springboot整合JTW

1 什么是JWT

​ JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

# 1.翻译
- 官网地址  https://jwt.io/introduction
- 翻译：jsonwebtoken（JWT）是一个开放标准（rfc7510），它定义了一种紧凑的、子包含的方式，用于在各方之间以 JSON 对象安全地址传输信息。此信息可以验证和信任，因为他是数字签名的。jwt 可以使用秘密（使用HMAC算法）或使用 RSA 或 ECDSA 的公钥/私钥对进行签名

# 2.通俗解释
- JWT简称JSON Web Token，也就是通过JSON形式作为Web应用中的令牌，用于在各方之间安全的将信息作为JSON对象。在数据传输过程中还可以完成数据加密、签名等相关处理

2. JWT 能做什么

# 1.授权
- 这是使用 JWT 的最长见方案，一旦用户登陆，每个后续请求将包括 JWT，从而允许用户访问该令牌允许的路由，服务和资源。单点登陆是当今广泛使用 JWT 的一项功能，因为它的开销很小并且可以在不同的域中轻松使用。

# 2.信息交换
- JSON Web Token是在各方之间安全的传输信息的好方法。因为可以对JWT进行签名（例如，使用公钥/私钥对），所以您可以确保发件人是他们所说的人。此外，由于签名是使用标头和有效负载计算计算的，因此您还可以验证内容是否遭到篡改。

3. 为什么是JWT

基于 JWT 认证

# 1. 认证流程
- 首先，前端通过 Web 表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过 SSL 加密的传输(http 协议)，从而避免敏感信息被嗅探。
- 后端核对用户名和密码成功后，将用户的 id 等其他信息作为 JWT Payload（负载），将其与头部分分别进行 Base64 编码拼接后签名，形成一个 JWT（token）。形成的 JWT 就是一个形同 111.zzz.xxx 的字符串。token head.payload.singurater

- 后端将JWT字符串作为登陆成功的返回结果给前端。前端可以将返会的结果保存在 localStorage 或 sessionStorage 上，退出登陆时前端删除保存的 JWT 即可。

- 前端在每次请求时将 JWT 放入HTTP Header中的Authorization 位。(解决XSS和XSRF问题)HEADER

- 后端检查是否存在，如存在验证 JWT 的有效性。例如，检查签名是否正确；检查Token是否过期；检查Token的接收方是否是自己（可选）

- 验证通过后 后端使用 JWT 中包含的用户信息进行其他逻辑操作，返回相应结果

# 2. jwt 优势
- 简介：可以通过 URL，POST 参数或者在 HTTP header 发送，因为数据量小，传输速度也很快
- 子包含：负载中包含了所有用户所需要的信息，避免了多次查询数库
- 因为Token是以JSON加密的形式保存在客户端的，所以 JWT 是跨语言的，原则上任何 web 形式都支持。
- 不需要在服务端保存会话信息，特别使用于分布式微服务。

4. JWT 的结构是什么

token 	String  ====>    header.payload.singnature 	token
# 1. 令牌组成
- 1.标头（Header）
- 2.有效载荷（Payload）
- 3.签名（Signature）
- 因此，JWT 通常如下所示：XXXXX.yyyyyy.zzzzz		header.Payload.Signature

# 2. Header
- 标头通常由两部分组成：令牌的类型（即JWT）和所使用的签名算法，例如 HMAC SHA256.它会使用 Base64 编码组成 JWT 结构的第一部分

- 注意：Base64 是一种编码，也就是说，它是可以被翻译回原来的样子的。它并不是一种加密过程

{
	"alg":"HS256",
	"typ":"JWT"
}

# 3.payload
- 令牌的第二部分是有效负载，其中包含声明。声明是有关实体（通常是用户）和其他数据的声明。同样的，它会使用 Base64 编码组成 JWT 结构的第二部分

{
	"sub":"123456789",
	"name":"John Doe",
	"admin":true
}

# 4. Signature
- 前面两部分都是使用 Base64 进行编码的，即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥，然后使用 header 中指定的签名算法 (HS256) 进行签名。签名的作用是保证 JWT 没有被篡改过
- 如：
	HMACSHA256(base64UrlEncode(header)+"."+ base64UrlEncode(payload),secret);

# 签名目的
- 最后一步签名的过程，实际上是对头部以及负载内容进行签名，放置内容被篡改。如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合形成新的 JWT 的话，那么服务器端会判断出新的头部和负载形成的签名和JWT附带的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务加密是用的密钥的话，得出来的签名也是不一样的。

# 信息安全问题
- Base64是一种编码，是可逆的，那么我们的信息不久被暴露了嘛？

- 是的，在JWT 中，不应该夫在里面加任何敏感的数据。在上面的例子中，我们传输的是用户User ID.这个值实际上不是什么敏感内容，一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在 JWT 中了。如果将用户的密码放在了JWT 中，那么怀有恶意的第三方通过 Base64 解码就能很快地直到你的密码。因此 JWT 适用于向 Web 应用传递一些非敏感信息。JWT 还经常用于设计用户认证和授权系统，甚至实现 Web 应用的单点登陆

# 5.放在一起
- 输出是三个由点分割的 Base64-URL 字符串，可以在 HTML 和 HTTP 环境中轻松传递这些字符串，与基于 XML的标准(例如SAML)想比，他更紧凑
- 简介
	可以通过 URL ，POST 参数或者在 HTTP header发送，因为数据量小，传输速度快
- 子包含(Self-contained)
	负载中包含了所有用户所需要的信息，避免了多次查询数据库

5. 使用 JWT

# 1. 引入依赖

<!--引入jwt-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

# 2.生成 token

Calendar instance = Calendar.getInstance();
Instance.add(Calendar.SECOND, 90);
// 生成令牌
String token = JWT.create()
    .withClaim("username", "张三")	// 设置自定义用户名
    .withExpiresAt(instance.getTime())	// 设置过期时间
    .sign(Algorithm.HMAC256("token!Q2W#E$RW"));		// 设置签名 保密 复杂
// 输出令牌
System.out.println(token);

- 生成结果
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTYzODMxMjUsInVzZXJJZCI6MjEsInVzZXJuYW1lIjoieGlhb2hvbmcifQ.JHHfR6560Y-uX3GiFpQvize93xPbfibbmRNNvu7Z1MY

# 3.根据令牌和签名解析数据

JWTVerifier jwtVerifier= JWT.require(Algorithm.HMAC256("!Q@W#E$R")).build();
DecodedJWT verify = jwtVerifier.verify(token);
System.out.println(verify.getClaim("userId").asInt());	// id
System.out.println(verify.getClaim("username").asString());	// 用户名
System.out.println(verify.getExpiresAt());		// 查看过期时间

# 4. 常见异常信息
- SignatureVerificationException:	 签名不一致异常
- TokenExpiredException：			令牌过期异常
- AlgorithmMismatchException：		算法不匹配异常
- InvalidClainException：			失效的payload异常

6. 封装工具类

public class JWTUtils {
    private static final String SING = "!Q@W3e4r%T^Y";


    /*
    * 生成 token header.payload.sing
    * */
    public static String getToken(Map<String, String> map){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE, 7);         // 默认7天过期

        // 创建 JWT builder
        JWTCreator.Builder builder = JWT.create();

        // payload
        map.forEach((k, v)->{
            builder.withClaim(k, v);    // 接收传递过来的 id 等一系列参数
        });

        String token = builder.withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256(SING));

        return token;
    }

    /*
    * 验证 token 合法性
    * */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }

    /*
    * 获取 token 信息方法
    *
    * */
//    public static DecodedJWT getTokenInfo(String token){
//        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
//        return verify;
//    }
}

7. 整合 SpringBoot

配置文件配置

<!--引入 mybatis-->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.3</version>
</dependency>

<!--引入 lombok-->
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <version>1.18.12</version>
</dependency>

<!--引入 druid-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>1.1.19</version>
</dependency>

# 1. 开发数据库
- 这里采用最简单的表结构验证 JWT 使用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uM6YT2DX-1632043496749)(C:\Users\李祥鸿\AppData\Roaming\Typora\typora-user-images\image-20210322153405112.png)]

CREATE TABLE `user`(
	id INT(11) PRIMARY KEY AUTO_INCREMENT,
	username VARCHAR(255) NOT NULL,
	PASSWORD VARCHAR(255) NOT NULL
)

# 2. 开发 entity

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true) //支持链式编程
public class User {
    private int id;
    private String username;
    private String password;
}

# 3. mapper.xml 文件的 sql 语句

<mapper namespace="com.baizhi.dao.UserDao">
    <select id="login" parameterType="User" resultType="User">
        select * from user where name = #{name} and password = #{password}
    </select>
</mapper>

# 4. 开发 Service 接口以及实现类

@Mapper
public interface UserDao {
    User login(User user);
}

# 5. service 接口

public interface UserService {
    User login(User user);  // 登陆接口
}

# 6. service 实现类

@Autowired
private UserDao userDao;

@Override
@Transactional
public User login(User user) {
    // 根据接收用户名密码查询数据库
    User userDB = userDao.login(user);
    if (userDB != null) {
        return userDB;
    }
    throw new RuntimeException("登陆失败");
}

# 7.controller 控制层

public class UserController {
    @Autowired
    private UserService userService;

    @GetMapping("/user/login")
    public Map<String, Object> login(User user){
        log.info("用户名：[{}]", user.getUsername());
        log.info("密码：[{}]", user.getPassword());
        Map<String, Object> map = new HashMap<>();
        try {
            User userDB = userService.login(user);
            Map<String, String> payload = new HashMap<>();
            payload.put("id", userDB.getId()+"");
            payload.put("username", userDB.getUsername());
            // 生成 JWT 令牌
            String token = JWTUtils.getToken(payload);
            map.put("state", true);
            map.put("msg", "认证成功");
            map.put("token", token);
        }catch (Exception e){
            map.put("state", false);
            map.put("msg", e.getMessage());
        }
        return map;
    }

    @PostMapping("/user/test")
    public Map<String, Object> test(HttpServletRequest request){
        Map<String, Object> map = new HashMap<>();
        // 处理自己业务逻辑
        String token = request.getHeader("token");
        DecodedJWT verify = JWTUtils.verify(token);
        log.info("用户id：[{}]",verify.getClaim("id").asString());
        log.info("用户username：[{}]",verify.getClaim("username").asString());
        map.put("state", true);
        map.put("msg", "请求成功");
        return map;
    }
}