Jwt token的几种设计方案及其实现

最新推荐文章于 2024-05-10 09:14:14 发布
最新推荐文章于 2024-05-10 09:14:14 发布
阅读量1.9k 收藏 6
点赞数
分类专栏: Spring Boot Java基础 文章标签: java spring jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Author_CHEN/article/details/109509538
版权

Jwt token设计方案及其实现

最近公司项目升级到spring security,使用到了Jwt token,遇到一些麻烦,特来记录一下

文章目录

什么是Jwt

Jwt是一种无状态的token方案。包括Header,payload和Signature三个部分。

原来的token方案是cookie/session方案,即后端生成了token以后存一份到,然后发到前端,前端也存一份到浏览器。但是无论怎么存,反正服务器都要存一个东西,非常之麻烦且负担重。

Jwt解决了这个问题。jwt是服务端使用特定密钥将用户信息加密为token发给前端,前端在每次请求带上这个token。后端接受到token后用密钥解密,如果解不出来,那么证明这个信息被篡改过,就不通过验证。

参照:https://blog.csdn.net/u011277123/article/details/78918390

jwt内容

header

header有两部分组成:token的类型和算法的名称。

{

​ “alg”:”HS256”,

​ “typ”:”JWT”

}

使用base64对他编码就形成了header

payload

包含声明,包含预定义的推荐标准声明和自定义声明。

图片1

图片来源:https://blog.csdn.net/u011277123/article/details/78918390

不过由于这个地方也是base64,所以可认定为是明文。使用时可自行加密。

signature

由前两个部分在base64加密后通过header声明的加密方式通过服务器定义的一个secret加盐组合加密,生成第三个部分,如果前两个部分被篡改,那么解密时必然和第三个部分不匹配,就知道是被篡改过的了。

Jwt token的优点

不需要在后端存token,减轻存储压力,只需要每次用密钥把用户信息之类的解出来就好,甚至还省去了查数据库的时间

Jwt token的缺点

同样是因为不需要在后端存token,所以后端对token的控制在只限于签发和设定过期时间,不能主动让token失效,除非换了加密密钥,但那样又会让所有的token都失效。

所以如果一个人本来是高级管理员,但是系统操作把他降成了普通管理员,但是由于原有token无法主动失效,她(他)在失效前还是能以高级管理员的身份通过校验,非常危险

解决无法使Jwt token主动失效的缺陷

  1. 把token失效时间设短一点。

    个人感觉这个方案还是很危险,假如用户A在早上八点登录并获得token,失效时间是十分钟,那么在八点过五分的时候降低了用户A的权限,他还是有五分钟能使用原来的权限,(当然也可以不把权限存储到token里面)。

  2. 维护token白名单

    数据库或redis保存一个token的白名单,即把有效的token存储到白名单,每一次的请求收到的token和白名单做匹配,如果不在白名单里面,认定为token失效。

    但是这种方案和原来的session/cookie没什么区别,还是要把token存一份到后端。

  3. 维护token黑名单

    数据库或redis维护一个token的黑名单,如果想让一个token失效,就把他加入到黑名单中。每一次请求收到的token和黑名单做匹配,如果在黑名单里面,认定token失效。直到废除的token过期,再从黑名单移除。

    这种方案个人感觉和原来的session/cookie依旧没什么区别,甚至更麻烦,因为一个用户可能有多个失效token未过期。

  4. 维护一个tokenId名单

    在生成token的时候讲token的版本设定进去,然后后端存一份这个用户的版本id,只要想让这个用户的原有token失效,就把版本id更新。

    这样和第二个方案没什么区别,因为每个token还是要保存一个东西到数据库

综上所述:无论如何,只要想实现主动失效token,都必须向数据库保存一个东西。这就是所谓的理想很丰满,现实很骨感了。

## 相关代码

再此采用第四种方案,使用雪花算法生成的数字作为token版本的id,保证唯一性,也方便token版本号存储到数据库时索引性能。

以user的id为键,将版本号存到redis,后期再做同步到数据库,避免redis挂了

导入依赖

在这里使用jwt的官方实现,需要导入依赖:

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.2</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId> 
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>

由于还使用了hutool的雪花算法,还需要导入hutool

  <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.4.6</version>
 </dependency>

在使用时版本有升级,请自行对应版本号

准备雪花算法工具类

雪花算法类

import cn.hutool.core.lang.Snowflake;
import cn.hutool.core.net.NetUtil;
import cn.hutool.core.util.IdUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

import javax.annotation.PostConstruct;

/**
 * @author welt
 * @date 2020-10-27
 */
@Component
public class SnowFlakeUtil {
    private static final Logger logger = LoggerFactory.getLogger(SnowFlakeUtil.class);
    private long workerId = 0;
    private final long datacenterId = 1;
    private Snowflake snowflake = IdUtil.createSnowflake(workerId, datacenterId);

    /**
     * 被@PostConstruct注解的方法会在服务器加载servlet时运行,并只会执行一次
     * 在这里是初始化雪花算法所需要的东西
     * */
    @PostConstruct
    public void init() {
        try {
            workerId = NetUtil.ipv4ToLong(NetUtil.getLocalhostStr());
            logger.info("当前机器的workerId:{}", workerId);
        } catch (Exception e) {
            logger.info("当前机器的workerId获取失败", e);
            workerId = NetUtil.getLocalhostStr().hashCode();
            logger.info("当前机器 workId:{}", workerId);
        }

    }

    public synchronized long getSnowflakeId() {
        return snowflake.nextId();
    }

    public synchronized long getSnowflakeId(long workerId, long datacenterId) {
        snowflake = IdUtil.createSnowflake(workerId, datacenterId);
        return snowflake.nextId();
    }
}

准备要写入的DTO类

authorities是spring security的权限列表,如不需要可删除

UserTokenDTO类

/**
 * @author chenbl
 * @date 2020-10-30
 */
@Data
public class UserTokenDTO {
    private Integer id;
    private String userName;
    private List<GrantedAuthority> authorities;
    private Integer company;
    /**验证时的返回信息*/
    private String message;
}

Jwt Token在Java的实现工具类

JwtTokenUtil

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import io.jsonwebtoken.*;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.stereotype.Component;




import javax.annotation.Resource;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.time.LocalDateTime;
import java.time.ZoneId;
import java.util.Arrays;
import java.util.Date;
import java.util.List;
import java.util.stream.Collectors;

/**
 * @author welt
 * @date 2020/09/11
 */
@Slf4j
@Component
public class JwtTokenUtil {

    @Resource
    private StringRedisTemplate stringRedisTemplate;
    @Autowired
    private SnowFlakeUtil snowFlakeUtil;
    @Value("${jwt.secret}")
    private String secret;
    /**
     * 系统禁止重复登录,每一次新的登录都必然会刷新token,使原来的token失效,token30天后失效
     * 使用每次更新token版本,固定密钥
     * @param user
     * 接收jwt的一方
     * @param subject
     * jwt所面向的一方
     * */
    public String generateToken(String subject, UserTokenDTO user){
        //TODO 设定密钥和算法
        SecretKey key =new  SecretKeySpec(secret.getBytes(), SignatureAlgorithm.HS256.getJcaName());
        LocalDateTime expiration = LocalDateTime.now(ZoneId.of("Asia/Shanghai"));
        //过期时间三天
        expiration = expiration.plusDays(3);
        Date setExpiration = Date.from(expiration.atZone(ZoneId.of("Asia/Shanghai")).toInstant());
        long newTokenId = snowFlakeUtil.getSnowflakeId();
        //拿到这个人的tokenId
        List<String> authorities = user.getAuthorities()
                .stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toList());
        String token = Jwts.builder()
                .setSubject(subject)
                .setAudience(String.valueOf(user.getUserName()))
                .setExpiration(setExpiration)
                .setId(String.valueOf(newTokenId))
                .claim(UserConstant.USER_ID,user.getId())
                .claim(UserConstant.PRIVILEGE_RANK, String.join(",",authorities))
                .claim(UserConstant.COMPANY,user.getCompany())
                .setIssuer("hr-system")
                .signWith(key)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .compact();
        stringRedisTemplate.opsForValue().set(RedisConstant.JWT_TOKEN_ID+user.getId(), String.valueOf(newTokenId));
        return token;
    }
    /**
     * @param token
     * 接收到的token
     * @return
     * 返回解析到的payload信息,不同的失败会在message中注明不同的码,未注明的错误将直接返回500到前端,并终止执行代码
     * */
    public UserTokenDTO identify(String token){
        try {
            SecretKey key = new SecretKeySpec(secret.getBytes(),
                    SignatureAlgorithm.HS256.getJcaName());
            //验证token是否被篡改,如果被篡改,会报错JwtException
            Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
            Claims body = claimsJws.getBody();
            UserTokenDTO user = new UserTokenDTO();
            user.setUserName(body.getAudience());
            user.setId((Integer) body.get(UserConstant.USER_ID));
            String role = (String) body.get(UserConstant.PRIVILEGE_RANK);
            user.setAuthorities(Arrays.stream(role.split(","))
                    .map(SimpleGrantedAuthority::new)
                    .collect(Collectors.toList()));
            //验证token是否过期
            String tokenId = body.getId();
            String realTokenId = stringRedisTemplate.opsForValue().get(RedisConstant.JWT_TOKEN_ID+user.getId());
            if (realTokenId == null){
                throw new JwtException(ResponseCode.TOKEN_FAILURE);
            }
            if (!realTokenId.equals(tokenId)){
                user.setMessage(ResponseCode.TOKEN_EXPIRED);
                throw new JwtException(ResponseCode.TOKEN_EXPIRED);
            }
            user.setMessage("success");
            return user;
        } catch (JwtException jwtException){
            log.error("验证失败,token:{}",token);
            UserTokenDTO userTokenDTO = new UserTokenDTO();
            if (jwtException.getMessage()!=null){
                userTokenDTO.setMessage(jwtException.getMessage());
            }else {
                userTokenDTO.setMessage(ResponseCode.TOKEN_FAILURE);
            }
            return userTokenDTO;
        }catch (Exception e){
            e.printStackTrace();
            UserTokenDTO userTokenDTO = new UserTokenDTO();
            userTokenDTO.setMessage(String.valueOf(ResponseCode.SERVER_ERROR));
            return userTokenDTO;
        }
    }

    /**
     * 删除用户token
     * @param userId
     * 用户名
     * */
    public void removeToken(String userId){
        stringRedisTemplate.delete(RedisConstant.JWT_TOKEN_ID+userId);
    }

    public boolean isTokenExpired(String token){
        SecretKey key = new SecretKeySpec(secret.getBytes(),SignatureAlgorithm.HS256.getJcaName());
        //验证token是否被篡改,如果被篡改,会报错JwtException
        Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
        Claims body = claimsJws.getBody();
        Date expiredDate =body.getExpiration();
        return expiredDate.before(new Date());
    }
}

注:fastjson在将jsonString转化为List<GrandAuthories>时会丢失数据,所以自己手动实现了一个string到list的转化

泠心白夜
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT的优缺点及主动失效方案
weixin_45875621的博客
03-12 3598
原因:前后端分离 以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。 优点 JWT的优点是服务端生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的时间。 缺点 不易实现JWT主动失效。 要改变某个用户权限时数据库中用户的权限很容易改变
Java系列】Hutool-JWT
Hyatt的博客
03-01 1427
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 token 也可直接被用于认证,也可被加密。
基于token认证的JWT方案
凉茶冰
10-15 310
2014年的时候做移动APP开发,那时候的后端就是纯接口类型的服务。前后端进行安全校验及认证是通过token机制来做的。 基本思路: app提交用户名、密码进行登录 后端校验用户名密码,生成token返回给前端,有时也会保存token到用户表或者保存到全局Map中 toekn的生成规则一般是Base64(uid+(MD5(u_pwd+secret))) 前端拿到token之后,保存到lo...
java token设计_Token设计之JWT
weixin_34501965的博客
03-07 158
package sc.whorl.logic.service.user;import com.github.pagehelper.PageHelper;import com.github.pagehelper.PageInfo;import org.springframework.beans.factory.annotation.Autowired;import org.springframewo...
JWT令牌(Token)设计
m0_69733784的博客
01-08 522
要在JWT中设置过期时间,可以在Payload(载荷)中添加一个名为"exp"的标准声明(Claim),表示JWT的过期时间。"exp"声明的值是一个数值类型,表示某个时间点的UNIX时间戳,单位为秒或毫秒。在生成JWT时,需要计算当前时间和过期时间,确保生成的JWT在当前时间之后,且在过期时间之前使用。在验证JWT时,需要检查"exp"声明,确保当前时间未超过JWT的过期时间,以确保JWT失效。设置过期时间可以增强JWT的安全性,避免长时间使用老旧的令牌造成潜在的安全风险,例如未经授权的访问。
基于JWTtoken身份认证方案
wo240的专栏
03-27 305
https://www.cnblogs.com/xiangkejin/archive/2018/05/08/9011119.html
基于JWTToken开发案例
weixin_34061042的博客
03-06 361
代码地址如下:http://www.demodashi.com/demo/12531.html 0、准备工作 0-1运行环境 jdk1.8 maven 一个能支持以上两者的代码编辑器,作者使用的是IDEA。 0-2知识储备 对SpringBoot框架有所了解 对token的定义有了解 本案例简单,代码注释较少,有不明白的地方,或者不正确的地方,欢迎联系作者本人或留言。 1、设计思路 1...
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
JWT, token的设计和验证
qq_16620025的博客
04-10 577
import copy import hmac import json import base64 import time class Jwt(): def __init__(self): pass @staticmethod def encode(payload, key, exp=300): #create header ...
Jwt Token 的刷新机制设计
dotNET跨平台
03-21 1691
Jwt Token 的刷新机制设计Intro前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 t...
jwt 刷新token方案比较
weixin_33824363的博客
01-13 3281
2019独角兽企业重金招聘Python工程师标准>>> ...
java token生成和验证_程序员过关斩将--更加优雅的Token认证方式JWT
weixin_39888180的博客
11-21 142
菜菜,上次你讲的cookie和session认证方式,我这次面试果然遇到了结果怎么样?结果面试官问我还有没有更好的方式?看来你又挂了别说了,伤心呀。到底还有没有更好的方式呢?你猜?基于Token的认证通过上一篇你大体已经了解session和cookie认证了,session认证需要服务端做大量的工作来保证session信息的一致性以及session的存储,所以现代的web应用在认证的解决方案上更倾...
JWT实现token令牌中心
dengyi19881212的专栏
06-03 2328
JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权
关于登录 token 的设计
liaowenxiong的博客
03-10 1756
设计要点: APP 和 小程序 的登录 token 不需要时效性,PC端的登录 token 需要时效性 token 中不要加入到期时间,因为每次有效请求,都要更新 token 的到期时间, 如果把到期时间加入到 token 中,那么每次请求就要生成新的 token ,并且随同请求数据返回给客户端替换旧的 token,这样实在是太麻烦了,也没有必要吧~ 可以把 token 保存在 redis 等缓存数据库中,设置记录的时效,每次请求就拿着 token 去 redis 查询,查询到数据就说明 token 是有
java jar包如何运行或调用
NLP与推荐算法
05-08 382
java服务启动
CMS垃圾回收器为什么被移除
最新发布
m0_54187478的博客
05-10 435
由于上述缺点,加上需要将资源投入到更现代垃圾回收器的开发和优化上,Oracle决定从Java 9开始标记CMS为废弃,并在后续版本中完全移除CMS。这些新的收集器旨在提供更低的停顿时间和更高的性能,同时减少配置和维护的复杂性。当它在垃圾收集周期内无法足够快地回收内存时,会退回到一种需要完全暂停所有应用线程的老年代收集模式,这与它设计的初衷相违背。:CMS使用的标记-清除算法会导致较多的内存碎片。:CMS需要更多的CPU资源来执行垃圾回收的并发阶段,而且它在运行时对系统资源的利用也较为激进。
tokenjwt的区别
03-24
TokenJWT 都是用于身份验证和授权的技术,但它们之间有一些区别。 Token 是在客户端和服务器之间传递的字符串,通常存储在 cookie 或 localStorage 中。它包含有关某个用户的信息和授权,服务器使用它来验证用户是否已经被授权执行某些特定操作。 JWT(JSON Web Token)也是一种身份验证和授权技术,它是一种安全的、可扩展的、自包含的透明标准,可以在不进行 cookie 或服务端存储的情况下创建和使用。 JWT 通过在 token 中嵌入用户信息并使用加密签名来保护其完整性。它包含三个部分:头部、载荷和签名。头部包含 token 类型和加密算法,载荷包含有关用户和授权的信息,签名用于验证 token 的完整性和真实性。 总的来说,Token 是一种比较灵活和简单的身份验证技术,而 JWT 则提供了更多的安全性和可扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值