JWT简介
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密.
JWT优缺点
优点
1.无状态,服务器不记录任何数据,不会给服务器造成压力
2.用户非敏感信息可保存在jwt里,客户端每次访问,无需进行查库操作便可获取用户各种信息
3.易扩展,可作用于应用的分布式部署和单点登录
缺点
1.安全性
虽然jwt是加密的,但是却保存在前端,并不是很安全,后端密钥泄露了就芭比Q了。相比session而言,session保存在服务端,还是session安全,奈何session不是很好使
2.一次性
一次性生成了,但是我想修改里面的内容,也办不到,这挺难受
3.无法实现退出登录
这是最难受的,简直太难受了,jwt无法主动废弃,只能等他过期,这就意味着就算前端主动清除了这段token,那也只是掩耳盗铃,我依然可以拿这段token去访问,这无疑很不安全,不知道以后会不会出新版本,加个更新功能,比如更新个过期时间啥的,这样可以废弃,也可以续签。对于这种解决方案,我个人的解决方案选择了加个黑名单,依然需要借助redis,拦截器判断。
JWT 组成
这就是jwt
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).
header
jwt的头部承载两部分信息:
声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON:
{
‘typ’: ‘JWT’,
‘alg’: ‘HS256’
}
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
playload
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
标准中注册的声明
公共的声明
私有的声明
标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
定义一个payload:
{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}
然后将其进行base64加密,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
signature
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
// javascript
var encodedString = base64UrlEncode(header) + ‘.’ + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, ‘secret’); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
Springboot 使用jwt
这里我们使用jjwt
直接贴代码
pom
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
JwtUtils
package com.liu.demo.util;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.CompressionCodecs;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;
import java.util.UUID;
/**
* JWT生成token
*/
public class JwtUtils {
private final static String secret = "123456";
/**
* 生成jwt token
* claims 传过来的用户实体map集合
* @return
*/
public static String createJWT(Map<String,Object> claims){
Date now = new Date();
long e = 1000*60;
//过期时间
Date expireDate = new Date(now.getTime()+e);
return Jwts.builder()
.setHeaderParam("type","JWT")
.setId(UUID.randomUUID().toString())//设置jti 是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
.setClaims(claims) //业务内需要存储的参数
.setIssuedAt(now) //iat: jwt的签发时间
.setExpiration(expireDate) // exp: jwt的过期时间,这个过期时间必须要大于签发时间
.setSubject(String.valueOf(claims.get("id"))) // jwt所面向的用户,也就是说是根据用户身份变动的字段 这里设置为用户id
.setIssuer(String.valueOf(claims.get("userName"))) //签发者信息 这里设置为用户名
.signWith(SignatureAlgorithm.HS512, secret) 设置签名使用的签名算法和签名使用的秘钥
.compressWith(CompressionCodecs.GZIP) //数据压缩方式
.compact();
}
/**
* 解析jwt 获取用户信息 也就是Claims信息
* 如果超时或者没有返回null
* @param token
* @return
*/
public static Claims getClaimByToken(String token) {
try {
return Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
}catch (Exception e){
return null;
}
}
}
直接用就完事了。
然后下面说一下如何退出登录,依然得借助redis,退出的时候把jwt的token加到redis里面,作为key。每次访问,拦截器判断一下有没有就完事了,有的话说明这个jwt退出了,不通过。同样设置超时时间。