背景
Jwt全稱是:json web token。它將使用者資訊加密到token裡,伺服器不儲存任何使用者資訊。伺服器通過使用儲存的金鑰驗證token的正確性,只要正確即通過驗證。
優點
簡潔: 可以通過URL、POST引數或者在HTTP header傳送,因為資料量小,傳輸速度也很快;自包含:負載中可以包含使用者所需要的資訊,避免了多次查詢資料庫;因為Token是以JSON加密的形式儲存在客戶端的,所以JWT是跨語言的,原則上任何web形式都支援;不需要在服務端儲存會話資訊,特別適用於分散式微服務。缺點
無法作廢已頒佈的令牌;不易應對資料過期。一、Jwt訊息構成
1.1 組成
一個token分3部分,按順序為
頭部(header)載荷(payload)簽證(signature)三部分之間用.號做分隔。例如:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8
1.2 header
Jwt的頭部承載兩部分資訊:
宣告型別,這裡是Jwt宣告加密的演算法 通常直接使用 HMAC SHA256Jwt裡驗證和簽名使用的演算法列表如下:
JWS演算法名稱HS256HMAC256HS384HMAC384HS512HMAC512RS256RSA256RS384RSA384RS512RSA512ES256ECDSA256ES384ECDSA384ES512ECDSA512
1.3 playload
載荷就是存放有效資訊的地方。基本上填2種類型資料
標準中註冊的宣告的資料;自定義資料。由這2部分內部做base64加密。
標準中註冊的宣告 (建議但不強制使用)iss: jwt簽發者sub: jwt所面向的使用者aud: 接收jwt的一方exp: jwt的過期時間,這個過期時間必須要大於簽發時間nbf: 定義在什麼時間之前,該jwt都是不可用的.iat: jwt的簽發時間jti: jwt的唯一身份標識,主要用來作為一次性token,從而回避重放攻擊。自定義資料:存放我們想放在token中存放的key-value值
1.4 signature
Jwt的第三部分是一個簽證資訊,這個簽證資訊由三部分組成
base64加密後的header和base64加密後的payload連線組成的字串,然後通過header中宣告的加密方式進行加鹽secret組合加密,然後就構成了Jwt的第三部分。
二、Spring Boot和Jwt整合示例
示例程式碼採用:
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.1</version></dependency>
2.1 專案依賴
加上該註解的介面需要登入才能訪問
@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface JwtToken { boolean required() default true;}
2.3 Jwt 認證工具類JwtUtil.java
主要用來生成簽名、校驗簽名和通過簽名獲取資訊
public class JwtUtil { /** * 過期時間5分鐘 */ private static final long EXPIRE_TIME = 5 * 60 * 1000; /** * jwt 金鑰 */ private static final String SECRET = "jwt_secret"; /** * 生成簽名,五分鐘後過期 * @param userId * @return */ public static String sign(String userId) { try { Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME); Algorithm algorithm = Algorithm.HMAC256(SECRET); return JWT.create() // 將 user id 儲存到 token 裡面 .withAudience(userId) // 五分鐘後token過期 .withExpiresAt(date) // token 的金鑰 .sign(algorithm); } catch (Exception e) { return null; } } /** * 根據token獲取userId * @param token * @return */ public static String getUserId(String token) { try { String userId = JWT.decode(token).getAudience().get(0); return userId; } catch (JWTDecodeException e) { return null; } } /** * 校驗token * @param token * @return */ public static boolean checkSign(String token) { try { Algorithm algorithm = Algorithm.HMAC256(SECRET); JWTVerifier verifier = JWT.require(algorithm) // .withClaim("username", username) .build(); DecodedJWT jwt = verifier.verify(token); return true; } catch (JWTVerificationException exception) { throw new RuntimeException("token 無效,請重新獲取"); } }}2.4 攔截器攔截帶有註解的介面
JwtInterceptor.javapublic class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) { // 從 http 請求頭中取出 token String token = httpServletRequest.getHeader("token"); // 如果不是對映到方法直接通過 if(!(object instanceof HandlerMethod)){ return true; } HandlerMethod handlerMethod=(HandlerMethod)object; Method method=handlerMethod.getMethod(); //檢查有沒有需要使用者許可權的註解 if (method.isAnnotationPresent(JwtToken.class)) { JwtToken jwtToken = method.getAnnotation(JwtToken.class); if (jwtToken.required()) { // 執行認證 if (token == null) { throw new RuntimeException("無token,請重新登入"); } // 獲取 token 中的 userId String userId = JwtUtil.getUserId(token); System.out.println("使用者id:" + userId); // 驗證 token JwtUtil.checkSign(token); } } return true; } @Override public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception { }}註冊攔截器:WebConfig.java@Configurationpublic class WebConfig implements WebMvcConfigurer { /** * 新增jwt攔截器 * @param registry */ @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(jwtInterceptor()) // 攔截所有請求,通過判斷是否有 @JwtToken 註解 決定是否需要登入 .addPathPatterns("/**"); } /** * jwt攔截器 * @return */ @Bean public JwtInterceptor jwtInterceptor() { return new JwtInterceptor(); }}
2.5 全域性異常捕獲
@RestControllerAdvicepublic class GlobalExceptionHandler { @ResponseBody @ExceptionHandler(Exception.class) public Object handleException(Exception e) { String msg = e.getMessage(); if (msg == null || msg.equals("")) { msg = "伺服器出錯"; } JSONObject jsonObject = new JSONObject(); jsonObject.put("message", msg); return jsonObject; }}2.6 介面
JwtController.java@RestController@RequestMapping("/jwt")public class JwtController { /** * 登入並獲取token * @param userName * @param passWord * @return */ @PostMapping("/login") public Object login( String userName, String passWord){ JSONObject jsonObject=new JSONObject(); // 檢驗使用者是否存在(為了簡單,這裡假設使用者存在,並製造一個uuid假設為使用者id) String userId = UUID.randomUUID().toString(); // 生成簽名 String token= JwtUtil.sign(userId); Map<String, String> userInfo = new HashMap<>(); userInfo.put("userId", userId); userInfo.put("userName", userName); userInfo.put("passWord", passWord); jsonObject.put("token", token); jsonObject.put("user", userInfo); return jsonObject; } /** * 該介面需要帶簽名才能訪問 * @return */ @JwtToken @GetMapping("/getMessage") public String getMessage(){ return "你已通過驗證"; }}2.7 Postman測試介面
2.7.1 在沒token的情況下訪問jwt/getMessage介面
請求方式:GET請求引數:無請求地址:http://localhost:8080/jwt/getMessage返回結果:{ "message": "無token,請重新登入"}
2.7.2 先登入,在訪問jwt/getMessage介面
登入請求及結果,詳見下圖:
登入後得到簽名如箭頭處
請求通過,測試成功!
2.7.3 過期後再次訪問
我們設定的簽名過期時間是五分鐘,五分鐘後再次訪問jwt/getMessage介面,結果如下:
通過結果,我們發現時間到了,簽名失效,說明該方案通過。
原始碼地址:https://github.com/vanDusty/SpringBoot-Home/tree/master/springboot-demo-certification/jwt-demo
原文:https://www.cnblogs.com/vandusty/p/11623753.html
最新評論