参考博客:
JWT全面解读、使用步骤
初步理解JWT并实践使用
JWT的应用场景
身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的.
JWT的结构
Header 头部 Payload 负载 Signature 签名
使用.分隔各部分 Header.Payload.SignatureHeader
通常包括两个部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。
Payload
Token的第二部分是负载,它包含了claim, Claim是一些实体(通常指的用户)的状态和额外的元数据。
有三种类型的claim:reserved, public 和 private.
Reserved claims: 这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,常用的有 iss(签发者),exp(过期时间戳), sub(面向的用户), aud(接收方), iat(签发时间)。
Public claims:根据需要定义自己的字段,注意应该避免冲突
Private claims:这些是自定义的字段,可以用来在双方之间交换信息 负载使用的例子:{ “sub”: “1234567890”, “name”: “John Doe”, “admin”: true} 上述的负载需要经过Base64Url编码后作为JWT结构的第二部分。
Signature
创建签名需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。
如果希望使用HMAC SHA256算法,那么签名应该使用下列方式创建: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret) 签名用于验证消息的发送者以及消息是没有经过篡改的。 完整的JWT 完整的JWT格式的输出是以. 分隔的三段Base64编码,与SAML等基于XML的标准相比,JWT在HTTP和HTML环境中更容易传递。 下列的JWT展示了一个完整的JWT格式,它拼接了之前的Header, Payload以及秘钥签名:
为什么要使用JWT?
相比XML格式,JSON更加简洁,编码之后更小,这使得JWT比SAML更加简洁,更加适合在HTML和HTTP环境中传递。 在安全性方面,SWT只能够使用HMAC算法和共享的对称秘钥进行签名,而JWT和SAML token则可以使用X.509认证的公私秘钥对进行签名。与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 因为JSON可以直接映射为对象,在大多数编程语言中都提供了JSON解析器,而XML则没有这么自然的文档-对象映射关系,这就使得使用JWT比SAML更方便 java json web token工具类
签名的目的
最后一步签名的过程,实际上是对头部以及载荷内容进行签名。一般而言,加密算法对于不同的输入产生的输出总是不一样的。
所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。那么服务器应用是怎么知道我们用的是哪一种算法呢?别忘了,我们在JWT的头部中已经用alg字段指明了我们的加密算法了。
如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token,返回一个HTTP 401 Unauthorized响应。
验证流程
流程如下:
1、客户端使用账户密码请求登录接口2、登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端
3、客户端再次向服务端请求其他接口时带上JWT
4、服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应
JWT和Session的区别
session实际上是基于cookie来传输的,最重要的session信息是存储在服务器的,所以服务器每次可以通过cookie中的sessionId获取到当前会话的用户,对于单台服务器这样做没问题,但是对于多台就涉及到共享session的问题了,而且认证用户的增多,session会占用大量的服务器内存.
jwt是存储在客户端的,服务器不需要存储jwt,jwt里面有用户id,服务器拿到jwt验证后可以获得用户信息.也就实现了session的功能,但是相比session,jwt是无状态的,其不与任何机器绑定,只要签名秘钥足够的安全就能保证jwt的可靠性.
JWT中的token的安全问题
按照JWT的流程,jwt是存储在客户端的,服务器不需要存储jwt;客户端每次发送请求时携带token,然后到服务端验证token是否正确,是否过期,然后解码出携带的用户信息。
如果token在传输过程被攻击者截取了,那么对方就可以伪造请求,利用窃取的Token模拟正常请求,实现用户的正常操作,而服务器端对此完全不知道,因为JWT机制是无状态的。
存在的问题
1、Token失效问题:
比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统,黑客还是可以利用窃取的Token模拟正常请求可用它访问服务器,而服务器端对此完全不知道,(因为JWT机制是无状态的),直到过期,中间服务器无法控制它.
2、解决办法:
服务端使用Redis缓存服务器签发给已登录用户的Token, 每次客户端发送请求时到redis中查该用户 请求的token 和 redis存的token是否一致,不一致不允许token登录,如果一致,判断这个token是否可以用(主要防止修改密码和注销操作的token没失效问题),最后返回用户信息
当用户修改密码和注销时直接将redis中该用户的Token设置失效。下次通过token登录,会提醒token失效,要重新登录,我们重新生成一个新的token给用户。通过redis存储token,实现主动控制 token过期失效的问题了。
示例
1、添加依赖
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency>
2、创建JWThepler 类
package jwt;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.*;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import javax.xml.crypto.Data;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JWTHelper {
//密钥
private static final String SECRER ="JSDFKC=";
//设置过期时间间隔
private final static int calendarField = Calendar.DATE;
private static final int calendarInterval = 10;
/**
*
* @param username
* @param password
* @return
*/
public static String createToken(String username,String password) throws JWTCreationException {
//签名时间
Date iatDate = new Date();
//过期时间
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField,calendarInterval);
Date expiresDate = nowTime.getTime();
//Header
/**
* JWS 算法名称 描述
* HS256 HMAC256 HMAC with SHA-256
* HS384 HMAC384 HMAC with SHA-384
* HS512 HMAC512 HMAC with SHA-512
* RS256 RSA256 RSASSA-PKCS1-v1_5 with SHA-256
* RS384 RSA384 RSASSA-PKCS1-v1_5 with SHA-384
* RS512 RSA512 RSASSA-PKCS1-v1_5 with SHA-512
* ES256 ECDSA256 ECDSA with curve P-256 and SHA-256
* ES384 ECDSA384 ECDSA with curve P-384 and SHA-384
* ES512 ECDSA512 ECDSA with curve P-521 and SHA-512
*/
Map<String,Object> header = new HashMap<String,Object>();
header.put("alg","HS256");
header.put("typ","JWT");
//build token
String token = JWT.create().withHeader(header)
.withClaim("iss","Server") //jwt签发者
.withClaim("aud","Client") //接收者
.withClaim("username",null == username?null:username) //用户名 //payload
.withClaim("password",null == password? null: password) //密码
.withIssuedAt(iatDate) //签名时间
.withExpiresAt(expiresDate) //过期时间
.sign(Algorithm.HMAC256(SECRER)); //签名密钥
return token;
}
/**
* 解密Token
* @param token
* @return
*/
public static boolean verifyToken(String token){
boolean result = true;
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRER)).build();
jwt = verifier.verify(token);
System.out.println(jwt.getHeader());
System.out.println(jwt.getPayload());
System.out.println(jwt.getSignature());
}catch (AlgorithmMismatchException e){
e.printStackTrace();
result = false;
}catch (SignatureVerificationException e){
e.printStackTrace();
result = false;
}catch (TokenExpiredException e){
e.printStackTrace();
result = false;
}catch (InvalidClaimException e){
e.printStackTrace();
result = false;
}
return result;
}
}
- 3、创建LoginController
package jwt.controller;
import jwt.JWTHelper;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletRequest;
@RestController
public class LoginController {
@RequestMapping("/loginIn")
@ResponseBody
public String loginIn(HttpServletRequest request){
String username = request.getParameter("username");
String password = request.getParameter("password");
//查询数据库 验证用户名和密码的正确性 此处省略
//生成token
String token = JWTHelper.createToken(username,password);
System.out.println("生成的token: "+token);
return token;
}
/**
* 验证token正确性
* @param token
* @return
*/
@RequestMapping("/verify")
@ResponseBody
public boolean verify(String token){
boolean result = JWTHelper.verifyToken(token);
System.out.println("验证token: "+token);
System.out.println("验证结果: "+result);
return result;
}
}
- 4、测试和结果
生成token
验证token 此处 token只是显示部分
控制台结果
生成的token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJDbGllbnQiLCJwYXNzd29yZCI6IjEyMyIsImlzcyI6IlNlcnZlciIsImV4cCI6MTUzNDk5NTA5MCwiaWF0IjoxNTM0MTMxMDkwLCJ1c2VybmFtZSI6InNkZmFzZCJ9.L6qBd4_RQStc5aIU_l-pft4UxHCndRwjBdVfWgcEM_Mheader头
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
payload
eyJhdWQiOiJDbGllbnQiLCJwYXNzd29yZCI6IjEyMyIsImlzcyI6IlNlcnZlciIsImV4cCI6MTUzNDk5NTA5MCwiaWF0IjoxNTM0MTMxMDkwLCJ1c2VybmFtZSI6InNkZmFzZCJ9
signature
L6qBd4_RQStc5aIU_l-pft4UxHCndRwjBdVfWgcEM_M
验证token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJDbGllbnQiLCJwYXNzd29yZCI6IjEyMyIsImlzcyI6IlNlcnZlciIsImV4cCI6MTUzNDk5NTA5MCwiaWF0IjoxNTM0MTMxMDkwLCJ1c2VybmFtZSI6InNkZmFzZCJ9.L6qBd4_RQStc5aIU_l-pft4UxHCndRwjBdVfWgcEM_M
验证结果: true
使用JWTS
1、添加依赖
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency>
2、编写helper类
package jwt;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.*;
import com.auth0.jwt.interfaces.DecodedJWT;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JWTHelper2 {
//密钥
private static final String SECRER ="JSDFKC2=";
//设置过期时间间隔
private final static int calendarField = Calendar.DATE;
private static final int calendarInterval = 10;
/**
*
* @param username
* @param password
* @return
*/
public static String createToken(String username,String password) throws JWTCreationException {
//签名时间
Date iatDate = new Date();
//过期时间
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField,calendarInterval);
Date expiresDate = nowTime.getTime();
//Header
/**
* JWS 算法名称 描述
* HS256 HMAC256 HMAC with SHA-256
* HS384 HMAC384 HMAC with SHA-384
* HS512 HMAC512 HMAC with SHA-512
* RS256 RSA256 RSASSA-PKCS1-v1_5 with SHA-256
* RS384 RSA384 RSASSA-PKCS1-v1_5 with SHA-384
* RS512 RSA512 RSASSA-PKCS1-v1_5 with SHA-512
* ES256 ECDSA256 ECDSA with curve P-256 and SHA-256
* ES384 ECDSA384 ECDSA with curve P-384 and SHA-384
* ES512 ECDSA512 ECDSA with curve P-521 and SHA-512
*/
Map<String,Object> header = new HashMap<String,Object>();
header.put("alg","HS256");
header.put("typ","JWT");
//create claims
Claims claims = Jwts.claims();
claims.put("username",username);
claims.put("password",password);
claims.setIssuedAt(iatDate); //签名时间
claims.setExpiration(expiresDate); //过期时间
claims.setIssuer("Server"); //jwt签发者
claims.setAudience("Client"); //接收者
//build token
String token = Jwts.builder().setClaims(claims).setHeader(header)
.signWith(SignatureAlgorithm.HS256,SECRER).compact(); //签名密钥
return token;
}
/**
* 解密Token
* @param token
* @return
*/
public static boolean verifyToken(String token){
boolean result = true;
try {
Jws<Claims> jws = Jwts.parser().setSigningKey(SECRER).parseClaimsJws(token);
System.out.println(jws.getHeader());
System.out.println(jws.getBody());
System.out.println(jws.getSignature());
}catch (Exception e) {
e.printStackTrace();
}
return result;
}
}
- 3、编写LoginController
package jwt.controller;
import jwt.JWTHelper;
import jwt.JWTHelper2;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletRequest;
@RestController
public class LoginController {
@RequestMapping("/loginIn")
@ResponseBody
public String loginIn(HttpServletRequest request){
String username = request.getParameter("username");
String password = request.getParameter("password");
//查询数据库 验证用户名和密码的正确性 此处省略
//生成token
String token = JWTHelper.createToken(username,password);
System.out.println("生成的token: "+token);
return token;
}
/**
* 验证token正确性
* @param token
* @return
*/
@RequestMapping("/verify")
@ResponseBody
public boolean verify(String token){
boolean result = JWTHelper.verifyToken(token);
System.out.println("验证token: "+token);
System.out.println("验证结果: "+result);
return result;
}
@RequestMapping("/loginIn2")
@ResponseBody
public String loginIn2(HttpServletRequest request){
String username = request.getParameter("username");
String password = request.getParameter("password");
//查询数据库 验证用户名和密码的正确性 此处省略
//生成token
String token = JWTHelper2.createToken(username,password);
System.out.println("生成的token: "+token);
return token;
}
/**
* 验证token正确性
* @param token
* @return
*/
@RequestMapping("/verify2")
@ResponseBody
public boolean verify2(String token){
boolean result = JWTHelper2.verifyToken(token);
System.out.println("验证token: "+token);
System.out.println("验证结果: "+result);
return result;
}
}
- 4、测试和结果
生成token
解析token
控制台结果
生成的token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwicGFzc3dvcmQiOiIxMjMiLCJpYXQiOjE1MzQxMzM0MDEsImV4cCI6MTUzNDk5NzQwMSwiaXNzIjoiU2VydmVyIiwiYXVkIjoiQ2xpZW50In0.WbX3BVgKaz8GiTBRCzIAxHUmRog0zEsvrqzp4vlj5Is
header
{typ=JWT, alg=HS256}
payload
{username=zhangsan, password=123, iat=1534133313, exp=1534997313, iss=Server, aud=Client}
signature
2gs30Q4Dx5W7ITtXBV41F4IGQWfIloTx2kIW24_m9Cg
**验证token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwicGFzc3dvcmQiOiIxMjMiLCJpYXQiOjE1MzQxMzMzMTMsImV4cCI6MTUzNDk5NzMxMywiaXNzIjoiU2VydmVyIiwiYXVkIjoiQ2xpZW50In0.2gs30Q4Dx5W7ITtXBV41F4IGQWfIloTx2kIW24_m9Cg
验证结果: true**