Springboot整合JWT

目录

 

一 jwt

1.什么是jwt

2.JWT可以做什么

3.传统的基于session验证

4.基于jwt的认证

5.jwt结构

heder

Payload

Signature

6.使用jwt

二 Springboot整合jwt

---

一 jwt

1.什么是jwt

官网介绍地址：https://jwt.io/introduction/

JWT简称Json Web Token，也就是通过JSON形式作为web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

2.JWT可以做什么

授权：用户登录后每个后续请求将包括jwt,从而允许用户访问该令牌允许的路由、服务和资源。许多的单点登录就是使用了jwt,开销小并且可以在不同域中使用

信息交换：因为jwt具有签名机制，在不同的系统之间进行数据交换或者请求相关接口，通过验签然后执行接口请求和传输数据

3.传统的基于session验证

验证方式

当用户第一次请求的时候，系统会创建一个专属此用户的session,后续来不同的用户，一次创建不同的session。当浏览器第一次访问系统的时候，系统会以cookie的方式为浏览器设置要给sessionId,每个用户对应一个sessionId。后续发起请求的时候，默认会携带这个sessionId进行认证

验证流程

问题

• 每个用户都要经过系统认证，认证之后都要在服务端保存一个session ,随着用户的增加，服务端开销明显增大
• 验证之后session保存在了当前登录的服务端，如果涉及到分布应用，限制了负载均衡的能力，极大增加了应用扩展力难度
• 因为是基于cookie进行用户识别的，所以如果cookie被截获，用户很容易受到跨站请求伪造攻击

4.基于jwt的认证

系统通过前端传过来的用户名和密码进行验证，成功后将用户的id等其他信息放在jwt payload,将payload和header分别进行Base64编码拼接后签名；

形成一个jwt,是一个xxxxx.yyyyy.zzzzz字符串。后端将这个jwt放回给前端。

前端可以将此jwt保存在localStorage或者sessionStorage上，退出登录时前端删除保存的jwt即可；

前端请求时候携带jwt,进行验证jwt的有效性，通过后返回相应结果。

5.jwt结构

jwt由Header、Payload、Signature三部分组成，中间用.分开，即xxxxx.yyyyy.zzzzz

heder

头部分由令牌类型(即JWT)和所使用的签名算法，例如HMAC,SHA256,RSA,通过BASE64编码将组成jwt结构的第一部分

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

第二部分是有效负载声明，包含用户数据和其他相关的数据声明，同样会使用base64编码组成JWT结构的第二部分；因为base64编码后是可以解码的，所以在payload中不要存放用户密码

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Signature

前面两部分是使用base64进行编码，即前端可以解开知道里面的信息，Signature需要使用编码后的heder和Payload以及我们提供一个密钥，然后使用header中指定的签名算法进行签名，签名保证jwt没有被篡改

6.使用jwt

6.1 引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

6.2 生成token以及根据令牌和签名解析数据

public class JWTUtil {

    //密钥
    private static String KEY="12R48!UIE_E";

    /**
     * 生成token
     * @param map 传入payload
     * @return token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(KEY));
    }

    /**
     * 根据令牌和签名解析数据，返回验签之后的结果 验签失败 抛出异常
     * 
     * SignatureVerificationException 签名不一致
     * TokenExpiredException 令牌过期
     * AlgorithmMismatchException 算法不匹配
     * InvalidClaimException 失败的payload异常
     * 
     * @param token 解码之后的token 包含可以使用的信息
     * @return
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(KEY)).build().verify(token);
    }
}

 

二 Springboot整合jwt

结合拦截器对每个接口验证

拦截器

配置

业务操作

@PutMapping
    public Map<String,Object> test(HttpServletRequest request){
        Map<String,Object> map= new HashMap<>();
        String token = request.getHeader("token");
        DecodedJWT verify = JwtUtil(token);
        System.out.println("用户id:"+verify.getClaim("id").asString());
        System.out.println("用户名:"+verify.getClaim("name").asString());
        //自己逻辑业务处理
        map.put("state",true);
        map.put("msg","请求成功");
        return map;
    }

注意：对于单体应用直接是使用拦截器即可，对于分布式引用在网关中解决