JWT 简介
Json Web Token(JWT),是为了在网络应用环境之间传递声明而执行的一种基于JSON的开放标准(RFC7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须声明信息,该token也可以直接被用于认证,也可被加密
JWT 原理
- 服务器认证以后,生成一个 JSON 对象,发回给用户
JWT 构成
- Header:头部
JWT的头部有两部分信息构成:声明类型、声明加密算法
完整的 JWT header,如下:
{
'typ':'JWT',
'alg':'HS256'
}
- Payload:载荷
JWT的载荷是用来存放有效信息的地方,包含三个部分:标准中注册的声明、公共的声明、私有的声明
标准中注册的声明(建议但不强制使用) :
iss: jwt签发者
sub:jwt所面向的用户
aud:接收jwt的一方
exp:jwt的过期时间,这个过期时间必须要大于签发时间
nbf:定义在什么时间之前,该jwt都是不可用的.
iat:jwt的签发时间
jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
公共的声明:公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密
私有的声明:私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息 - Signature:签证
JWT 签证部分是对前两部分的签名,防止数据篡改
基于Token的身份认证流程
- 用户携带用户名和密码请求访问
- 服务器校验用户凭据
- 应用提供一个token给客户端
- 客户端存储token,并且在随后的每一次请求中都带着它
- 服务器校验token并返回数据
SpringBoot 集成 Jwt
- 在 pom.xml 中引入依赖
<!-- jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
- 编写JwtUtil类
import java.util.Date;
import java.util.HashMap;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
public class JwtUtil {
/**
* 过期时间为三十分钟
*
*/
private static final long EXPIRE_TIME = 30*60*1000;
/**
* token私钥
*/
private static final String TOKEN_SECRET = "renxu";
/**
* 生成签名,三十分钟后过期
* @param username 用户名
* @param password 密码
* @return token
*/
public static String getToken(String username,String password){
//过期时间
Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
//私钥及加密算法
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
//设置头信息
HashMap<String, Object> header = new HashMap<String,Object>();
header.put("typ", "JWT");
header.put("alg", "HS256");
//附带username和password生成签名
return JWT.create().withHeader(header).withClaim("username",username).withClaim("password",password).withExpiresAt(date).sign(algorithm);
}
/**
* 验证token
* @param token
* @return ture:正确、false:错误
*/
public static boolean verification(String token){
try {
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT jwt = verifier.verify(token);
return true;
} catch (IllegalArgumentException e) {
return false;
} catch (JWTVerificationException e) {
return false;
}
}
}
- 使用JwtUtil中的getToken方法生成token,verification方法验证token