JWT入门
1.简介
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。 从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。
通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密,签名等相关处理。
JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。
jwt 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法)或使用RSA或ECDSA的公钥/密钥对进行签名。
2.认证流程
- 首先,前端通过web表达将自己的用户名和密码发送到后端接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https),从而避免敏感信息被嗅探。
- 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT,形成的JWT形同hhhh.pppp.ssss的字符串。
- 后端将JWT字符串作为登入成功的返回结果返回给前端,前端可以将返回的结果保存在localStorage或sessionStorage上,退出登入时前端删除保存的JWT即可。
- 前端在每次请求时将JWT放入HTTP Header中的Authorization位。
- 后端检查是否存在,如存在验证JWT的有效性。(检查签名是否正确,检查token是否过期,检查token的接收方)
- 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。
3.jwt优势
- 简洁:可以通过URL,POST参数或在HTTP header发送,因为数据量小,传输速度也很快。
- 自包含:负载中包含了所有用户所需要的信息,避免了多次查询数据库
- 因为Taken是以JSON加密的形式保存在客户端,所有jwt时跨语言的,原则上任何web形式都支持
- 不需要再服务端保存会话信息,特别适合分布式微服务
4.jwt结构
结构:header.payload.signature
-
header: 有令牌的类型和所使用的签名算法,如HMAC、SHA256、RSA;使用Base64编码组成;(Base64是一种编码,不是一种加密过程,可以被翻译成原来的样子)
{ "alg": "HS256", "typ": "JWT" }
-
有效负载中包含声明,声明有关实体和替他数据的声明,同样使用base64编码
{ "name": "xjs", "admin": true }
-
signature:前面两部分都是使用Base64进行编码的,即前端可以解开知道里面的信息,signature需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法HS256进行签名,签名的作用是保证jwt没有被篡改
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret);
5.使用
引入jwt依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.0</version>
</dependency>
生成token
public void testSetToken() {
HashMap<String, Object> map = new HashMap<>();
Calendar instance = Calendar.getInstance();
instance.add(Calendar.MINUTE, 5);
String token = JWT.create()
.withHeader(map)//可以设定,也可以默认
.withClaim("userId", 14)//payload
.withClaim("username", "xin")//payload
.withExpiresAt(instance.getTime())//设置签名过期时间
.sign(Algorithm.HMAC256("fjeaifajfie"));//签名
System.out.println(token);
}
解析token
public void parseToken() {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256("fjeaifajfie")).build();
DecodedJWT verify = verifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2Nzc5MTkzMDUsInVzZXJJZCI6MTQsInVzZXJuYW1lIjoieGluIn0.NRhDKj6ua7dd9wCcJmLgDGMj54U7G9bxuZnCusZTKTI");
Integer userId = verify.getClaim("userId").asInt();
String username = verify.getClaim("username").asString();
Date expiresAt = verify.getExpiresAt();
System.out.println("userId:" + userId + "username:" + username);
}
常见错误
SignatureVerificationException //签名不一致异常
TokenExpiredException //令牌过期异常
AlgorithmMismatchException //算法不匹配异常
InvalidClaimException //失效的payload异常(传给客户端后,token被改动,验证不一致)
6.jwt工具类封装
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Calendar;
import java.util.Map;
public class JWTUtil {
private static final String SIGNATURE = "feafafea";
/**
* 生成token
* @param map //传入payload
* @return 返回token
*/
public static String getToken(Map<String,String> map){
JWTCreator.Builder builder = JWT.create();
map.forEach((k,v)->{
builder.withClaim(k,v);
});
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND,7);
builder.withExpiresAt(instance.getTime());
return builder.sign(Algorithm.HMAC256(SIGNATURE)).toString();
}
/**
* 验证token
* @param token
*/
public static void verify(String token){
JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
}
/**
* 获取token中payload
* @param token
* @return
*/
public static DecodedJWT getToken(String token){
return JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
}
}
7.springboot整合jwt
依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.0</version>
</dependency>
<dependency>
<groupId>com.mysql</groupId>
<artifactId>mysql-connector-j</artifactId>
<version>8.0.32</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.24</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.2.15</version>
</dependency>
controller
@GetMapping("/login")
public Map<String, Object> login(String username, String password) {
log.info("用户名" + username);
log.info("密码" + password);
HashMap<String, Object> map = new HashMap<>();
User user = userService.login(new User(null, username, password));
// 生成jwt
HashMap<String, String> payload = new HashMap<>();
payload.put("username", user.getUsername());
payload.put("id", user.getId().toString());
String token = JWTUtil.getToken(payload);
map.put("token", token);
return map;
}
@PostMapping("/test")
public String test(String token) {
return "成功";
}
jwt拦截器
public class JWTInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
Map<String, Object> map = new HashMap<>();
String token = request.getHeader("token");
try{
JWTUtil.verify(token);
return true;
} catch (SignatureVerificationException e) {
e.printStackTrace();
map.put("msg","无效签名");
} catch (TokenExpiredException e) {
e.printStackTrace();
map.put("msg","token过期");
} catch (AlgorithmMismatchException e) {
e.printStackTrace();
map.put("msg","token算法不一致");
} catch (Exception e) {
e.printStackTrace();
map.put("msg","token失效");
}
map.put("state", false);
String json = new ObjectMapper().writeValueAsString(map);
response.setContentType("application/json;charset=UTF-8");
response.getWriter().println(json);
return false;
}
}
配置拦截器
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new JWTInterceptor())
.addPathPatterns("/user/**")
.excludePathPatterns("/user/login");
}
}