什么是JWT
JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。
具体的jwt介绍可以查看官网的介绍:https://jwt.io/introduction/
jwt请求流程
引用官网的图片
中文介绍:
用户使用账号和面发出post请求;
服务器使用私钥创建一个jwt;
服务器返回这个jwt给浏览器;
浏览器将该jwt串在请求头中像服务器发送请求;
服务器验证该jwt;
返回响应的资源给浏览器
jwt组成
jwt含有三部分:头部(header)、载荷(payload)、签证(signature)
头部(header)
头部一般有两部分信息:声明类型、声明加密的算法(通常使用HMAC SHA256)
头部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
解密后:
{
"typ":"JWT",
"alg":"HS256"
}
载荷(payload)
该部分一般存放一些有效的信息。jwt的标准定义包含五个字段:
iss:该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳
iat(issued at): 在什么时候签发的
这个只是JWT的定义标准,不强制使用。另外自己也可以添加一些公开的不涉及安全的方面的信息。
签证(signature)
JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:
header (base64后的)
payload (base64后的)
secret 私钥
secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
在SpringBoot项目中应用
首先需要添加JWT的依赖:
io.jsonwebtoken
jjwt
0.6.0
接下来在配置文件中添加JWT的配置信息:
##jwt配置
audience:
clientId: 098f6bcd4621d373cade4e832627b4f6
base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=
name: restapiuser
expiresSecond: 172800
配置信息的实体类,以便获取jwt的配置:
@Data
@ConfigurationProperties(prefix = "audience")
@Component
public class Audience {
private String clientId;
private String base64Secret;
private String name;
private int expiresSecond;
}
JWT验证主要是通过拦截器验证,所以我们需要添加一个拦截器来验证请求头中是否含有后台颁发的token,这里请求头的格式:这里bearer;后面就是服务器颁发的token