https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc
JSON Web Token(JWT)是目前最流行的跨域身份驗證解決方案。蟲蟲今天給大家介紹JWT的原理和用法。
1.跨域身份驗證
Internet服務無法與使用者身份驗證分開。一般過程如下。
1.使用者向伺服器發送使用者名和密碼。
2.驗證伺服器後,相關資料(如使用者角色,登入時間等)将儲存在目前會話中。
3.伺服器向使用者傳回session_id,session資訊都會寫入到使用者的Cookie。
4.使用者的每個後續請求都将通過在Cookie中取出session_id傳給伺服器。
5.伺服器收到session_id并對比之前儲存的資料,确認使用者的身份。
這種模式最大的問題是,沒有分布式架構,無法支援橫向擴充。如果使用一個伺服器,該模式完全沒有問題。但是,如果它是伺服器群集或面向服務的跨域體系結構的話,則需要一個統一的session資料庫庫來儲存會話資料實作共享,這樣負載均衡下的每個伺服器才可以正确的驗證使用者身份。
例如蟲蟲舉一個實際中常見的單點登陸的需求:站點A和站點B提供同一公司的相關服務。現在要求使用者隻需要登入其中一個網站,然後它就會自動登入到另一個網站。怎麼做?
一種解決方案是聽過持久化session資料,寫入資料庫或檔案持久層等。收到請求後,驗證服務從持久層請求資料。該解決方案的優點在于架構清晰,而缺點是架構修改比較費勁,整個服務的驗證邏輯層都需要重寫,工作量相對較大。而且由于依賴于持久層的資料庫或者問題系統,會有單點風險,如果持久層失敗,整個認證體系都會挂掉。
本文蟲蟲給大家介紹另外一種靈活的解決方案,通過用戶端儲存資料,而伺服器根本不儲存會話資料,每個請求都被發送回伺服器。 JWT是這種解決方案的代表。
2. JWT的原則
JWT的原則是在伺服器身份驗證之後,将生成一個JSON對象并将其發送回使用者,如下所示。
{
"UserName": "Chongchong",
"Role": "Admin",
"Expire": "2018-08-08 20:15:56"
}
之後,當使用者與伺服器通信時,客戶在請求中發回JSON對象。伺服器僅依賴于這個JSON對象來辨別使用者。為了防止使用者篡改資料,伺服器将在生成對象時添加簽名(有關詳細資訊,請參閱下文)。
伺服器不儲存任何會話資料,即伺服器變為無狀态,使其更容易擴充。
3. JWT的資料結構
典型的,一個JWT看起來如下圖。
改對象為一個很長的字元串,字元之間通過"."分隔符分為三個子串。注意JWT對象為一個長字串,各字串之間也沒有換行符,此處為了示範需要,我們特意分行并用不同顔色表示了。每一個子串表示了一個功能塊,總共有以下三個部分:
JWT的三個部分如下。JWT頭、有效載荷和簽名,将它們寫成一行如下。
我們将在下面介紹這三個部分。
3.1 JWT頭
JWT頭部分是一個描述JWT中繼資料的JSON對象,通常如下所示。
{
"alg": "HS256",
"typ": "JWT"
}
在上面的代碼中,alg屬性表示簽名使用的算法,預設為HMAC SHA256(寫為HS256);typ屬性表示令牌的類型,JWT令牌統一寫為JWT。
最後,使用Base64 URL算法将上述JSON對象轉換為字元串儲存。
3.2 有效載荷
有效載荷部分,是JWT的主體内容部分,也是一個JSON對象,包含需要傳遞的資料。 JWT指定七個預設字段供選擇。
iss:發行人
exp:到期時間
sub:主題
aud:使用者
nbf:在此之前不可用
iat:釋出時間
jti:JWT ID用于辨別該JWT
除以上預設字段外,我們還可以自定義私有字段,如下例:
{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}
請注意,預設情況下JWT是未加密的,任何人都可以解讀其内容,是以不要建構隐私資訊字段,存放保密資訊,以防止資訊洩露。
JSON對象也使用Base64 URL算法轉換為字元串儲存。
3.3簽名哈希
簽名哈希部分是對上面兩部分資料簽名,通過指定的算法生成哈希,以確定資料不會被篡改。
首先,需要指定一個密碼(secret)。該密碼僅僅為儲存在伺服器中,并且不能向使用者公開。然後,使用标頭中指定的簽名算法(預設情況下為HMAC SHA256)根據以下公式生成簽名。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret)
在計算出簽名哈希後,JWT頭,有效載荷和簽名哈希的三個部分組合成一個字元串,每個部分用"."分隔,就構成整個JWT對象。
3.4 Base64URL算法
如前所述,JWT頭和有效載荷序列化的算法都用到了Base64URL。該算法和常見Base64算法類似,稍有差别。
作為令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三個字元是"+","/"和"=",由于在URL中有特殊含義,是以Base64URL中對他們做了替換:"="去掉,"+"用"-"替換,"/"用"_"替換,這就是Base64URL算法,很簡單把。
4. JWT的用法
用戶端接收伺服器傳回的JWT,将其存儲在Cookie或localStorage中。
此後,用戶端将在與伺服器互動中都會帶JWT。如果将它存儲在Cookie中,就可以自動發送,但是不會跨域,是以一般是将它放入HTTP請求的Header Authorization字段中。
Authorization: Bearer
當跨域時,也可以将JWT被放置于POST請求的資料主體中。
5. JWT問題和趨勢
1、JWT預設不加密,但可以加密。生成原始令牌後,可以使用改令牌再次對其進行加密。
2、當JWT未加密方法是,一些私密資料無法通過JWT傳輸。
3、JWT不僅可用于認證,還可用于資訊交換。善用JWT有助于減少伺服器請求資料庫的次數。
4、JWT的最大缺點是伺服器不儲存會話狀态,是以在使用期間不可能取消令牌或更改令牌的權限。也就是說,一旦JWT簽發,在有效期内将會一直有效。
5、JWT本身包含認證資訊,是以一旦資訊洩露,任何人都可以獲得令牌的所有權限。為了減少盜用,JWT的有效期不宜設定太長。對于某些重要操作,使用者在使用時應該每次都進行進行身份驗證。
6、為了減少盜用和竊取,JWT不建議使用HTTP協定來傳輸代碼,而是使用加密的HTTPS協定進行傳輸。
https://blog.csdn.net/achenyuan/article/details/80829401
前言
JWT是json web token縮寫。它将使用者資訊加密到token裡,伺服器不儲存任何使用者資訊。伺服器通過使用儲存的密鑰驗證token的正确性,隻要正确即通過驗證。
優點是在分布式系統中,很好地解決了單點登入問題,很容易解決了session共享的問題。
缺點是無法廢棄已頒布的令牌/不易應對資料過期。
可能習慣了redis儲存session,使用shiro做登陸,突然使用JWT有點不适應,因為太簡單了,我個人不是很建議使用,還是那句話,你的選擇權有多大,你有學多少知識。
JWT基本使用
在pom.xml引入java-jwt
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
- 1
- 2
- 3
- 4
- 5
Gradle下依賴
compile 'com.auth0:java-jwt:3.4.0'
示例如下
package yui.ui.web.sys.controller;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
public class Test {
/**
* APP登入Token的生成和解析
*
*/
/** token秘鑰,請勿洩露,請勿随便修改 backups:JKKLJOoasdlfj */
public static final String SECRET = "JKKLJOoasdlfj";
/** token 過期時間: 10天 */
public static final int calendarField = Calendar.DATE;
public static final int calendarInterval = ;
/**
* JWT生成Token.<br/>
*
* JWT構成: header, payload, signature
*
* @param user_id
* 登入成功後使用者user_id, 參數user_id不可傳空
*/
public static String createToken(Long user_id) throws Exception {
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField, calendarInterval);
Date expiresDate = nowTime.getTime();
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
// build token
// param backups {iss:Service, aud:APP}
String token = JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
.sign(Algorithm.HMAC256(SECRET)); // signature
return token;
}
/**
* 解密Token
*
* @param token
* @return
* @throws Exception
*/
public static Map<String, Claim> verifyToken(String token) {
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
jwt = verifier.verify(token);
} catch (Exception e) {
// e.printStackTrace();
// token 校驗失敗, 抛出Token驗證非法異常
}
return jwt.getClaims();
}
/**
* 根據Token擷取user_id
*
* @param token
* @return user_id
*/
public static Long getAppUID(String token) {
Map<String, Claim> claims = verifyToken(token);
Claim user_id_claim = claims.get("user_id");
if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
// token 校驗失敗, 抛出Token驗證非法異常
}
return Long.valueOf(user_id_claim.asString());
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
最終存放的資料在JWT内部的實體claims裡。它是存放資料的地方
概念介紹
JWT消息構成
一個token分3部分,按順序為
- 頭部(header)
- 其為載荷(payload)
-
簽證(signature)
由三部分生成token
3部分之間用“
”号做分隔。例如.
驗證koten位址eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
頭部
Jwt的頭部承載兩部分資訊:
- 聲明類型,這裡是jwt
-
聲明加密的算法 通常直接使用 HMAC SHA256
JWT裡驗證和簽名使用的算法,可選擇下面的。
JWS | 算法名稱 | 描述 |
---|---|---|
HS256 | HMAC256 | HMAC with SHA-256 |
HS384 | HMAC384 | HMAC with SHA-384 |
HS512 | HMAC512 | HMAC with SHA-512 |
RS256 | RSA256 | RSASSA-PKCS1-v1_5 with SHA-256 |
RS384 | RSA384 | RSASSA-PKCS1-v1_5 with SHA-384 |
RS512 | RSA512 | RSASSA-PKCS1-v1_5 with SHA-512 |
ES256 | ECDSA256 | ECDSA with curve P-256 and SHA-256 |
ES384 | ECDSA384 | ECDSA with curve P-384 and SHA-384 |
ES512 | ECDSA512 | ECDSA with curve P-521 and SHA-512 |
使用代碼如下
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
- 1
- 2
- 3
- 4
playload
載荷就是存放有效資訊的地方。基本上填2種類型資料
-标準中注冊的聲明的資料
-自定義資料
由這2部分内部做base64加密。最張資料進入JWT的chaims裡存放。
标準中注冊的聲明 (建議但不強制使用)
iss: jwt簽發者
sub: jwt所面向的使用者
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大于簽發時間
nbf: 定義在什麼時間之前,該jwt都是不可用的.
iat: jwt的簽發時間 jti: jwt的唯一身份辨別,主要用來作為一次性token,進而回避重播攻擊。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
使用方法
JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP")
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
- 1
- 2
- 3
- 4
- 5
自定義資料
這個就比較簡單,存放我們想放在token中存放的key-value值
使用方法
JWT.create().withHeader(map) // header
.withClaim("name", "cy") // payload
.withClaim("user_id", "11222");
- 1
- 2
- 3
簽名signature
jwt的第三部分是一個簽證資訊,這個簽證資訊算法如下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
這個部分需要base64加密後的header和base64加密後的payload使用.連接配接組成的字元串,然後通過header中聲明的加密方式進行加鹽secret組合加密,然後就構成了jwt的第三部分。
基本上至此,JWT的API相關知識已經學完了,但是API不夠有好,不停的用withClaim放資料。不夠友好。下面推薦一款架構,相當于對JWT的實作架構
JJWT
它是為了更友好在JVM上使用JWT,是基本于JWT, JWS, JWE, JWK架構的java實作。
參考git位址
引入
Maven
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
- 1
- 2
- 3
- 4
- 5
Gradle:
dependencies {
compile 'io.jsonwebtoken:jjwt:0.9.0'
}
- 1
- 2
- 3
使用方法
生成token
getJwtToken是生成jjwt裡的token方法。
import com.sun.javafx.scene.traversal.Algorithm;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.DefaultJwsHeader;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
private String SECRET = "DyoonSecret_0581";
private void getJwtToken(){
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
//有天有效期
nowTime.add(Calendar.DATE, );
Date expiresDate = nowTime.getTime();
Claims claims = Jwts.claims();
claims.put("name","cy");
claims.put("userId", "222");
claims.setAudience("cy");
claims.setIssuer("cy");
String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate)
.signWith(SignatureAlgorithm.HS512, SECRET)
.compact();
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
上面将token中的載荷放在chaims中,其實chaims是JWT内部維持的一個存放有效資訊的地方,不論使用任何API,最終都使用chaims儲存資訊。
setClaims
有2個重載
-
JwtBuilder setClaims(Claims claims);
-
不能就是說,我們也可以直接傳入map值對象。JwtBuilder setClaims(Map<String, Object> claims);
解析token
parseJwtToken方法是解析token。
public void parseJwtToken(String token) {
try{
}catch (Exception e){
}
Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
String signature = jws.getSignature();
Map<String, String> header = jws.getHeader();
Claims Claims = jws.getBody();
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
擴充閱讀
講真,别再使用JWT了!