JWT基础(一)

一、JWT的作用

1、什么是JWT

jwt 简称 JSON Web Token ,也就是以Json的形式作为web中的令牌。在数据传输过程中还可以完成数据加密、签名等操作。

主要的作用:
  • 授权
      这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
  • 信息交换
      JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。
2、JWT的组成

当我们知道了JWT其实是一种JSON形式的令牌,那么这种令牌是由什么组成的呢?

JWT的结构:
  • JWT主要由三部分组成:Header(标头),Payload(有效载荷),Signature(签名)
  • JWT的表示为将以上三部分以 "."分隔的Base64-URL字符串字符串:Header.Payload.Signature 如下:
使用JWT的好处:
  • 简洁:可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快
  • 避免重复查询:可以将用户等相关信息放在token中,服务器拿到后进行解析即可,无需再查数据库。
  • 不需要在服务端保存会话信息,特别适用于分布式微服务。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg

那么这三个部分分别代表什么,有什么含义与作用呢?

2.1 Header

标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。如下:

{
  "alg": "HS256", 
  "typ": "JWT"
}

使用缩写的命名是因为减少令牌的大小,能省一个是一个

2.2 Payload

令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分。如下:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的,因此我们可以在后端从JWT取出其中包含的信息。它并不是一种加密过程,因此一些重要的信息(如密码)不要放在JWT中。

2.3 Signature

前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。

如: HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret);

签名目的
  • 最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
3、JWT的使用
3.1 引入依赖
<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>
3.2 JWTUtil

一般情况下,我们在项目中使用JWT作为token时都会将其操作封装为一个工具类。具体代码如下:

public class JWTUtil {

    private static final String SING = "$D%C42FC^&S";
    public static final String TOKEN = "token";

    /**
     * 生成token
     * @param map
     * @return
     */
    public static String getToken(Map<String,String> map){

        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.HOUR,1);

        JWTCreator.Builder builder = JWT.create();

        map.forEach((k,v) -> {
            builder.withClaim(k,v); //设置自定义属性,map为传入的属性,放在payload中
        });

        return builder.withExpiresAt(calendar.getTime()) // 设置token过期时间
                .sign(Algorithm.HMAC256(SING));  // 设置签名 SING为加密中的一段盐

    }

    /**
     * 验证token,如果验证通过则以DecodedJWT对象返回token
     * @param token
     * @return
     */
    //判断算法 -> 判断SIGN -> 判断是否过期
    public static DecodedJWT verifyAndGetToken(String token){
        return JWT.require(Algorithm.HMAC256(SING))
                .build()
                .verify(token);
    }
}

当我们在验证token失败时会抛出异常:

常见的异常:

  • SignatureVerificationException : 签名不一致异常
  • TokenExpiredException: 令牌过期异常
  • AlgorithmMismatchException: 算法不匹配异常
  • InvalidClaimException: 失效的payload异常
3.3 Controller

两种方式:
方式一:
我们可以直接通过参数接受token然后进行token的合法性验证,并且当token不合法时通过catch方式捕获异常返回给前端。

 @GetMapping("/hello")
 @ResponseBody
    public Result<Boolean> hello(String token) {
        try{
            DecodedJWT jwt = JWTUtil.verifyAndGetToken(token); // 验证,如果合法返回DecodedJWT
            log.info("用户id: [{}]",jwt.getClaim("id").asString());  // 获取放在payload中的数据
            log.info("用户name: [{}]",jwt.getClaim("name").asString());// 获取放在payload中的数据
            return Result.success(true);
        }catch (SignatureVerificationException e) {
            return Result.error(ResultMsg.SIGNATURE_ERR);
        }catch (TokenExpiredException e){
            return Result.error(ResultMsg.TOKEN_EXPIRED);
        }catch (AlgorithmMismatchException e){
            return Result.error(ResultMsg.ALOGRITHM_ERR);
        }catch (Exception e) {
            return Result.error(ResultMsg.TOKEN_ERR);
        }
    }

不推荐这样使用:因为在每个处理请求接口的方法中都需要写异常处理等操作的代码,使代码非常冗余。

方式二:
一般来说,我们都会将token放在request的header中。由于方式一会使代码非常冗余,因此我们可以使用拦截器+自定义异常处理的方式来简化我们的代码,具体如下:
JWTInterceptors

public class JWTInterceptors implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求头中令牌
        String token = request.getHeader(JWTUtil.TOKEN);
        JWTUtil.verifyAndGetToken(token);
        return true; // 如果验证成功才会执行到这一步,否则会直接抛出异常并交给自定义异常处理器来处理
    }
}

GlobalExceptionHandler:

@RestControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler
    public Result<String> exceptionHandler(HttpServletRequest request,Exception e){
         e.printStackTrace();
         if(e instanceof SignatureVerificationException){
                return Result.error(ResultMsg.SIGNATURE_ERR);
         }else if(e instanceof TokenExpiredException){
                return Result.error(ResultMsg.TOKEN_EXPIRED);
         }else if(e instanceof AlgorithmMismatchException){
                return Result.error(ResultMsg.ALOGRITHM_ERR);
         }else{
               return Result.error(ResultMsg.SERVER_ERR);
         }
    }
}

Controller:

@PostMapping("/hello")
@ResponseBody
public Result<Boolean> hello(HttpServletRequest request){
    String token = request.getHeader(JWTUtil.TOKEN); // 从request的Header中取出token
    DecodedJWT jwt = JWTUtil.verifyAndGetToken(token);  // 获取翻译后的JWT
    log.info("用户id: [{}]",jwt.getClaim("id").asString());
    log.info("用户name: [{}]",jwt.getClaim("username").asString());
    return Result.success(true);
}
4、JWT的认证流程

在我们了解了JWT的简单使用后,在这里总结一下JWT的认证流程
在这里插入图片描述

认证流程:
  • 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。

  • 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx的字符串。 token head.payload.singurater

  • 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。

  • 前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题) HEADER

  • 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。

  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值