JWT详解
1.前言
定义:json web token(缩写 jwt)是目前最流行的跨域认证解决方案
由于http协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此时又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
那么我们可不可以让认证令牌的发布者自己去识别这个令牌是不是我曾经发布的令牌呢(jwt核心思想),这是jwt最大的优点也是最大的缺点,优点是简单快捷、不需要依赖任何第三方操作就能实现身份认证,缺点就是对于任何拥有用户发布令牌的请求都会认证通过。
2.jwt的数据结构
正常的jwt数据结构应该如下
它是一个很长的字符串,中间用点(.
)分隔成三个部分
jwt的三个部分依次: header - 头部 、payload - 负载 、signature(签名)
即:header.payload.signature
2.1 header
header 部分是一个 json 对象,描述 jwt 的元数据,通常是下面的样子。
{
"alg": "hs256",
"typ": "jwt"
}
alg
属性表示签名的算法(algorithm),默认是 hmac sha256(写成 hs256);typ
属性表示这个令牌(token)的类型(type),jwt 令牌统一写为jwt
2.2 payload
payload 部分也是一个 json 对象,用来存放实际需要传递的数据。jwt 规定了7个官方字段,供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (not before):生效时间
iat (issued at):签发时间
jti (jwt id):编号
除了官方字段,你还可以在这个部分定义私有字段
{
"sub": "1234567890",
"name": "john doe",
"age": "19"
}
注意:jwt默认是明文展示,任何人都可以读取到,所以此处不要放私密信息
这个 json 对象也要使用 base64url 算法转成字符串。
2.3 signature
signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 header 里面指定的签名算法(默认是 hmac sha256),按照下面的公式产生签名。
hmacsha256( base64urlencode(header) + "." + base64urlencode(payload), secret)
算出签名以后,把 header、payload、signature 三个部分拼成一个字符串,每个部分之间用"点"(.
)分隔,就可以返回给用户。
2.4 base64url
前面提到,header 和 payload 串型化的算法是 base64url。这个算法跟 base64 算法基本类似,但有一些小的不同。
jwt 作为一个令牌(token),有些场合可能会放到 url(比如 api.example.com/?token=xxx)。base64 有三个字符+
、/
和=
,在 url 里面有特殊含义,所以要被替换掉:=
被省略、+
替换成-
,/
替换成_
。这就是 base64url 算法
3. jwt的实现
maven依赖
<dependency> <groupid>com.auth0</groupid> <artifactid>java-jwt</artifactid> <version>3.5.0</version> </dependency>
jwt签名发布和验证代码
public class tokenutil { //token的过期时间 private static final long expire_time = 30 * 60 * 1000; //token的私钥 private static final string token_secret = "jytoken_secret"; /** * 生成签名,30分钟过期 * @param **userinfo** 用户信息 用户姓名 * @param **other** 用户其他信息 用户id * @return */ public static string sign(string userinfo, string other) { try { // 设置过期时间 date date = new date(system.currenttimemillis() + expire_time); //私钥和加密算法 algorithm algorithm = algorithm.hmac256(token_secret); // 设置头部信息 map<string, object> header = new hashmap<>(2); header.put("type", "jwt"); header.put("alg", "hs256"); // 返回token字符串 return jwt.create() .withheader(header) .withclaim("userinfo", userinfo) .withclaim("other", other) .withexpiresat(date) .sign(algorithm); } catch (exception e) { e.printstacktrace(); return null; } } /** * 生成签名,30分钟过期 * @param **userinfo** 用户信息 用户姓名 * @param **other** 用户其他信息 用户id * @return */ public static string sign(string userinfo, string other,long expire) { try { // 设置过期时间 date date = new date(system.currenttimemillis() + expire); //私钥和加密算法 algorithm algorithm = algorithm.hmac256(token_secret); // 设置头部信息 map<string, object> header = new hashmap<>(2); header.put("type", "jwt"); header.put("alg", "hs256"); // 返回token字符串 return jwt.create() .withheader(header) .withclaim("userinfo", userinfo) .withclaim("other", other) .withexpiresat(date) .sign(algorithm); } catch (exception e) { e.printstacktrace(); return null; } } /** * 检验token是否正确 * @param **token** * @return */ public static boolean verify(string token){ try { algorithm algorithm = algorithm.hmac256(token_secret); jwtverifier verifier = jwt.require(algorithm).build(); verifier.verify(token);//未验证通过会抛出异常 return true; } catch (exception e){ return false; } } /** * 从token中获取info信息 * @param **token** * @return */ public static string getusername(string token,string info){ try { decodedjwt jwt = jwt.decode(token); return jwt.getclaim(info).asstring(); } catch (jwtdecodeexception e){ e.printstacktrace(); } return null; } }
拦截器配置无需认证的请求
@configuration public class interceptorconfig extends webmvcconfigurationsupport { @autowired private tokenhandler tokenhandler; @override public void addinterceptors(interceptorregistry registry) { list<string> excludepath = new arraylist<>(); string checklogin = "/pushlogin/checkiscanlogin"; string login = "/pushlogin/login"; string getverifycode = "/common/send"; string verfifymethod = "/common/validationcode"; excludepath.add(checklogin); excludepath.add(login); excludepath.add(getverifycode); excludepath.add(verfifymethod); registry.addinterceptor(tokenhandler).excludepathpatterns(excludepath); } }
token统一拦截器代码
@component @slf4j public class tokenhandler implements handlerinterceptor{ @override public boolean prehandle(httpservletrequest request, httpservletresponse response, object handler) throws exception { string token = request.getheader("authentication"); if (token != null){ boolean result = tokenutil.verify(token); if(result){ log.info("通过拦截器"); return true; } } log.info("认证失败"); return false; } }
用户登录时验证用户信息后,返回token信息
@override public userdto selectisexistuserinfo(string phone) { //todo 伪代码 验证用户信息 userdto info = 查询用户信息 if (info != null) { string token = tokenutil.sign(info.getusername(), info.getuserid(), 6 * 60 * 60 * 1000); info.settoken(token); } return info; }
上一篇: java中redis命令的使用