JWT | 一分钟掌握JWT | 概念及实例

最新推荐文章于 2024-08-19 19:55:55 发布

小刘学安卓

最新推荐文章于 2024-08-19 19:55:55 发布

阅读量530

点赞数

分类专栏： # flask 网络相关 # java基础文章标签： python 前端 linux

原文链接：https://juejin.cn/post/7232550589964140602?searchId=20230730163039DFD7D261CF30A62704D5

版权

网络相关同时被 3 个专栏收录

52 篇文章

订阅专栏

java基础

42 篇文章

订阅专栏

flask

10 篇文章

订阅专栏

教学视频参考：05 jwt扩展和总结_哔哩哔哩_bilibili

JWT | 一分钟掌握JWT | 概念及实例 - 掘金

什么是JWT

JWT的全称是Json Web Token。是基于RFC 7519开放标准的，它定义了一种紧凑且独立的方式，用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任，因为它是经过数字签名的。JWT 可以使用密钥（使用 HMAC 算法）或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。

哪里能用JWT

以下是JWT两种使用场景：

授权：这是使用 JWT 的最常见的使用场景。用户登录后，每个后续请求都将包含 JWT，允许用户访问使用该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能，因为它的开销很小，并且能够跨不同域轻松使用。
信息交换：JWT是在各方之间安全传输信息的比较便捷的方式。由于 JWT 可以签名（例如，使用公钥/私钥对），因此可以确定发送者是否是在您的授权范围之内。并且，由于签名是使用标头和有效负载计算的，因此还可以验证内容是否未被篡改。

JWT的组成

这是一个JWT的token串：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

很复杂，看不懂是不是？其实这一串是经过加密之后的密文字符串，中间通过.来分割。每个.之前的字符串分别表示JWT的三个组成部分：Header、Payload、Signature。

Header（头信息）

Header的主要作用是用来标识。通常是两部分组成：

typ：type 的简写，令牌类型，也就是JWT。
alg：Algorithm 的简写，加密签名算法。一般使用HS256，jwt官网提供了12种的加密算法，截图如下：

Header的明文示例：

{ "alg": "HS256", "typ": "jwt" }

经过Base64编码之后的明文，变为：

eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9

也就是第一个.之前的密文串。以下是Header部分常用部分的声明：

key	name	说明
typ	令牌类型	如果存在，则必须将其设置为已注册的 IANA 媒体类型。
cty	内容类型	如果使用嵌套签名或加密，建议将其设置为 ;否则，请省略此字段。
alg	消息身份验证代码算法	发行者可以自由设置算法来验证令牌上的签名。但是，某些受支持的算法不安全。
kid	密钥标识	指示客户端用于生成令牌签名的密钥的提示。服务器将此值与文件上的密钥匹配，以验证签名是否有效以及令牌是否真实。
x5c	x.509 证书链	RFC4945 格式的证书链，对应于用于生成令牌签名的私钥。服务器将使用此信息来验证签名是否有效以及令牌是否真实。
x5u	x.509 证书链网址	服务器可在其中检索与用于生成令牌签名的私钥对应的证书链的 URL。服务器将检索并使用此信息来验证签名是否真实。
crit	危急	服务器必须理解的标头列表，以便接受令牌为有效令牌

Payload（负载信息）

也称为JWT claims，放置需要传输的信息，有三类：

保留claims：主要包括iss发行者、exp过期时间、sub主题、aud用户等。
公共claims：定义新创的信息，比如用户信息和其他重要信息。
私有claims：用于发布者和消费者都同意以私有的方式使用的信息。

以下是Payload的官方定义内容：

key	name	说明
iss	发送者	标识颁发 JWT 的发送主体。
sub	主题	标识 JWT 的主题。
aud	接收者	标识 JWT 所针对的接收者。每个在处理 JWT 的主体都必须使用受众声明中的值来标识自己。如果处理的主体在存在此声明时未将自己标识为声明中的值，则必须拒绝 JWT。
exp	到期时间	标识不得接受 JWT 进行处理的过期时间。该值必须是日期类型，而且是1970-01-01 00：00：00Z 之后的日期秒。
nbf	jwt的开始处理的时间	标识 JWT 开始接受处理的时间。该值必须是日期。
iat	jwt发出的时间	标识 JWT 的发出的时间。该值必须是日期。
jti	jwt id	令牌的区分大小写的唯一标识符，即使在不同的颁发者之间也是如此。

Payload明文示例：

{ "sub": "12344321", "name": "Mars酱", // 私有claims "iat": 1516239022 }

经过Base64加密之后的明文，变为：

eyJzdWIiOiIxMjM0NDMyMSIsIm5hbWUiOiJNYXJz6YWxIiwiaWF0IjoxNTE2MjM5MDIyfQ

也就是第一个.和第二个. 之间的密文串内容。

Signatrue（签名信息）

Signature 部分是对Header和Payload两部分的签名，作用是防止 JWT 被篡改。这个部分的生成规则主要是是公式（伪代码）是：

Header中定义的签名算法( base64编码(header) + "." + base64编码(payload), secret )

secret是存放在服务端加密使用到的盐。

得到签名之后，把Header的密文、Payload的密文、Signatrue的密文按顺序拼接成为一个字符串，中间通过.来连接并分割，整个串就是JWT了。

JWT实例

概念讲完了，我们来个实例吧，先来一个jwt的编码：

public static String encodeJWT(String key) {
        // 1. 定义header部分内容 
        Map headerMap = new HashMap();
        headerMap.put("alg", SignatureAlgorithm.HS256.getValue());
        headerMap.put("typ", "JWT");

        // 2. 定义payload部分内容
        Map payloadMap = new HashMap();
        payloadMap.put("sub", "mars酱让你爽一分钟");
        payloadMap.put("iat", UUID.randomUUID());
        payloadMap.put("exp", System.currentTimeMillis() + 24 * 60 * 60 * 1000);
        payloadMap.put("name", "Mars酱");
        payloadMap.put("role", "酱油王");

        // 3.生成token
        String jwtToken = Jwts.builder()
                .setHeaderParams(headerMap)
                .setClaims(payloadMap)
                .signWith(SignatureAlgorithm.HS256, key)
                .compact(); // 拼接header + payload
//        System.out.println(jwtToken);
        return jwtToken;
    }

我们在main函数中调用这个，运行得到结果：

很长的密文字符串，就不截完整了。其中key是盐，jsonwebtoken的jar包规定，key必须字节数要大于等于你所用的加密算法的最小字节数，mars酱这里使用的是HS256，最小的key长度规定的就是256：

因此，key值我这里传入了一个超长的key：

String key = "marsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmarsmars";

如果你的key没这么长，你可能会报这样错误：

下面再来一个解密jwt的代码，入参为加密后的jwt和盐key：

    public static void decodeJWT(String jwtToken, String key) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(key)
                    .parseClaimsJws(jwtToken)
                    .getBody();
            Object sub = claims.get("sub");
            Object name = claims.get("name");
            Object role = claims.get("role");
            Object exp = claims.get("exp");

            System.out.println("sub:" + sub + "\nname:" + name.toString() + "\nrole:" + role + "\nexp:" + exp + "\n失效了？" + ((System.currentTimeMillis() - (Long)exp) > 0));
        } catch (ExpiredJwtException e) {
            System.out.println("mars酱提醒您：token已过期");
        }
    }

在main中调用后，得到结果：

把生成的jwt字符串放入官网( jwt.io )的解密界面，和程序解密的结果一样，是不是很完美？

优缺点

好了，概念说完了，实例也给了，想想jwt有什么优缺点？我总结了一下：

优点：

可扩展性好 应用程序分布式部署的情况下，如果使用session机制，那就要要做多台机器的数据共享，通常可以存在数据库或者redis里面。而使用jwt不需要共享。
jwt是无状态的 jwt不在服务端存储任何状态。RESTful API的原则之一是无状态，发出请求时，总会返回带有参数的响应，不会产生附加影响。用户的认证状态引入这种附加影响，这破坏了这一原则。另外jwt的载荷中可以存储一些常用信息，用于交换信息，有效地使用 JWT，可以降低服务器查询数据库的次数。

缺点：

安全性 由于jwt的payload是使用base64编码的，并没有加密，因此jwt中不能存储敏感数据。而session的信息是存在服务端的，相对来说更安全。
一次性 无状态是jwt的特点，但也导致了这个问题，jwt是一次性的。想修改里面的内容，就必须签发一个新的jwt。

jwt开源框架

mars酱这里使用的jwt是io.jsonwebtoken的，它需要在pom中引入依赖：

<!-- jwt api定义 -->
	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt-api</artifactId>
		<version>0.10.2</version>
	</dependency>
	<!-- jwt api impl实现 -->
	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt-impl</artifactId>
		<version>0.10.2</version>
	</dependency>
	<!-- jwt json -->
	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt-jackson</artifactId>
		<version>0.10.2</version>
	</dependency>

其余的jwt框架全在jwt官网列举了。基本覆盖了全语言