一、基于JWT的Token認(rèn)證機(jī)制實(shí)現(xiàn)

1.什么是JWT

• JSON Web Token（JWT）是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在用戶(hù)和服務(wù)器之間傳遞安全可靠的信息。

2.JWT組成

一個(gè)JWT實(shí)際上就是一個(gè)字符串，它由三部分組成，頭部、載荷與簽名。

頭部（Header）頭部用于描述關(guān)于該JWT的最基本的信息，例如其類(lèi)型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對(duì)象。

{"typ":"JWT","alg":"HS256"}

在頭部指明了簽名算法是HS256算法。 我們進(jìn)行BASE64編碼，編碼后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

載荷（playload）

載荷就是存放有效信息的地方。這個(gè)名字像是特指飛機(jī)上承載的貨品，這些有效信息包含三個(gè)部分

（1）標(biāo)準(zhǔn)中注冊(cè)的聲明（建議但不強(qiáng)制使用）

iss: jwt簽發(fā)者 sub: jwt所面向的用戶(hù) aud: 接收jwt的一方 exp: jwt的過(guò)期時(shí)間，這個(gè)過(guò)期時(shí)間必須要大于簽發(fā)時(shí)間 nbf: 定義在什么時(shí)間之前，該jwt都是不可用的. iat: jwt的簽發(fā)時(shí)間 jti: jwt的唯一身份標(biāo)識(shí)，主要用來(lái)作為一次性token,從而回避重放攻擊。

（2）公共的聲明 公共的聲明可以添加任何的信息，一般添加用戶(hù)的相關(guān)信息或其他業(yè)務(wù)需要的必要信息.但不建議添加敏感信息，因?yàn)樵摬糠衷诳蛻?hù)端可解密.

（3）私有的聲明

私有聲明是提供者和消費(fèi)者所共同定義的聲明，一般不建議存放敏感信息，因?yàn)閎ase64是對(duì)稱(chēng)解密的，意味著該部分信息可以歸類(lèi)為明文信息。這個(gè)指的就是自定義的claim。比如前面那個(gè)結(jié)構(gòu)舉例中的admin和name都屬于自定的claim。這些claim跟JWT標(biāo)準(zhǔn)規(guī)定的claim區(qū)別在于：JWT規(guī)定的claim，JWT的接收方在拿到JWT之后，都知道怎么對(duì)這些標(biāo)準(zhǔn)的claim進(jìn)行驗(yàn)證(還不知道是否能夠驗(yàn)證)；而private claims不會(huì)驗(yàn)證，除非明確告訴接收方要對(duì)這些claim進(jìn)行驗(yàn)證以及規(guī)則才行。

定義一個(gè)payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后將其進(jìn)行base64編碼，得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

簽證（signature）

jwt的第三部分是一個(gè)簽證信息，這個(gè)簽證信息由三部分組成：

header (base64后的) payload (base64后的) secret

這個(gè)部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過(guò)header中聲明的加密方式進(jìn)行加鹽secret組合加密，然后就構(gòu)成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連接成一個(gè)完整的字符串,構(gòu)成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是保存在服務(wù)器端的，jwt的簽發(fā)生成也是在服務(wù)器端的，secret就是用來(lái)進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證，所以，它就是你服務(wù)端的私鑰，在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶(hù)端得知這個(gè)secret, 那就意味著客戶(hù)端是可以自我簽發(fā)jwt了。

二、Java的JJWT實(shí)現(xiàn)JWT

1.什么是JJWT

JJWT是一個(gè)提供端到端的JWT創(chuàng)建和驗(yàn)證的Java庫(kù)。永遠(yuǎn)免費(fèi)和開(kāi)源(Apache License，版本2.0)，JJWT很容易使用和理解。它被設(shè)計(jì)成一個(gè)以建筑為中心的流暢界面，隱藏了它的大部分復(fù)雜性。

2.快速入門(mén)

（1）token的創(chuàng)建

創(chuàng)建Maven工程，引入依賴(lài)

? ?<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.6.0</version></dependency>

創(chuàng)建類(lèi)CreateJwtTest，用于生成token

public static void main(String[] args) {//setIssuedAt用于設(shè)置簽發(fā)時(shí)間//signWith用于設(shè)置簽名秘鑰JwtBuilder builder= Jwts.builder().setId("001").setSubject("路飛").setIssuedAt(new Date()).signWith(SignatureAlgorithm.HS256,"demaxiya");System.out.println(builder.compact());}

測(cè)試運(yùn)行，得到下面的字符串

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIwMDEiLCJzdWIiOiLot6_po54iLCJpYXQiOjE1NDczNDk4NTl9.T8TitZi7ExbfIrgw6EmjLfgYrakgZQihLAkf9hCKZMA

（2）token的解析

我們剛才已經(jīng)創(chuàng)建了token ，在web應(yīng)用中這個(gè)操作是由服務(wù)端進(jìn)行然后發(fā)給客戶(hù)端，客戶(hù)端在下次向服務(wù)端發(fā)送請(qǐng)求時(shí)需要攜帶這個(gè)token（這就好像是拿著一張門(mén)票一樣），那服務(wù)端接到這個(gè)token 應(yīng)該解析出token中的信息（例如用戶(hù)id）,根據(jù)這些信息查詢(xún)數(shù)據(jù)庫(kù)返回相應(yīng)的結(jié)果。

創(chuàng)建ParseJwtTest

public static void main(String[] args) {String token="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIwMDEiLCJzdWIiOiLot6_po54iLCJpYXQiOjE1NDczNDk4NTl9.T8TitZi7ExbfIrgw6EmjLfgYrakgZQihLAkf9hCKZMA";Claims claims =Jwts.parser().setSigningKey("itcast").parseClaimsJws(token).getBody();System.out.println("id:"+claims.getId());System.out.println("subject:"+claims.getSubject());System.out.println("IssuedAt:"+claims.getIssuedAt()); }

得到如下結(jié)果

id:001 subject:路飛 IssueAt:Sun Jan 13 11:24:19 CST 2019

試著將token或簽名秘鑰篡改一下，會(huì)發(fā)現(xiàn)運(yùn)行時(shí)就會(huì)報(bào)錯(cuò)，所以解析token也就是驗(yàn)證token

（3）token過(guò)期校驗(yàn)

有很多時(shí)候，我們并不希望簽發(fā)的token是永久生效的，所以我們可以為token添加一個(gè)過(guò)期時(shí)間。

創(chuàng)建CreateJwtTest2

public static void main(String[] args) {//為了方便測(cè)試，我們將過(guò)期時(shí)間設(shè)置為1分鐘//setExpiration 方法用于設(shè)置過(guò)期時(shí)間long now = System.currentTimeMillis();//當(dāng)前時(shí)間long exp = now + 1000*60;//過(guò)期時(shí)間為1分鐘JwtBuilder builder = Jwts.builder().setId("002").setSubject("索隆").setIssuedAt(new Date()).signWith(SignatureAlgorithm.HS256, "demaxiya").setExpiration(new Date(exp));System.out.println(builder.compact());}

修改ParseJwtTest

public static void main(String[] args) {StringcompactJws="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIwMDIiLCJzdWIiOiLntKLpmoYiLCJpYXQiOjE1NDczNTAyNzgsImV4cCI6MTU0NzM1MDMzN30.f9qwAywzBbw8d_wKDfs-mDvZWbnPtuToZFZ7FWCo5PQ";Claims claims =Jwts.parser().setSigningKey("demaxiya").parseClaimsJws(compactJws).getBody();System.out.println("id:"+claims.getId());System.out.println("subject:"+claims.getSubject());SimpleDateFormat sdf=new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");System.out.println("簽發(fā)時(shí)間:"+sdf.format(claims.getIssuedAt()));System.out.println("過(guò)期時(shí)間:"+sdf.format(claims.getExpiration()));System.out.println("當(dāng)前時(shí)間:"+sdf.format(new Date()) ); }

測(cè)試運(yùn)行，當(dāng)未過(guò)期時(shí)可以正常讀取，當(dāng)過(guò)期時(shí)會(huì)引發(fā)io.jsonwebtoken.ExpiredJwtException異常。

（4）自定義claims

我們剛才的例子只是存儲(chǔ)了id和subject兩個(gè)信息，如果你想存儲(chǔ)更多的信息（例如角色）可以定義自定義claims

創(chuàng)建CreateJwtTest3

public static void main(String[] args) {//為了方便測(cè)試，我們將過(guò)期時(shí)間設(shè)置為1分鐘long now = System.currentTimeMillis();//當(dāng)前時(shí)間long exp = now + 1000*60;//過(guò)期時(shí)間為1分鐘JwtBuilder builder = Jwts.builder().setId("002").setSubject("索隆").setIssuedAt(new Date()).signWith(SignatureAlgorithm.HS256, "demaxiya").setExpiration(new Date(exp)).claim("roles","admin").claim("logo","logo.jpg");System.out.println(builder.compact());}

修改ParseJwtTest

public static void main(String[] args) {String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIwMDIiLCJzdWIiOiLntKLpmoYiLCJpYXQiOjE1NDczNTAzMDYsImV4cCI6MTU0NzM1MDM2Niwicm9sZXMiOiJhZG1pbiIsImxvZ28iOiJsb2dvLmpwZyJ9.t7LFuAvCmAxPZjZKi0bQD6u6x4Huq2aJ5UEEtxP6UTY";Claims claims = Jwts.parser().setSigningKey("demaxiya").parseClaimsJws(token).getBody();System.out.println("id:" + claims.getId());System.out.println("subject:" + claims.getSubject());System.out.println("roles:" + claims.get("roles"));System.out.println("logo:" + claims.get("logo")); ?SimpleDateFormat sdf = new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");System.out.println("簽發(fā)時(shí)間:" + sdf.format(claims.getIssuedAt()));System.out.println("過(guò)期時(shí)間:"+sdf.format(claims.getExpiration()));System.out.println("當(dāng)前時(shí)間:" + sdf.format(new Date()));}

打印結(jié)果如下：

id:002 subject:索隆 roles:admin logo:logo.jpg 簽發(fā)時(shí)間:2019‐01‐13 11:31:46 過(guò)期時(shí)間:2019‐01‐13 11:32:46 當(dāng)前時(shí)間:2019‐01‐13 11:32:31

?

?

總結(jié)

以上是生活随笔為你收集整理的基于JWT的Token认证机制实现的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。