漫谈JSON Web Token(JWT)

最新推荐文章于 2022-05-16 17:19:15 发布
最新推荐文章于 2022-05-16 17:19:15 发布
阅读量92 收藏
点赞数
文章标签: json javascript 数据结构与算法 ViewUI
原文链接:http://www.cnblogs.com/2YSP/p/11413478.html
版权

一、背景

传统的单体应用基于cookie-session的身份验证流程一般是这样的:

  1. 用户向服务器发送账户和密码。
  2. 服务器验证账号密码成功后,相关数据(用户角色、登录时间等)都保存到当前会话中。
  3. 服务器会生成一个sessionid返回浏览器,浏览器把这个sessionid存储到cookie当中。
  4. 以后每次发起请求都会在请求头cookie中带上这个sessionid信息,所以服务器就是根据这个sessionid作为索引获取到具体session。

但是这种模式存在如下几个问题:

  1. 没有分布式架构无法支持横向扩展,例如站点A和站点B提供同一公司的相关服务。现在要求用户只需要登录其中一个网站,然后它就会自动登录到另一个网站,满足不了这种需求。
  2. 如果用户很多,这些信息存储在服务器内存中会给服务器增加负担。
  3. 还有就是CSRF(跨站伪造请求攻击)攻击,session是基于cookie进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

针对问题1,有两种解决方案,第一种就是使用session共享,比如使用redis实现,第二种解决方案就是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。

二、什么是JWT

JSON WEB TOKEN(以下称JWT),JWT也是一种token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

2.1JWT的特点

简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。
自包含(Self-contained): 负载中包含了所有用户所需要的信息,避免了多次查询数据库或缓存。

2.2JWT的消息结构

实际的JWT数据结构就像这样。

 

enter description here
enter description here

它是一个很长的字符串,中间用点分隔成三个部分,红色是header,紫色部分是Payload,蓝色部分是Signature。即格式都是 Header.Payload.Signature

 

Header(头部)

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{
  "alg": "HS256",
  "typ": "JWT"
}

alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
最后,将上面的JSON对象使用Base64URL算法转成字符串。

Payload(负载)

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

除了官方字段我们还可以自定义字段,比如:

{
  "userId": 1234567890,
  "name": "John Doe"
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。然后这个JSON对象也要使用Base64URL算法转成字符串。

Signature(签名)

Signature是对前两个部分的签名,作用是防止数据被篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

Base64URL算法

Base64URL算法与Base64算法有一些区别,作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/"和"=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"="去掉,"+"用"-"替换,"/"用"_" 替换,这就是Base64URL算法。

三、JWT的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信都要带上JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

还可以将JWT放在POST请求的数据体中,或者跟在URL后面。
所以使用JWT实现单点登录,也可以放在Cookie中或者Header中,基于Cookie的实现可以参考这篇文章《八幅漫画理解使用 JWT设计的单点登录系统》,之前公司的项目是基于Header的Authorization字段字段实现的。

四、JWT的缺点

当然,JWT并不是完美的,它也有一些缺点。
1.JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
2.JWT本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。所以为了避免盗用,可以将有效期设置的短一些,使用HTTPS协议加密传输。
理解JWT的使用场景和优劣》这篇文章介绍的很详细,但是我不太认同他说的使用jwt做单点登录+会话管理没有传统的cookie-session 机制工作得更好。

五、代码示例

JWT一般是在网关服务配合Filter来实现认证的,考虑再弄个Zuul网关比较麻烦这里就简化了下。

JwtTestController

/**
 * Created by 2YSP on 2019/8/26.
 */
@Slf4j
@RestController
@RequestMapping("/jwt")
public class JwtTestController {

  @GetMapping("/login")
  public String login(@RequestParam("username") String username,
      @RequestParam("password") String password, HttpServletResponse response) throws Exception {
    if (!checkUserNameAndPwd(username, password)) {
      return "login error:invalid username or password";
    }
    // 过期时间
    Long exp = System.currentTimeMillis() + 20 * 1000;
    PayLoad payLoad = new PayLoad(1L, username, exp);
    String token = JwtUtils.generateToken(payLoad);
    Cookie cookie = new Cookie("token", token);
    // HttpOnly属性来防止Cookie被JavaScript读取,从而避免跨站脚本攻击
    cookie.setHttpOnly(true);
    // 30秒
    cookie.setMaxAge(30);
    response.addCookie(cookie);
    return token;
  }

  @GetMapping("/verify")
  public Boolean verifyToken(HttpServletRequest request) {
    String token = getTokenFromCookie(request);
    if (StringUtils.isBlank(token)){
      return false;
    }
    // 验证签名
    if (!JwtUtils.checkSignature(token)){
      return false;
    }
    PayLoad payLoad = JwtUtils.getPayLoad(token);
    if (payLoad.getExp() < System.currentTimeMillis()){
      // 已过期
      return false;
    }
    Gson gson = new Gson();
    log.info("verify successfully ,payLoad:{} ", gson.toJson(payLoad));
    return true;
  }

  private String getTokenFromCookie(HttpServletRequest request){
    Cookie[] cookies = request.getCookies();
    for(Cookie cookie : cookies){
      if (cookie.getName().equals("token")){
          return cookie.getValue();
      }
    }
    return null;
  }

  private boolean checkUserNameAndPwd(String username, String pwd) {
    if (StringUtils.isBlank(username)) {
      return false;
    }
    if (StringUtils.isBlank(pwd)) {
      return false;
    }
    if (username.equals("admin") && pwd.equals("1234")) {
      return true;
    }
    return false;
  }
}

这里提供了两个接口,一个是模拟登录(登录一般是POST的这里方便测试就改为GET方式了),登录成功后返回一个token同时将token保存在cookie中。另一个是校验token的接口,依次进行验签、过期时间等校验。
PayLoad

@Data
@AllArgsConstructor
@NoArgsConstructor
public class PayLoad {

  private Long userId;

  private String name;

  private Long exp;

}

保存一些用户信息和过期时间的实体类。
JwtUtils

  1. public class JwtUtils
  2.  
  3. /** 
  4. * 加密算法 
  5. */ 
  6. public static final String HEADER_ALG = "HS256"
  7.  
  8. public static final String HEADER_TYP = "JWT"
  9. /** 
  10. * 加密串 
  11. */ 
  12. public static final String SECRET = "d5ec0a02"
  13.  
  14. public static String generateToken(PayLoad payLoad) throws Exception
  15. Gson gson = new Gson(); 
  16. Header header = new Header(HEADER_ALG, HEADER_TYP); 
  17. String encodedHeader = Base64Utils.encodeToUrlSafeString(gson.toJson(header).getBytes( 
  18. Charsets.UTF_8)); 
  19. String encodePayLoad = Base64Utils.encodeToUrlSafeString(gson.toJson(payLoad).getBytes( 
  20. Charsets.UTF_8)); 
  21. String signature = HMACSHA256(encodedHeader + "." + encodePayLoad, SECRET); 
  22. return encodedHeader + "." + encodePayLoad + "." + signature; 
  24.  
  25. public static boolean checkSignature(String token)
  26. String[] array = token.split("\\."); 
  27. if (array.length != 3) { 
  28. throw new IllegalArgumentException("token error"); 
  30. try
  31. String signature = HMACSHA256(array[0] + "." + array[1], SECRET); 
  32. return signature.equals(array[2]); 
  33. } catch (Exception e) { 
  35. return false
  37.  
  38. public static PayLoad getPayLoad(String token)
  39. String[] array = token.split("\\."); 
  40. if (array.length != 3) { 
  41. throw new IllegalArgumentException("token error"); 
  43. String payLoad = new String(Base64Utils.decodeFromUrlSafeString(array[1]), Charsets.UTF_8); 
  44. Gson gson = new Gson(); 
  45. return gson.fromJson(payLoad, PayLoad.class); 
  47.  
  48.  
  49. public static String HMACSHA256(String data, String key) throws Exception
  50.  
  51. Mac sha256_HMAC = Mac.getInstance("HmacSHA256"); 
  52.  
  53. SecretKeySpec secret_key = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256"); 
  54.  
  55. sha256_HMAC.init(secret_key); 
  56.  
  57. byte[] array = sha256_HMAC.doFinal(data.getBytes("UTF-8")); 
  58.  
  59. StringBuilder sb = new StringBuilder(); 
  60.  
  61. for (byte item : array) { 
  62.  
  63. sb.append(Integer.toHexString((item & 0xFF) | 0x100).substring(1, 3)); 
  64.  
  66.  
  67. return sb.toString().toUpperCase(); 
  68.  
  70.  
  71. @Data 
  72. @AllArgsConstructor 
  73. static class Header
  74.  
  75. private String alg; 
  76. private String typ; 
  78.  
  80.  

JWT的工具类,提供了一些生成token,验证签名等方法。代码地址

转载于:https://www.cnblogs.com/2YSP/p/11413478.html

weixin_30654583
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
破解md5加密的方法
weixin_33937913的博客
04-22 1153
我们知道md5加密是不可逆转的,但是要破解md5的加密也很简单。 网上也有很多在线的破解。既然是不可逆转的,那么网上的那些破解是怎么来的呢? 原因很简单,就是使用穷举法来进行破解。 如:我们计算出键盘上所有字符的组合的md5,将加密前后的字符串分别存入数据库中; 然后拿你的md5加密后的字符串进行查询得出加密前的字符串。这就是在线破解的奥秘。 但是这种...
JSON Web Token (JWT) 认知
happykaituo的博客
05-09 363
Internet Engineering Task Force (IETF) M. Jones Request for Comments: 7519 Microsoft Category: Standards Track J. Bradley ISSN: 2070-1721 ...
API对接实战
实践求真知
09-26 1万+
目录 一背景 二了解B公司接口的基础约定 三基础域名 四请求及相应格式说明 五确定要对接哪些API 六根据API文档,编写一些基础工具类。 七根据API文档,编写必要的DTO 八针对每个API方法,进行对接 九对接代码结构 十一些对接技巧 一背景 在平时工作中,经常会遇到的一种场景是:A公司要对接B公司的API方法,这时,A公司就要阅读B公司的接口文档,从接口文档中找到自己需要对接的API,并根据接口文档的要求,完成编码工作,最终完成对接工作。 本篇是站在A公...
【百度地图】——百度地图API获取经纬度、地址及周边兴趣点
我爱吃土豆
06-12 9765
在做一个电商项目过程中,需要获取设备地理信息,包括经纬度定位,附近地址等,于是写了一个工具类方便使用。 1.在使用百度地图API使,首先要获取官方授权,在http://lbsyun.baidu.com/index.php?title=androidsdk页面获取秘钥,然后按照要求申请即可,需要手机和百度账号及邮箱认证。激活后可看到后台页面,现在可以开始创建应用了,这里请求校验方式有两种,一种是白...
JSON Web Token (JWT)
m0_67476502的博客
05-16 189
1. JWT是什么 前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:56"} 2. 之后,当用户与服务器通信时,客户在请求中发回JSON对象JWT 3...
c# JSON WEB TOKEN JWT.dll
07-18
生成token工具,webapi 接口 token JWTWeb API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
详解JSON Web Token 入门教程
10-18
主要介绍了详解JSON Web Token 入门教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java基础知识之笔记总结分享(超详细)
iswitched的博客
05-03 7万+
给大家分享一篇我在学习java过程中的关于java基础部分的笔记,包含面向对象思想,集合,接口,抽象方法等等详细知识点
[代码积累]C#实现HexToString与StringToHex方法
hd2y的博客
06-20 2万+
用C#4.0特写特性写方法重载 public string ConvertStringToHex(string strASCII, string separator = null) { StringBuilder sbHex = new StringBuilder(); foreach (char chr in st
微信小程序开发笔记 支付篇③——微信支付JSAPI下单和微信小程序调起支付(V2版本)
小康师兄
07-22 5019
微信支付JSAPI下单和微信小程序调起支付(V2版本)。 一、前文; 二、流程图; 三、SpringBoot接口实现; 2.1 微信调起支付所需数据; 2.2 下单接口; 2.3 支付回调接口; 三、微信小程序实现; 3.1 JSAP统一下单; 3.2 小程序调起支付; 3.3 支付回调;
Java 十六进制(Hex)与byte数组之间的转换
热门推荐
sky的博客
11-27 12万+
一、十六进制(Hex)与字节(byte)的概念 十六进制(Hex):计算机中数据的一种表示方法,它由0-9,A-F组成,字母不区分大小写。与10进制的对应关系是:0-9对应0-9;A-F对应10-15。 字节(byte):   java中一个byte为8个二进制位。 转换原理:     每个二进制位有两种状态,分别为0,1     因此,两个二进制位有4种状态,分
springboot 电商项目
m0_59392076的博客
05-15 547
前言 使用工具idea编写接口 使用postman进行调试工作 此项目 运用技术 mys...
AOP自定义注解实现防重复点击
lxw的博客
05-07 1377
Spring AOP
微信JSAPI公共号支付及常见问题处理
凌波漫步~
06-16 1127
微信官方文档地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=7_3 前期准备: 设置支付目录 设置授权域名 开发步骤: 调用微信统一下单接口https://api.mch.weixin.qq.com/pay/unifiedorder https://api.mch.weixin.qq.com/pay/unifiedorder 获取微信支付四大参数 参数名 参数说明 appid 公共号appId mch_
微信公众号开发《五》基于Java实现微信支付(公众号支付)简单教程
半山闲人的专栏
01-12 1万+
最近公司需求,需要在微信公众号内完成支付,找到官方文档,文档还可以,讲的也挺详细,不过有一个地方很坑爹,就是微信内H5调起支付需要一个签名,而他给出的参考签名方式跟统一下单签名一致,害的我以为,他这个签名就是统一下单那个签名,后面找了很久看了好多博客才明白这个签名是怎么生成的(JS-SDK中微信支付有说明)。弄了半天,汗颜。下面进入正题。 微信支付分为很多种,有刷卡支付,公众号支付,扫码支付,A
json web token
最新发布
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值