原文鏈接: JWT詳解:https://blog.csdn.net/weixin_45070175/article/details/118559272 1、什麼是JWT 通俗地說,JWT的本質就是一個字元串,它是將用戶信息保存到一個Json字元串中,然後進行編碼後得到一個JWT token,並且這個 ...
原文鏈接:
JWT詳解:https://blog.csdn.net/weixin_45070175/article/details/118559272
1、什麼是JWT
通俗地說,JWT的本質就是一個字元串,它是將用戶信息保存到一個Json字元串中,然後進行編碼後得到一個JWT token,並且這個JWT token帶有簽名信息,接收後可以校驗是否被篡改,所以可以用於在各方之間安全地將信息作為Json對象傳輸。JWT的認證流程如下:
- 首先,前端通過Web表單將自己的用戶名和密碼發送到後端的介面,這個過程一般是一個
POST請求。建議的方式是通過SSL加密的傳輸(HTTPS),從而避免敏感信息被嗅探; - 後端核對用戶名和密碼成功後,將包含用戶信息的數據作為JWT的
Payload,將其與JWT Heade分別進行Base64編碼拼接後簽名,形成一個JWT Token,形成的JWT Token就是一個如同lll.zzz.xxx的字元串; - 後端將
JWT Token字元串作為登錄成功的結果返回給前端。前端可以將返回的結果保存在瀏覽器中,退出登錄時刪除保存的JWT Token即可; - 前端在每次請求時將
JWT Token放入HTTP請求頭中的Authorization屬性中(解決XSS和XSRF問題); - 後端檢查前端傳過來的
JWT Token,驗證其有效性,比如檢查簽名是否正確、是否過期、token的接收方是否是自己等等; - 驗證通過後,後端解析出
JWT Token中包含的用戶信息,進行其他邏輯操作(一般是根據用戶信息得到許可權等),返回結果;
2、 JWT認證的優勢
對比傳統的session認證方式,JWT的優勢是:
- 簡潔:
JWT Token數據量小,傳輸速度也很快; - 因為JWT Token是以JSON加密形式保存在客戶端的,所以JWT是跨語言的,原則上任何web形式都支持;
- 不需要在服務端保存會話信息,也就是說不依賴於cookie和session,所以沒有了傳統session認證的弊端,特別適用於分散式微服務;
- 單點登錄友好:使用Session進行身份認證的話,由於cookie無法跨域,難以實現單點登錄。但是,使用token進行認證的話, token可以被保存在客戶端的任意位置的記憶體中,不一定是cookie,所以不依賴cookie,不會存在這些問題;
- 適合移動端應用:使用Session進行身份認證的話,需要保存一份信息在伺服器端,而且這種方式會依賴到Cookie(需要 Cookie 保存 SessionId),所以不適合移動端;
- 因為這些優勢,目前無論單體應用還是分散式應用,都更加推薦用JWT token的方式進行用戶認證;
3、JWT結構
JWT由3部分組成:標頭(Header)、有效載荷(Payload)和簽名(Signature)。在傳輸的時候,會將JWT的3部分分別進行Base64編碼後用.進行連接形成最終傳輸的字元串;
JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
3.1 Header
JWT頭是一個描述JWT元數據的JSON對象,alg屬性表示簽名使用的演算法,預設為HMAC SHA256(寫為HS256);typ屬性表示令牌的類型,JWT令牌統一寫為JWT。最後,使用Base64 URL演算法將上述JSON對象轉換為字元串保存;
{
"alg": "HS256",
"typ": "JWT"
}
3.2 Payload
有效載荷部分,是JWT的主體內容部分,也是一個JSON對象,包含需要傳遞的數據。 JWT指定七個預設欄位供選擇
iss: 發行人
exp: 到期時間
sub: 主題
aud: 用戶
nbf: 在此之前不可用
iat: 發佈時間
jti: JWT ID用於標識該JWT
這些預定義的欄位並不要求強制使用。除以上預設欄位外,我們還可以自定義私有欄位,一般會把包含用戶信息的數據放到payload中,如下例:
{
"sub": "1234567890",
"name": "Helen",
"admin": true
}
請註意,預設情況下JWT是未加密的,因為只是採用base64演算法,拿到JWT字元串後可以轉換回原本的JSON數據,任何人都可以解讀其內容,因此不要構建隱私信息欄位,比如用戶的密碼一定不能保存到JWT中,以防止信息泄露。JWT只是適合在網路中傳輸一些非敏感的信息
3.3 3.Signature
簽名哈希部分是對上面兩部分數據簽名,需要使用base64編碼後的header和payload數據,通過指定的演算法生成哈希,以確保數據不會被篡改。首先,需要指定一個密鑰(secret)。該密碼僅僅為保存在伺服器中,並且不能向用戶公開。然後,使用header中指定的簽名演算法(預設情況下為HMAC SHA256)根據以下公式生成簽名;
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
在計算出簽名哈希後,JWT頭,有效載荷和簽名哈希的三個部分組合成一個字元串,每個部分用.分隔,就構成整個JWT對象:
註意JWT每部分的作用,在服務端接收到客戶端發送過來的JWT token之後:
- header和payload可以直接利用base64解碼出原文,從header中獲取哈希簽名的演算法,從payload中獲取有效數據;
- signature由於使用了不可逆的加密演算法,無法解碼出原文,它的作用是校驗token有沒有被篡改。服務端獲取header中的加密演算法之後,利用該演算法加上secretKey對header、payload進行加密,比對加密後的數據和客戶端發送過來的是否一致。註意secretKey只能保存在服務端,而且對於不同的加密演算法其含義有所不同,一般對於MD5類型的摘要加密演算法,secretKey實際上代表的是鹽值;
4、Java中使用JWT
官網推薦了6個Java使用JWT的開源庫,其中比較推薦使用的是java-jwt和jjwt-root;
4.1.java-jwt
4.1.1 對稱簽名
4.1.1.1 依賴
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
4.1.1.2 生成JWT的token
/**
* @author : huayu
* @date : 25/11/2022
* @param : []
* @return : void
* @description : 生成JWT的token
*/
@Test
public void testGenerateToken(){
// 指定token過期時間為10秒
Calendar calendar = Calendar.getInstance();
// calendar.add(Calendar.SECOND, 10);
//為了測試不過期,指定token過期時間為100秒
calendar.add(Calendar.SECOND, 100);
String token = JWT.create()
.withHeader(new HashMap<>()) // Header
.withClaim("userId", 001) // Payload
.withClaim("userName", "huayu")
.withExpiresAt(calendar.getTime()) // 過期時間
.sign(Algorithm.HMAC256("!34ADAS")); // 簽名用的secret
System.out.println(token);
}
測試結果:
4.1.1.3 解析JWT字元串
/**
* @author : huayu
* @date : 25/11/2022
* @param : []
* @return : void
* @description : 解析JWT字元串
*/
@Test
public void testResolveToken(){
// 創建解析對象,使用的演算法和secret要與創建token時保持一致
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!34ADAS")).build();
// 解析指定的token
DecodedJWT decodedJWT = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6Imh1YXl1IiwiZXhwIjoxNjY5MzQ1NTE2LCJ1c2VySWQiOjF9.mN9DIfqy6ZKl6gwQ4WM5gmrQL2y0Q0bvleTy7AfTuFo");
// 獲取解析後的token中的payload信息
Claim userId = decodedJWT.getClaim("userId");
Claim userName = decodedJWT.getClaim("userName");
log.info("userId:{}",userId.asInt());
log.info("userName:{}",userName.asString());
// 輸出超時時間
log.info("超出時間:{}",decodedJWT.getExpiresAt());
}
測試:
我們設置過期時間位100秒,再次測試:
4.1.1.4 封裝成工具類
public class JWTUtils {
// 簽名密鑰
private static final String SECRET = "!DAR$";
/**
* 生成token
* @param payload token攜帶的信息
* @return token字元串
*/
public static String getToken(Map<String,String> payload){
// 指定token過期時間為7天
Calendar calendar = Calendar.getInstance();
// calendar.add(Calendar.DATE, 7);
// 指定token過期時間為 12分鐘
// calendar.add(Calendar.MINUTE, 12);
// 指定token過期時間為 100秒
calendar.add(Calendar.SECOND, 100);
JWTCreator.Builder builder = JWT.create().withHeader(new HashMap<>());
// 構建payload
payload.forEach((k,v) -> builder.withClaim(k,v));
// 指定過期時間和簽名演算法
String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SECRET));
return token;
}
/**
* 解析token
* @param token token字元串
* @return 解析後的token
*/
public static DecodedJWT decode(String token){
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);
return decodedJWT;
}
}
4.1.1.5 JWTUtils 工具類測試
/**
* @author : huayu
* @date : 25/11/2022
* @param : []
* @return : void
* @description : 測試 JWTUtils 工具類 生成token 和 token 解析
*/
@Test
public void testJWTUtils(){
//創建payload map 存放用戶信息
Map<String, String> payload = new HashMap();
payload.put("userId","1");
payload.put("userName","hauyu");
//生成 token
String token = JWTUtils.getToken(payload);
//解析token
DecodedJWT decodedJWT = JWTUtils.decode(token);
Claim userId = decodedJWT.getClaim("userId");
Claim userName = decodedJWT.getClaim("userName");
log.info("userId:{}",userId.asString());
log.info("userName:{}",userName.asString());
// 輸出超時時間
log.info("超出時間:{}",decodedJWT.getExpiresAt());
log.info("token:{}",token);
}
測試結果:
4.1.2 非對稱簽名
生成jwt串的時候需要指定私鑰,解析jwt串的時候需要指定公鑰
還沒有測試成功,我的 RSA rsa = new RSA(null, RSA_PUBLIC_KEY); 只有一個參數,無法實例化RSA
4.2 jwt-root
4.2.1 對稱簽名
4.2.1.1 依賴
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
4.2.1.2 工具類
public class JWTUtils2 {
// token時效:24小時
public static final long EXPIRE = 1000 * 60 * 60 * 24;
// 簽名哈希的密鑰,對於不同的加密演算法來說含義不同
public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";
/**
* 根據用戶id和昵稱生成token
* @param id 用戶id
* @param nickname 用戶昵稱
* @return JWT規則生成的token
*/
public static String getJwtToken(String id, String nickname){
String JwtToken = Jwts.builder()
.setHeaderParam("typ", "JWT")
.setHeaderParam("alg", "HS256")
.setSubject("baobao-user")
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
.claim("id", id)
.claim("nickname", nickname)
// HS256演算法實際上就是MD5加鹽值,此時APP_SECRET就代表鹽值
.signWith(SignatureAlgorithm.HS256, APP_SECRET)
.compact();
return JwtToken;
}
/**
* 判斷token是否存在與有效
* @param jwtToken token字元串
* @return 如果token有效返回true,否則返回false
*/
public static boolean checkToken(String jwtToken) {
if(StringUtils.isEmpty(jwtToken)) return false;
try {
Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
} catch (Exception e) {
e.printStackTrace();
return false;
}
return true;
}
/**
* 判斷token是否存在與有效
* @param request Http請求對象
* @return 如果token有效返回true,否則返回false
*/
public static boolean checkToken(HttpServletRequest request) {
try {
// 從http請求頭中獲取token字元串
String jwtToken = request.getHeader("token");
if(StringUtils.isEmpty(jwtToken)) return false;
Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
} catch (Exception e) {
e.printStackTrace();
return false;
}
return true;
}
/**
* 根據token獲取會員id
* @param request Http請求對象
* @return 解析token後獲得的用戶id
*/
public static String getMemberIdByJwtToken(HttpServletRequest request) {
String jwtToken = request.getHeader("token");
if(StringUtils.isEmpty(jwtToken)) return "";
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
Claims claims = claimsJws.getBody();
return (String)claims.get("id");
}
}
4.2.1.3 請求方法
4.2.1.3.1 JWT規則生成的token 和 判斷token是否存在與有效
/**
* @author : huayu
* @date : 25/11/2022
* @param : [id, nickname]
* @return : java.lang.String
* @description : JWT規則生成的token 和 判斷token是否存在與有效
*/
@ApiOperation(value = "JWT規則生成的token 和 判斷token是否存在與有效")
@PostMapping("testGetJwtToken")
@ApiImplicitParams({
@ApiImplicitParam(value = "用戶id",name = "id"),
@ApiImplicitParam(value = "昵稱",name = "nickname")
})
public String testGetJwtToken(@RequestParam("id") String id,
@RequestParam("nickname") String nickname){
//JWT規則生成的token
String jwtToken = JWTUtils2.getJwtToken(id, nickname);
log.info("JWT規則生成的token jwtToken:{}",jwtToken);
//判斷token是否存在與有效
boolean checkoutToken = JWTUtils2.checkToken(jwtToken);
log.info("判斷token是否存在與有效 checkoutToken:{}",checkoutToken);
return jwtToken;
}
測試結果:
4.2.1.3.2 根據token獲取會員id
/**
* @author : huayu
* @date : 25/11/2022
* @param : [request]
* @return : java.lang.String
* @description : 根據token獲取會員id
*/
@ApiOperation(value = "根據token獲取會員id ")
@PostMapping("testGetMemberIdByJwtToken")
public String testGetMemberIdByJwtToken(HttpServletRequest request){
//根據token獲取會員id
String memberIdByJwtToken = JWTUtils2.getMemberIdByJwtToken(request);
log.info("根據token獲取會員id memberIdByJwtToken:{}",memberIdByJwtToken);
return memberIdByJwtToken;
}
測試結果:
4.2.2 非對稱簽名
還沒有測試成功,我的 RSA rsa = new RSA(null, RSA_PUBLIC_KEY); 只有一個參數,無法實例化RSA
5、實際開發中的應用
在實際的SpringBoot項目中,一般我們可以用如下流程做登錄:
- 在登錄驗證通過後,給用戶生成一個對應的隨機token(註意這個token不是指jwt,可以用uuid等演算法生成),然後將這個token作為key的一部分,用戶信息作為value存入Redis,並設置過期時間,這個過期時間就是登錄失效的時間;
- 將第1步中生成的隨機token作為JWT的payload生成JWT字元串返回給前端;
- 前端之後每次請求都在請求頭中的Authorization欄位中攜帶JWT字元串;
- 後端定義一個攔截器,每次收到前端請求時,都先從請求頭中的Authorization欄位中取出JWT字元串併進行驗證,驗證通過後解析出payload中的隨機token,然後再用這個隨機token得到key,從Redis中獲取用戶信息,如果能獲取到就說明用戶已經登錄;
public class JWTInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String JWT = request.getHeader("Authorization");
try {
// 1.校驗JWT字元串
DecodedJWT decodedJWT = JWTUtils.decode(JWT);
// 2.取出JWT字元串載荷中的隨機token,從Redis中獲取用戶信息
...
return true;
}catch (SignatureVerificationException e){
System.out.println("無效簽名");
e.printStackTrace();
}catch (TokenExpiredException e){
System.out.println("token已經過期");
e.printStackTrace();
}catch (AlgorithmMismatchException e){
System.out.println("演算法不一致");
e.printStackTrace();
}catch (Exception e){
System.out.println("token無效");
e.printStackTrace();
}
return false;
}
}
