什么是JWT
Json Web Token(JWT):JSON網(wǎng)絡(luò)令牌,是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而制定的一種基于JSON的開(kāi)放標(biāo)準(zhǔn)((RFC 7519)�。JWT是一個(gè)輕便的安全跨平臺(tái)傳輸格式,定義了一個(gè)緊湊的自包含的方式用于通信雙方之間以 JSON 對(duì)象行使安全的傳遞信息���。因?yàn)閿?shù)字簽名的存在����,這些信息是可信的�����。
廣義上講JWT是一個(gè)標(biāo)準(zhǔn)的名稱�����;狹義上講JWT指的就是用來(lái)傳遞的那個(gè)token字符串��。
JWT的組成
JWT含有三個(gè)部分:
頭部(header)
載荷(payload)
簽證(signature)
頭部(header)
頭部一般有兩部分信息:類型�、加密的算法(通常使用HMAC SHA256)
頭部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
解密后:
{ 'typ':'JWT', 'alg':'HS256'}
載荷(payload)
該部分一般存放一些有效的信息。JWT的標(biāo)準(zhǔn)定義包含五個(gè)字段:
簽證(signature)
JWT最后一個(gè)部分�����。該部分是使用了HS256加密后的數(shù)據(jù)�;包含三個(gè)部分:
header(base64后的)
payload(base64后的)
secret 私鑰
secret是保存在服務(wù)器端的,JWT的簽發(fā)生成也是在服務(wù)器端的�����,secret就是用來(lái)進(jìn)行JWT的簽發(fā)和JWT的驗(yàn)證�,所以,它就是你服務(wù)端的秘鑰�����,在任何場(chǎng)景都不應(yīng)該流露出去�����。一旦客戶端得知這個(gè)secret����,那就意味著客戶端可以自我簽發(fā)JWT了。
JWT特點(diǎn)
如何使用JWT�?
在身份鑒定的實(shí)現(xiàn)中,傳統(tǒng)的方法是在服務(wù)端存儲(chǔ)一個(gè) session���,給客戶端返回一個(gè) cookie���,而使用JWT之后,當(dāng)用戶使用它的認(rèn)證信息登錄系統(tǒng)之后�,會(huì)返回給用戶一個(gè)JWT, 用戶只需要本地保存該 token(通常使用localStorage�,也可以使用cookie)即可���。
當(dāng)用戶希望訪問(wèn)一個(gè)受保護(hù)的路由或者資源的時(shí)候,通常應(yīng)該在 Authorization 頭部使用 Bearer 模式添加JWT��,其內(nèi)容格式:
Authorization: Bearer <token>
因?yàn)橛脩舻臓顟B(tài)在服務(wù)端內(nèi)容中是不存儲(chǔ)的�,所以這是一種無(wú)狀態(tài)的認(rèn)證機(jī)制。服務(wù)端的保護(hù)路由將會(huì)檢查請(qǐng)求頭 Authorization 中的JWT信息����,如果合法,則允許用戶的行為�����。由于JWT是 自包含的���,因此�����,減少了需要查詢數(shù)據(jù)庫(kù)的需要�。
JWT的這些特征使得我們可以完全依賴無(wú)狀態(tài)的特性提供數(shù)據(jù)API服務(wù)�����。因?yàn)镴WT并不使用Cookie的,所以你可以在任何域名提供你的API服務(wù)而不需要擔(dān)心跨域資源共享問(wèn)題(CORS)
下面的序列圖展示了該過(guò)程:
中文流程介紹:
用戶使用賬號(hào)和密碼發(fā)出POST登錄請(qǐng)求����;
服務(wù)器使用私鑰創(chuàng)建一個(gè)JWT;
服務(wù)器返回這個(gè)JWT給瀏覽器����;
瀏覽器將該JWT串放在請(qǐng)求頭中向服務(wù)器發(fā)送請(qǐng)求�;
服務(wù)器驗(yàn)證該JWT;
返回響應(yīng)的資源給瀏覽器���。
說(shuō)了這么多JWT到底如何應(yīng)用到我們的項(xiàng)目中��,下面我們就使用SpringBoot 結(jié)合 JWT完成用戶的登錄驗(yàn)證���。
應(yīng)用流程
初次登錄生成JWT流程圖
用戶訪問(wèn)資源流程圖
搭建SpringBoot JWT工程
下面通過(guò)代碼來(lái)實(shí)現(xiàn)用戶認(rèn)證的功能,博主這里主要采用Spring Boot與JWT整合的方式實(shí)現(xiàn)�����。關(guān)于Spring Boot項(xiàng)目如何搭建與使用本章不做詳細(xì)介紹���。
首先引入JWT依賴:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
在工程 application.yml 配置文件中添加JWT的配置信息:
##jwt配置audience: # 代表這個(gè)JWT的接收對(duì)象,存入audience
clientId: 098f6bcd4621d373cade4e832627b4f6 # 密鑰, 經(jīng)過(guò)Base64加密, 可自行替換
base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY= # JWT的簽發(fā)主體��,存入issuer
name: restapiuser # 過(guò)期時(shí)間���,時(shí)間戳
expiresSecond: 172800
新建配置信息的實(shí)體類�����,以便獲取JWT配置:
@Data@ConfigurationProperties(prefix = 'audience')@Componentpublic class Audience { private String clientId; private String base64Secret; private String name; private int expiresSecond;
}
JWT驗(yàn)證主要是通過(guò)過(guò)濾器驗(yàn)證����,所以我們需要添加一個(gè)攔截器來(lái)演請(qǐng)求頭中是否包含有后臺(tái)頒發(fā)的 token����,這里請(qǐng)求頭的格式:
Authorization: Bearer <token>
創(chuàng)建JWT工具類:
package com.thtf.util;import com.thtf.common.exception.CustomException;import com.thtf.common.response.ResultCode;import com.thtf.model.Audience;import io.jsonwebtoken.*;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import javax.crypto.spec.SecretKeySpec;import javax.xml.bind.DatatypeConverter;import java.security.Key;import java.util.Date;/**
* ========================
* Created with IntelliJ IDEA.
* User:pyy
* Date:2019/7/17 17:24
* Version: v1.0
* ========================
*/public class JwtTokenUtil { private static Logger log = LoggerFactory.getLogger(JwtTokenUtil.class); public static final String AUTH_HEADER_KEY = 'Authorization'; public static final String TOKEN_PREFIX = 'Bearer '; /**
* 解析jwt
* @param jsonWebToken
* @param base64Security
* @return
*/
public static Claims parseJWT(String jsonWebToken, String base64Security) { try {
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
.parseClaimsJws(jsonWebToken).getBody(); return claims;
} catch (ExpiredJwtException eje) {
log.error('===== Token過(guò)期 =====', eje); throw new CustomException(ResultCode.PERMISSION_TOKEN_EXPIRED);
} catch (Exception e){
log.error('===== token解析異常 =====', e); throw new CustomException(ResultCode.PERMISSION_TOKEN_INVALID);
}
} /**
* 構(gòu)建jwt
* @param userId
* @param username
* @param role
* @param audience
* @return
*/
public static String createJWT(String userId, String username, String role, Audience audience) { try { // 使用HS256加密算法
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis); //生成簽名密鑰
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(audience.getBase64Secret());
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); //userId是重要信息,進(jìn)行加密下
String encryId = Base64Util.encode(userId); //添加構(gòu)成JWT的參數(shù)
JwtBuilder builder = Jwts.builder().setHeaderParam('typ', 'JWT') // 可以將基本不重要的對(duì)象信息放到claims
.claim('role', role)
.claim('userId', userId)
.setSubject(username) // 代表這個(gè)JWT的主體����,即它的所有人
.setIssuer(audience.getClientId()) // 代表這個(gè)JWT的簽發(fā)主體�����;
.setIssuedAt(new Date()) // 是一個(gè)時(shí)間戳����,代表這個(gè)JWT的簽發(fā)時(shí)間���;
.setAudience(audience.getName()) // 代表這個(gè)JWT的接收對(duì)象���;
.signWith(signatureAlgorithm, signingKey); //添加Token過(guò)期時(shí)間
int TTLMillis = audience.getExpiresSecond(); if (TTLMillis >= 0) { long expMillis = nowMillis TTLMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp) // 是一個(gè)時(shí)間戳�,代表這個(gè)JWT的過(guò)期時(shí)間;
.setNotBefore(now); // 是一個(gè)時(shí)間戳���,代表這個(gè)JWT生效的開(kāi)始時(shí)間��,意味著在這個(gè)時(shí)間之前驗(yàn)證JWT是會(huì)失敗的
} //生成JWT
return builder.compact();
} catch (Exception e) {
log.error('簽名失敗', e); throw new CustomException(ResultCode.PERMISSION_SIGNATURE_ERROR);
}
} /**
* 從token中獲取用戶名
* @param token
* @param base64Security
* @return
*/
public static String getUsername(String token, String base64Security){ return parseJWT(token, base64Security).getSubject();
} /**
* 從token中獲取用戶ID
* @param token
* @param base64Security
* @return
*/
public static String getUserId(String token, String base64Security){
String userId = parseJWT(token, base64Security).get('userId', String.class); return Base64Util.decode(userId);
} /**
* 是否已過(guò)期
* @param token
* @param base64Security
* @return
*/
public static boolean isExpiration(String token, String base64Security) { return parseJWT(token, base64Security).getExpiration().before(new Date());
}
}
創(chuàng)建JWT驗(yàn)證攔截器:
package com.thtf.interceptor;import com.thtf.annotation.JwtIgnore;import com.thtf.common.exception.CustomException;import com.thtf.common.response.ResultCode;import com.thtf.model.Audience;import com.thtf.util.JwtTokenUtil;import lombok.extern.slf4j.Slf4j;import org.apache.commons.lang3.StringUtils;import org.springframework.beans.factory.BeanFactory;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.http.HttpMethod;import org.springframework.web.context.support.WebApplicationContextUtils;import org.springframework.web.method.HandlerMethod;import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;/**
* ========================
* token驗(yàn)證攔截器
* Created with IntelliJ IDEA.
* User:pyy
* Date:2019/7/18 9:46
* Version: v1.0
* ========================
*/@Slf4jpublic class JwtInterceptor extends HandlerInterceptorAdapter{ @Autowired
private Audience audience; @Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 忽略帶JwtIgnore注解的請(qǐng)求, 不做后續(xù)token認(rèn)證校驗(yàn)
if (handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
JwtIgnore jwtIgnore = handlerMethod.getMethodAnnotation(JwtIgnore.class); if (jwtIgnore != null) { return true;
}
} if (HttpMethod.OPTIONS.equals(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK); return true;
} // 獲取請(qǐng)求頭信息authorization信息
final String authHeader = request.getHeader(JwtTokenUtil.AUTH_HEADER_KEY);
log.info('## authHeader= {}', authHeader); if (StringUtils.isBlank(authHeader) || !authHeader.startsWith(JwtTokenUtil.TOKEN_PREFIX)) {
log.info('### 用戶未登錄���,請(qǐng)先登錄 ###'); throw new CustomException(ResultCode.USER_NOT_LOGGED_IN);
} // 獲取token
final String token = authHeader.substring(7); if(audience == null){
BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
audience = (Audience) factory.getBean('audience');
} // 驗(yàn)證token是否有效--無(wú)效已做異常拋出�,由全局異常處理后返回對(duì)應(yīng)信息
JwtTokenUtil.parseJWT(token, audience.getBase64Secret()); return true;
}
}
配置攔截器:
package com.thtf.config;import com.thtf.interceptor.JwtInterceptor;import org.springframework.boot.web.servlet.FilterRegistrationBean;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.CorsRegistry;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;/**
* ========================
* Created with IntelliJ IDEA.
* User:pyy
* Date:2019/7/18 10:37
* Version: v1.0
* ========================
*/@Configurationpublic class WebConfig implements WebMvcConfigurer { /**
* 添加攔截器
*/
@Override
public void addInterceptors(InterceptorRegistry registry) { //攔截路徑可自行配置多個(gè) 可用 �����,分隔開(kāi)
registry.addInterceptor(new JwtInterceptor()).addPathPatterns('/**');
} /**
* 跨域支持
*
* @param registry
*/
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping('/**')
.allowedOrigins('*')
.allowCredentials(true)
.allowedMethods('GET', 'POST', 'DELETE', 'PUT', 'PATCH', 'OPTIONS', 'HEAD')
.maxAge(3600 * 24);
}
}
這里JWT可能會(huì)有跨域問(wèn)題��,配置跨域支持���。
編寫測(cè)試Controller接口:
package com.thtf.controller;import com.alibaba.fastjson.JSONObject;import com.thtf.annotation.JwtIgnore;import com.thtf.common.response.Result;import com.thtf.model.Audience;import com.thtf.util.JwtTokenUtil;import lombok.extern.slf4j.Slf4j;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PostMapping;import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.HttpServletResponse;import java.util.UUID;/**
* ========================
* Created with IntelliJ IDEA.
* User:pyy
* Date:2019/7/18 10:41
* Version: v1.0
* ========================
*/@Slf4j@RestControllerpublic class AdminUserController { @Autowired
private Audience audience; @PostMapping('/login') @JwtIgnore
public Result adminLogin(HttpServletResponse response, String username,String password) { // 這里模擬測(cè)試, 默認(rèn)登錄成功,返回用戶ID和角色信息
String userId = UUID.randomUUID().toString();
String role = 'admin'; // 創(chuàng)建token
String token = JwtTokenUtil.createJWT(userId, username, role, audience);
log.info('### 登錄成功, token={} ###', token); // 將token放在響應(yīng)頭
response.setHeader(JwtTokenUtil.AUTH_HEADER_KEY, JwtTokenUtil.TOKEN_PREFIX token); // 將token響應(yīng)給客戶端
JSONObject result = new JSONObject();
result.put('token', token); return Result.SUCCESS(result);
} @GetMapping('/users') public Result userList() {
log.info('### 查詢所有用戶列表 ###'); return Result.SUCCESS();
}
}
接下來(lái)我們使用PostMan工具進(jìn)行測(cè)試:
沒(méi)有登錄時(shí)候直接訪問(wèn):http://localhost:8080/users 接口:
執(zhí)行登錄:
攜帶生成token再次訪問(wèn):http://localhost:8080/users 接口
注意:這里選擇 Bearer Token類型���,就把不要在 Token中手動(dòng)Bearer���,postman會(huì)自動(dòng)拼接。
