一、JWT是什么
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。跨域身份认证的解决方案。
二、特点
1、紧凑:可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
2、自包涵:负载中包含了所有用户所需要的信息,避免了多次查询数据库或缓存。
{
"UserName": "Chongchong",
"Role": "Admin",
"Expire": "2018-08-08 20:15:56"
}
三、jwt数据结构及签发验证
1、数据结构:
JWT有三部分组成:heard(头部)、payload(载荷)、signature(签名)
两个点号将token分成三部分:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
1.1、heard是一个描述JWT元数据的JSON对象,承载两部分信息:
a 声明类型,是jwt,表示令牌的类型
b 声明加密算法,通常是HS256
{
"alg":"HS256",
"typ":"JWT"
}
1.2、payload有效载荷:是主体部分,json对象,包涵传递的用户的基本信息(非敏感信息)。
定七个默认字段供选择:
iss:发行人
exp: jwt的过期时间,这个过期时间必须要大于签发时间
sub: jwt所面向的用户
aud: 接收jwt的一方
nbf:在此之前不可用
iat:发布时间
jti: wt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
也可以自定义私有字段,如下:
{
"sub": "1234567890",
"name": "wanglihong",
"admin": true
}
1.3、签名哈希:是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
也就是说,签证部分的信息有3个组成部分:
头部-header (base64后的)
载荷-payload (base64后的)
密钥-secret
HMACSHA256只有两个参数:
base64后的头部 + “.” + base64后的载荷密钥-secret
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。
2、验证:主要包括签名验证和payload里面各个标准claim的验证逻辑介绍。只有验证成功的JWT,才能当做有效的凭证来使用。
2.1、签名验证:
接收方接收到一个JWT的时候,首先要对这个JWT的完整性进行验证,这个就是签名认证。它验证的方法其实很简单,只要把header做 base64url 解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。接收方生成签名的时候必须使用跟JWT发送方相同的密钥,意味着要做好密钥的安全传递或共享。
四、使用
// jwt工具类
@Component
public class JwtUtils {
private Logger logger = LoggerFactory.getLogger(getClass());
private String secret;
private long expire;
private String header;
/**
* 生成jwt token
*/
public String generateToken(long userId) {
Date nowDate = new Date(); //过期时间
Date expireDate = new Date(nowDate.getTime() + expire * 1000);
return Jwts.builder()
.setHeaderParam("typ", "JWT")
.setSubject(userId+"")
.setIssuedAt(nowDate)
.setExpiration(expireDate)
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
public Claims getClaimByToken(String token) {
try {
return Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
}catch (Exception e){
logger.debug("validate is token error ", e);
return null;
}
} /**
* token是否过期
* @return true:过期
*/
public boolean isTokenExpired(Date expiration) {
return expiration.before(new Date());
}
//getter、setter
}
生成jwt:
//生成token
String token = jwtUtils.generateToken(userId);
获取jwt的有效信息:
//获取载荷信息
Claims claims = jwtUtils.getClaimByToken(token);
if(claims == null || jwtUtils.isTokenExpired(claims.getExpiration())){
throw new RRException(jwtUtils.getHeader() + "失效,请重新登录", HttpStatus.UNAUTHORIZED.value());
}
long userId = Long.parseLong(claims.getSubject())
五、
1、Shiro + Java-JWT实现无状态鉴权机制
首先Post用户名与密码到user/login进行登入,如果成功返回一个加密的AccessToken,失败的话直接返回401错误(帐号或密码不正确),以
后访问都带上这个AccessToken即可,鉴权流程主要是重写了Shiro的入口过滤器JWTFilter(BasicHttpAuthenticationFilter),判断请求
Header里面是否包含Authorization字段,有就进行Shiro的Token登录认证授权(用户访问每一个需要权限的请求必须在Header中添加Author
ization字段存放AccessToken),没有就以游客直接访问(有权限管控的话,以游客访问就会被拦截)
2、关于根据RefreshToken自动刷新AccessToken
本身AccessToken的过期时间为5分钟(配置文件可配置),RefreshToken过期时间为30分钟(配置文件可配置),当登录后时间过了5分钟之后
,当前AccessToken便会过期失效,再次带上AccessToken访问JWT会抛出TokenExpiredException异常说明Token过期,开始判断是否要进
行AccessToken刷新,首先Redis查询RefreshToken是否存在,以及时间戳和过期AccessToken所携带的时间戳是否一致,如果存在且一致就
进行AccessToken刷新,过期时间为5分钟(配置文件可配置),时间戳为当前最新时间戳,同时也设置RefreshToken中的时间戳为当前最新时
间戳,刷新过期时间重新为30分钟过期(配置文件可配置),最终将刷新的AccessToken存放在Response的Header中的Authorization字段返
回(前端进行获取替换,下次用新的AccessToken进行访问)