孤尽T31项目Day22
权限管理-JWT
1 JWT的简介
Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC
7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。
2 JWT的组成
Header 头部
头部包含两部分,token的类型和采用的加密算法,使用Base64编码,组成JWT结构的第一部分。
{
"alg": "HS256",
"typ": "JWT"
}
Payload负载
存放信息的地方,你可以把⽤户 ID 等信息放在这⾥,JWT 规范⾥⾯对这部分有进⾏了⽐较详细的介绍常,⽤的有 iss(签发者),exp(过期时间),sub(⾯向的⽤户),aud(接收⽅),iat(签发时间)。使用Base64编码,组成JWT结构的第二部分。
Signature签名
前⾯两部分都是使⽤ Base64 进⾏编码的,即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进⾏签名。签名的作⽤是保证 JWT 没有被篡改过。
三个部分通过 . 连接在⼀起就是我们的 JWT 了,它可能⻓这个样⼦,⻓度貌似和你的加密算法和私钥有关系。
最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。
3 为什么使用JWT
资源服务器授权流程如上图,客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验成功会返回⽤户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客
户端。
传统授权⽅法的问题是⽤户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取⽤户的相关信息,性能低下。
传统的授权模式性能低下,每次都需要请求授权服务校验令牌合法性,我们可以利⽤公钥私钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。
4 公钥私钥
1、授权中⼼和资源中⼼持有私钥和公钥
2、私钥颁发令牌
3、公钥验证令牌
4.1 生成私钥公钥
使用keytool⼯具⽣成公钥私钥证书
- 生成密钥证书
使用下面的命令生成密钥证书,采用RSA算法来生成公钥和私钥
keytool -genkeypair -alias kaikeba -keyalg RSA -keypass kaikeba -keystore kaikeba.jks -storepass kaikeba
keytool工具是一个java提供的证书管理工具,它的各命令的解释:
alias:密钥的别名
keyalg:使⽤的hash算法
keypass:密钥的访问密码
keystore:密钥库⽂件名
storepass:密钥库的访问密码
- 查询证书信息
keytool -list -keystore kaikeba.jks
- 删除别名
keytool -delete -alias kaikeba -keystore kaikeba.jsk
- 导出公钥
openssl是⼀个加解密⼯具包,这⾥使⽤openssl来导出公钥信息。
安装 openssl:http://slproweb.com/products/Win32OpenSSL.html
安装资料⽬录下的Win64OpenSSL-1_1_0g.exe
配置环境变量
cmd进⼊kaikeba.jks⽂件所在⽬录执⾏如下命令(如下命令在windows下执⾏,会把-变成中⽂⽅式,请将它改成英⽂的-):
keytool -list -rfc --keystore kaikeba.jks | openssl x509 -inform pem -pubkey
下⾯段内容是公钥
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvFsEiaLvij9C1Mz+oyAmt47whAaRkRu/8kePM+X8760UGU0RMwGti6Z9y3LQ0RvK6I0brXmbGB/RsN38PVnhcP8ZfxGUH26kX0RK+tlrxcrG+HkPYOH4XPAL8Q1lu1n9x3tLcIPxq8ZZtuIyKYEmoLKyMsvTviG5flTpDprT25unWgE4md1kthRWXOnfWHATVY7Y/r4obiOL1mS5bEa/iNKotQNnvIAKtjBM4RlIDWMa6dmz+lHtLtqDD2LF1qwoiSIHI75LQZ/CNYaHCfZS
xtOydpNKq8eb1/PGiLNolD4La2zf0/1dlcr5mkesV570NxRmU1tFm8Zd3MZlZmyv
9QIDAQAB
-----END PUBLIC KEY-----
将上边的公钥拷⻉到⽂本public.key⽂件中,放到资源服务器中。
4.2 JWT测试
- pom.xm
引⼊oauth2依赖构件
<!--oauth2-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
- kaikeba.jks
测试需要公钥和私钥,准备好 - 测试代码(省略)