會將JWT的3部分分別進行Base64編碼后用.連接形成最終傳輸的字串,
Header
JWT頭是一個描述JWT元資料的JSON物件,alg屬性表示簽名使用的演算法,默認為HMAC SHA256(寫為HS256);typ屬性表示令牌的型別,JWT令牌統一寫為JWT,最后,使用Base64 URL演算法將上述JSON物件轉換為字串保存
{
"alg": "HS256",
"typ": "JWT"
}
PayLoad
有效載荷部分,是JWT的主體內容部分,也是一個JSON物件,包含需要傳遞的資料, JWT指定七個默認欄位供選擇
iss:發行人
exp:到期時間
sub:主題
aud:用戶
nbf:在此之前不可用
iat:發布時間
jti:JWT ID用于標識該JWT
除以上默認欄位外,我們還可以自定義私有欄位,一般會把包含用戶資訊的資料放到payload中,如下
{
"id": "123",
"name": "cheng"
}
Signature
簽名哈希部分是對上面兩部分資料簽名,需要使用base64編碼后的header和payload資料,通過指定的演算法生成哈希,以確保資料不會被篡改,首先,需要指定一個密鑰(secret),該密碼僅僅為保存在服務器中,并且不能向用戶公開,然后,使用header中指定的簽名演算法(默認情況下為HMAC SHA256)根據以下公式生成簽名
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
在計算出簽名哈希后,JWT頭,有效載荷和簽名哈希的三個部分組合成一個字串,每個部分用.分隔,就構成整個JWT物件
注意JWT每部分的作用,在服務端接收到客戶端發送過來的JWT token之后:
header和payload可以直接利用base64解碼出原文,從header中獲取哈希簽名的演算法,從payload中獲取有效資料
signature由于使用了不可逆的加密演算法,無法解碼出原文,它的作用是校驗token有沒有被篡改,服務端獲取header中的加密演算法之后,利用該演算法加上secretKey對header、payload進行加密,比對加密后的資料和客戶端發送過來的是否一致,
為了完成簽名,除了用到header資訊和payload資訊外,還需要演算法的密鑰,也就是secretKey,加密的演算法一般有2類:
- 對稱加密:secretKey指加密密鑰,可以生成簽名與驗簽
- 非對稱加密:secretKey指私鑰,只用來生成簽名,不能用來驗簽(驗簽用的是公鑰)
JWT的密鑰或者密鑰對,一般統一稱為JSON Web Key,也就是JWK
到目前為止,jwt的簽名演算法有三種: - HMAC【哈希訊息驗證碼(對稱)】:HS256/HS384/HS512
- RSASSA【RSA簽名演算法(非對稱)】(RS256/RS384/RS512)
- ECDSA【橢圓曲線資料簽名演算法(非對稱)】(ES256/ES384/ES512)
Java中使用JWT
我這里用的是java-jwt
引入依賴
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
對稱簽名
生成JWT的Token
/**
* 生成JWT token
*/
@Test
void generateToken(){
//預設一個token過期時間
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.HOUR,1);//過期時間為1小時
String token = JWT.create()
.withHeader(new HashMap<>())//Header
.withClaim("userId", 123)//PayLoad
.withClaim("userName", "程")
.withClaim("userId1", "456")
.withExpiresAt(calendar.getTime())//過期時間
.sign(Algorithm.HMAC256("12345"));//簽名用的密鑰secret
System.out.println(token);
}
利用base64解密工具來查看生成的JWT Token中header和payLoad的明文
決議JWT字串
/**
* 決議jwt字串
*/
@Test
void resolveToken(){
String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWRJbnQiOjEyMywidXNlcklkU3RyaW5nIjoiNDU2IiwidXNlck5hbWUiOiLnqIsiLCJleHAiOjE2NzU5MTQzMDZ9.MNC-YCxt8C0t9SNbj3_XMRknkK3-PKBP5xX6_JLB8y8";
//創建決議物件,使用的演算法和secret要和創建token時保持一致
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("12345")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
System.out.println(decodedJWT.getPayload());//base64編碼的payLoad
Claim userIdInt = decodedJWT.getClaim("userIdInt");
Claim userIdString = decodedJWT.getClaim("userIdString");
Claim userName = decodedJWT.getClaim("userName");
System.out.println("userIdInt:"+userIdInt.asInt());
System.out.println("userIdString:"+userIdString.asString());
System.out.println("userName:"+userName.asString());
System.out.println("過期時間:"+new LocalDateTime(decodedJWT.getExpiresAt()));
}
如果我們設定的token時間短,比如設定為1秒
那么決議時為拋出如下例外
非對稱簽名
private static final String RSA_PRIVATE_KEY = "...";
private static final String RSA_PUBLIC_KEY = "...";
/**
* 生成token
* @param payload token攜帶的資訊
* @return token字串
*/
public static String getTokenRsa(Map<String,String> payload){
// 指定token過期時間為7天
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.DATE, 7);
JWTCreator.Builder builder = JWT.create();
// 構建payload
payload.forEach((k,v) -> builder.withClaim(k,v));
// 利用hutool創建RSA
RSA rsa = new RSA(RSA_PRIVATE_KEY, null);
// 獲取私鑰
RSAPrivateKey privateKey = (RSAPrivateKey) rsa.getPrivateKey();
// 簽名時傳入私鑰
String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.RSA256(null, privateKey));
return token;
}
/**
* 決議token
* @param token token字串
* @return 決議后的token
*/
public static DecodedJWT decodeRsa(String token){
// 利用hutool創建RSA
RSA rsa = new RSA(null, RSA_PUBLIC_KEY);
// 獲取RSA公鑰
RSAPublicKey publicKey = (RSAPublicKey) rsa.getPublicKey();
// 驗簽時傳入公鑰
JWTVerifier jwtVerifier = JWT.require(Algorithm.RSA256(publicKey, null)).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
return decodedJWT;
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/543370.html
標籤:Java
上一篇:【學習筆記】Http請求方法總結
下一篇:nginx-web服務器