jwt的作用:【也就是Json web token】eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9.49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY
我们可以看出他有三个部分组成的字符串,第一部分为 header【一般包含header的声明类型和指定加密算法HS256】 第二部分为 payload 第三部分为签名验证 signature
首先对jwt有个大体的框架认识,过多的原理知识我就不在此介绍了,我们可以简答的划分为 jwtPayload【信息载体或者说是信息主体】,jwtSetting【配置信息 可能包含一些secretKey authsalt tokenHeader...】,jwtType【可理解为角色类型或者信息加密类型】。
其中jwtPayload信息载体class中可以设置如下属性 id,jwtType,name,如下:
{
“id”:“1222”,
“name”:“人人”,
“jwtType”:“student”
}
payload的又可仔细划分为四个三个小模块
· 标准中注册的声明 【iss:jwt签发者。sub:jwt所面向的用户。 aud:jwt所面向的接收者。 exp:jwt的过期时间 这个时间必须要大于签发的时间。iat:jwt签发时间,jti:jwt的唯一身份标识,主要用来作为一次性的token 放攻击】
· 公共的声明: 声明一下公共信息 但是非敏感信息 因为base64加密是对称加密 一般添加用户信息或者业务信息
· 私有的声明: 提供者和消费者共同定义的声明。也是不建议声明敏感信息
如果将上面的jwtpayload进行base64机密后得到字符串的第二部分。
jwt的第三个部分是签名,是由header经过base64加密和jwtpayload经过base64加密然后用.号连接在加上secretKey,在通过在header中声明的加密算法来进行加密,得到jwt的第三个部分。
jwtSetting属性为secretKey为随机生成的字符串作为加密的秘钥 tokenheader和Authsalt可以是自己设定为主,可在application.properties或application.yml中指定。
jwtType需要根据自己需求来确定角色类型,举个例子 游客 会员 管理员......一般设置成枚举类。
然后就到了对应的各种setter和getter方法 其中生成secretkey的随机字符串可用使用Apache的Commons-lang3 包的工具类来解决
RandomStringUtils.randomAlphanumeric(int length);
@PostConstruct
public void poplateSecretKey(){
this.secretKey = RandomStringUtils.randomAlpanumeric(32);
}
####################################################我是分割线###################################################
核心的jwtSercice算法如下:
@Service
public class JwtService{
@Autowired private JwtSettiong jwtConfig;
// 将token信息转换为jwt中的payload载体信息 如果successful 将返回的是id name type的详细信息
public Claims parseToken(String token){
try{
Claims body = Jwts.parser().setSigningKey(jwtConfig.getSecretKey()).parseClaimsJws(token).getBody();
return body;
}catch(JwtException e){
throw new JwtException("认证信息错误");
}
}
// 信息的加密和转化过程 也就是就是生成token的过程
public String generateToken(JwtPayload data){
// 设置过期时间
long now = new Date().getTime();
Date exp = new Date(now + jwtConfig.getEcpiretion() * 60 * 1000);
Claims claims = Jwts.claims().setSubject(assembleSubject(data)).setIssuedAt(new Date()).setExpiration(exp); // 设置jwt的签发时间和过期时间
claims.put("id",data.getId());
return Jwts.builder().setClaims(claims).setSignWith(SignatureAlgorithm.HS256,jwtConfig.getSecreteKey()).compact();
}
private String assembleSubject(jwtPayload data){
return String.format("%s:::%s",data.getType().name(),data.getName()); // 把data作为一个转化为一个新的字符串 %s:::%s 作为subject来进行token的生成
}
// 工具方法 验证jwt token的类型是否正确
public boolean isRightType(Claims claims,JwtType jwttype){
if(claims == null || jwttype == null){
return false;
}
jwtType role = JwtType.valueOf(claims.getSubject().split(":::")[0]);
return jwttype==role;
}
}
以后就是如何生成token和利用token获取用户信息的算法逻辑,如果需要更为详细的用法,需要我们使用实际操作,包含一些操作,利用Filter或者拦截器进行。
我们可以看出他有三个部分组成的字符串,第一部分为 header【一般包含header的声明类型和指定加密算法HS256】 第二部分为 payload 第三部分为签名验证 signature
首先对jwt有个大体的框架认识,过多的原理知识我就不在此介绍了,我们可以简答的划分为 jwtPayload【信息载体或者说是信息主体】,jwtSetting【配置信息 可能包含一些secretKey authsalt tokenHeader...】,jwtType【可理解为角色类型或者信息加密类型】。
其中jwtPayload信息载体class中可以设置如下属性 id,jwtType,name,如下:
{
“id”:“1222”,
“name”:“人人”,
“jwtType”:“student”
}
payload的又可仔细划分为四个三个小模块
· 标准中注册的声明 【iss:jwt签发者。sub:jwt所面向的用户。 aud:jwt所面向的接收者。 exp:jwt的过期时间 这个时间必须要大于签发的时间。iat:jwt签发时间,jti:jwt的唯一身份标识,主要用来作为一次性的token 放攻击】
· 公共的声明: 声明一下公共信息 但是非敏感信息 因为base64加密是对称加密 一般添加用户信息或者业务信息
· 私有的声明: 提供者和消费者共同定义的声明。也是不建议声明敏感信息
如果将上面的jwtpayload进行base64机密后得到字符串的第二部分。
jwt的第三个部分是签名,是由header经过base64加密和jwtpayload经过base64加密然后用.号连接在加上secretKey,在通过在header中声明的加密算法来进行加密,得到jwt的第三个部分。
jwtSetting属性为secretKey为随机生成的字符串作为加密的秘钥 tokenheader和Authsalt可以是自己设定为主,可在application.properties或application.yml中指定。
jwtType需要根据自己需求来确定角色类型,举个例子 游客 会员 管理员......一般设置成枚举类。
然后就到了对应的各种setter和getter方法 其中生成secretkey的随机字符串可用使用Apache的Commons-lang3 包的工具类来解决
RandomStringUtils.randomAlphanumeric(int length);
@PostConstruct
public void poplateSecretKey(){
this.secretKey = RandomStringUtils.randomAlpanumeric(32);
}
####################################################我是分割线###################################################
核心的jwtSercice算法如下:
@Service
public class JwtService{
@Autowired private JwtSettiong jwtConfig;
// 将token信息转换为jwt中的payload载体信息 如果successful 将返回的是id name type的详细信息
public Claims parseToken(String token){
try{
Claims body = Jwts.parser().setSigningKey(jwtConfig.getSecretKey()).parseClaimsJws(token).getBody();
return body;
}catch(JwtException e){
throw new JwtException("认证信息错误");
}
}
// 信息的加密和转化过程 也就是就是生成token的过程
public String generateToken(JwtPayload data){
// 设置过期时间
long now = new Date().getTime();
Date exp = new Date(now + jwtConfig.getEcpiretion() * 60 * 1000);
Claims claims = Jwts.claims().setSubject(assembleSubject(data)).setIssuedAt(new Date()).setExpiration(exp); // 设置jwt的签发时间和过期时间
claims.put("id",data.getId());
return Jwts.builder().setClaims(claims).setSignWith(SignatureAlgorithm.HS256,jwtConfig.getSecreteKey()).compact();
}
private String assembleSubject(jwtPayload data){
return String.format("%s:::%s",data.getType().name(),data.getName()); // 把data作为一个转化为一个新的字符串 %s:::%s 作为subject来进行token的生成
}
// 工具方法 验证jwt token的类型是否正确
public boolean isRightType(Claims claims,JwtType jwttype){
if(claims == null || jwttype == null){
return false;
}
jwtType role = JwtType.valueOf(claims.getSubject().split(":::")[0]);
return jwttype==role;
}
}
以后就是如何生成token和利用token获取用户信息的算法逻辑,如果需要更为详细的用法,需要我们使用实际操作,包含一些操作,利用Filter或者拦截器进行。
174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
