一、JWT的作用
1、什么是JWT
jwt 简称 JSON Web Token ,也就是以Json的形式作为web中的令牌。在数据传输过程中还可以完成数据加密、签名等操作。
主要的作用:
- 授权
这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。 - 信息交换
JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。
2、JWT的组成
当我们知道了JWT其实是一种JSON形式的令牌,那么这种令牌是由什么组成的呢?
JWT的结构:
- JWT主要由三部分组成:Header(标头),Payload(有效载荷),Signature(签名)
- JWT的表示为将以上三部分以 "."分隔的Base64-URL字符串字符串:Header.Payload.Signature 如下:
使用JWT的好处:
- 简洁:可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快
- 避免重复查询:可以将用户等相关信息放在token中,服务器拿到后进行解析即可,无需再查数据库。
- 不需要在服务端保存会话信息,特别适用于分布式微服务。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg
那么这三个部分分别代表什么,有什么含义与作用呢?
2.1 Header
标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。如下:
{
"alg": "HS256",
"typ": "JWT"
}
使用缩写的命名是因为减少令牌的大小,能省一个是一个
2.2 Payload
令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分。如下:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的,因此我们可以在后端从JWT取出其中包含的信息。它并不是一种加密过程,因此一些重要的信息(如密码)不要放在JWT中。
2.3 Signature
前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。
如: HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret);
签名目的
- 最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
3、JWT的使用
3.1 引入依赖
<!--引入jwt-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
3.2 JWTUtil
一般情况下,我们在项目中使用JWT作为token时都会将其操作封装为一个工具类。具体代码如下:
public class JWTUtil {
private static final String SING = "$D%C42FC^&S";
public static final String TOKEN = "token";
/**
* 生成token
* @param map
* @return
*/
public static String getToken(Map<String,String> map){
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.HOUR,1);
JWTCreator.Builder builder = JWT.create();
map.forEach((k,v) -> {
builder.withClaim(k,v); //设置自定义属性,map为传入的属性,放在payload中
});
return builder.withExpiresAt(calendar.getTime()) // 设置token过期时间
.sign(Algorithm.HMAC256(SING)); // 设置签名 SING为加密中的一段盐
}
/**
* 验证token,如果验证通过则以DecodedJWT对象返回token
* @param token
* @return
*/
//判断算法 -> 判断SIGN -> 判断是否过期
public static DecodedJWT verifyAndGetToken(String token){
return JWT.require(Algorithm.HMAC256(SING))
.build()
.verify(token);
}
}
当我们在验证token失败时会抛出异常:
常见的异常:
- SignatureVerificationException : 签名不一致异常
- TokenExpiredException: 令牌过期异常
- AlgorithmMismatchException: 算法不匹配异常
- InvalidClaimException: 失效的payload异常
3.3 Controller
两种方式:
方式一:
我们可以直接通过参数接受token然后进行token的合法性验证,并且当token不合法时通过catch方式捕获异常返回给前端。
@GetMapping("/hello")
@ResponseBody
public Result<Boolean> hello(String token) {
try{
DecodedJWT jwt = JWTUtil.verifyAndGetToken(token); // 验证,如果合法返回DecodedJWT
log.info("用户id: [{}]",jwt.getClaim("id").asString()); // 获取放在payload中的数据
log.info("用户name: [{}]",jwt.getClaim("name").asString());// 获取放在payload中的数据
return Result.success(true);
}catch (SignatureVerificationException e) {
return Result.error(ResultMsg.SIGNATURE_ERR);
}catch (TokenExpiredException e){
return Result.error(ResultMsg.TOKEN_EXPIRED);
}catch (AlgorithmMismatchException e){
return Result.error(ResultMsg.ALOGRITHM_ERR);
}catch (Exception e) {
return Result.error(ResultMsg.TOKEN_ERR);
}
}
不推荐这样使用:因为在每个处理请求接口的方法中都需要写异常处理等操作的代码,使代码非常冗余。
方式二:
一般来说,我们都会将token放在request的header中。由于方式一会使代码非常冗余,因此我们可以使用拦截器+自定义异常处理的方式来简化我们的代码,具体如下:
JWTInterceptors:
public class JWTInterceptors implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//获取请求头中令牌
String token = request.getHeader(JWTUtil.TOKEN);
JWTUtil.verifyAndGetToken(token);
return true; // 如果验证成功才会执行到这一步,否则会直接抛出异常并交给自定义异常处理器来处理
}
}
GlobalExceptionHandler:
@RestControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler
public Result<String> exceptionHandler(HttpServletRequest request,Exception e){
e.printStackTrace();
if(e instanceof SignatureVerificationException){
return Result.error(ResultMsg.SIGNATURE_ERR);
}else if(e instanceof TokenExpiredException){
return Result.error(ResultMsg.TOKEN_EXPIRED);
}else if(e instanceof AlgorithmMismatchException){
return Result.error(ResultMsg.ALOGRITHM_ERR);
}else{
return Result.error(ResultMsg.SERVER_ERR);
}
}
}
Controller:
@PostMapping("/hello")
@ResponseBody
public Result<Boolean> hello(HttpServletRequest request){
String token = request.getHeader(JWTUtil.TOKEN); // 从request的Header中取出token
DecodedJWT jwt = JWTUtil.verifyAndGetToken(token); // 获取翻译后的JWT
log.info("用户id: [{}]",jwt.getClaim("id").asString());
log.info("用户name: [{}]",jwt.getClaim("username").asString());
return Result.success(true);
}
4、JWT的认证流程
在我们了解了JWT的简单使用后,在这里总结一下JWT的认证流程
认证流程:
-
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
-
后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx的字符串。 token head.payload.singurater
-
后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。
-
前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题) HEADER
-
后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
-
验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。