1.什么是JWT

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA
—[摘自官網(wǎng)]

1.翻譯

官網(wǎng)地址: https://jwt.io/introduction/
翻譯: jsonwebtoken（JWT）是一個(gè)開(kāi)放標(biāo)準(zhǔn)（rfc7519），它定義了一種緊湊的、自包含的方式，用于在各方之間以JSON對(duì)象安全地傳輸信息。此信息可以驗(yàn)證和信任，因?yàn)樗菙?shù)字簽名的。jwt可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公鑰/私鑰對(duì)進(jìn)行簽名

2.通俗解釋

JWT簡(jiǎn)稱(chēng)JSON Web Token,也就是通過(guò)JSON形式作為Web應(yīng)用中的令牌,用于在各方之間安全地將信息作為JSON對(duì)象傳輸。在數(shù)據(jù)傳輸過(guò)程中還可以完成數(shù)據(jù)加密、簽名等相關(guān)處理。

2.JWT能做什么

1.授權(quán)

這是使用JWT的最常見(jiàn)方案。一旦用戶(hù)登錄，每個(gè)后續(xù)請(qǐng)求將包括JWT，從而允允許的路由，服務(wù)和資源。單點(diǎn)登錄是當(dāng)今廣泛使用JWT的一項(xiàng)功能，因?yàn)樗拈_(kāi)銷(xiāo)很小并且可以在不同的域中輕松使用。

2.信息交換

JSON Web Token是在各方之間安全地傳輸信息的好方法。因?yàn)榭梢詫?duì)JWT進(jìn)行簽名（例如，使用公鑰/私鑰對(duì)），所以您可以確保發(fā)件人是他們所說(shuō)的人。此外，由于簽名是使用標(biāo)頭和有效負(fù)載計(jì)算的，因此您還可以驗(yàn)證內(nèi)容是否遭到篡改。

注意：jwt跟session不一樣，jwt存儲(chǔ)在客戶(hù)端，session存儲(chǔ)在服務(wù)器端，服務(wù)器斷電后session就沒(méi)了，而jwt因?yàn)榇鎯?chǔ)在客戶(hù)端，所以就不會(huì)被影響，只要jwt不過(guò)期，就可以繼續(xù)使用。

3.為什么是JWT

3.1 基于傳統(tǒng)的Session認(rèn)證

1.認(rèn)證方式

我們知道，http協(xié)議本身是一種無(wú)狀態(tài)的協(xié)議，而這就意味著如果用戶(hù)向我們的應(yīng)用提供了用戶(hù)名和密碼來(lái)進(jìn)行用戶(hù)認(rèn)證，那么下一次請(qǐng)求時(shí)，用戶(hù)還要再一次進(jìn)行用戶(hù)認(rèn)證才行，因?yàn)楦鶕?jù)http協(xié)議，我們并不能知道是哪個(gè)用戶(hù)發(fā)出的請(qǐng)求，所以為了讓我們的應(yīng)用能識(shí)別是哪個(gè)用戶(hù)發(fā)出的請(qǐng)求，我們只能在服務(wù)器存儲(chǔ)一份用戶(hù)登錄的信息，這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器，告訴其保存為cookie,以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用，這樣我們的應(yīng)用就能識(shí)別請(qǐng)求來(lái)自哪個(gè)用戶(hù)了,這就是傳統(tǒng)的基于session認(rèn)證。

2.認(rèn)證流程

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來(lái)直接上傳(img-Y7ycQNpE-1621250075249)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517123118644.png)]

3.暴露問(wèn)題

1.每個(gè)用戶(hù)經(jīng)過(guò)我們的應(yīng)用認(rèn)證之后，我們的應(yīng)用都要在服務(wù)端做一次記錄，以方便用戶(hù)下次請(qǐng)求的鑒別，通常而言session都是保存在內(nèi)存中，而隨著認(rèn)證用戶(hù)的增多，服務(wù)端的開(kāi)銷(xiāo)會(huì)明顯增大

2.用戶(hù)認(rèn)證之后，服務(wù)端做認(rèn)證記錄，如果認(rèn)證的記錄被保存在內(nèi)存中的話(huà)，這意味著用戶(hù)下次請(qǐng)求還必須要請(qǐng)求在這臺(tái)服務(wù)器上,這樣才能拿到授權(quán)的資源，這樣在分布式的應(yīng)用上，相應(yīng)的限制了負(fù)載均衡器的能力。這也意味著限制了應(yīng)用的擴(kuò)展能力。

3.因?yàn)槭腔赾ookie來(lái)進(jìn)行用戶(hù)識(shí)別的, cookie如果被截獲，用戶(hù)就會(huì)很容易受到跨站請(qǐng)求偽造的攻擊。

4.在前后端分離系統(tǒng)中就更加痛苦:如下圖所示
也就是說(shuō)前后端分離在應(yīng)用解耦后增加了部署的復(fù)雜性。通常用戶(hù)一次請(qǐng)求就要轉(zhuǎn)發(fā)多次。如果用session 每次攜帶sessionid 到服務(wù) 器，服務(wù)器還要查詢(xún)用戶(hù)信息。同時(shí)如果用戶(hù)很多。這些信息存儲(chǔ)在服務(wù)器內(nèi)存中，給服務(wù)器增加負(fù)擔(dān)。還有就是CSRF（跨站偽造請(qǐng)求攻 擊）攻擊，session是基于cookie進(jìn)行用戶(hù)識(shí)別的, cookie如果被截獲，用戶(hù)就會(huì)很容易受到跨站請(qǐng)求偽造的攻擊。還有就是 sessionid就是一個(gè)特征值，表達(dá)的信息不夠豐富。不容易擴(kuò)展。而且如果你后端應(yīng)用是多節(jié)點(diǎn)部署。那么就需要實(shí)現(xiàn)session共享機(jī)制。 不方便集群應(yīng)用。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來(lái)直接上傳(img-rWMW6ei3-1621250075252)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517123132784.png)]

3.2 基于JWT認(rèn)證

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來(lái)直接上傳(img-RDhSDZFA-1621250075257)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517123144086.png)]

1.認(rèn)證流程

首先，前端通過(guò)Web表單將自己的用戶(hù)名和密碼發(fā)送到后端的接口。這一過(guò)程一般是一個(gè)HTTP POST請(qǐng)求。建議的方式是通過(guò)SSL加密的傳輸（https協(xié)議），從而避免敏感信息被嗅探。

后端核對(duì)用戶(hù)名和密碼成功后，將用戶(hù)的id等其他信息作為JWT Payload（負(fù)載），將其與頭部分別進(jìn)行Base64編碼拼接后簽名，形成一個(gè)JWT(Token)。形成的JWT就是一個(gè)形同lll.zzz.xxx的字符串。 token head.payload.singurater

后端將JWT字符串作為登錄成功的返回結(jié)果返回給前端。前端可以將返回的結(jié)果保存在localStorage或sessionStorage上，退出登錄時(shí)前端刪除保存的JWT即可。

前端在每次請(qǐng)求時(shí)將JWT放入HTTP Header中的Authorization位。(解決XSS和XSRF問(wèn)題) HEADER

后端檢查是否存在，如存在驗(yàn)證JWT的有效性。例如，檢查簽名是否正確；檢查T(mén)oken是否過(guò)期；檢查T(mén)oken的接收方是否是自己（可選）。

驗(yàn)證通過(guò)后后端使用JWT中包含的用戶(hù)信息進(jìn)行其他邏輯操作，返回相應(yīng)結(jié)果。

2.jwt優(yōu)勢(shì)

簡(jiǎn)潔(Compact): 可以通過(guò)URL，POST參數(shù)或者在HTTP header發(fā)送，因?yàn)閿?shù)據(jù)量小，傳輸速度也很快

自包含(Self-contained)：負(fù)載中包含了所有用戶(hù)所需要的信息，避免了多次查詢(xún)數(shù)據(jù)庫(kù)

因?yàn)門(mén)oken是以JSON加密的形式保存在客戶(hù)端的，所以JWT是跨語(yǔ)言的，原則上任何web形式都支持。

不需要在服務(wù)端保存會(huì)話(huà)信息，特別適用于分布式微服務(wù)。

4.JWT的結(jié)構(gòu)是什么?

token string ====> header.payload.singnature token

1.令牌組成

• 1.標(biāo)頭(Header)
• 2.有效載荷(Payload)
• 3.簽名(Signature)
• 因此，JWT通常如下所示:xxxxx.yyyyy.zzzzz Header.Payload.Signature

2.Header

• 標(biāo)頭通常由兩部分組成：令牌的類(lèi)型（即JWT）和所使用的簽名算法，例如HMAC SHA256或RSA。它會(huì)使用 Base64 編碼組成 JWT 結(jié)構(gòu)的第一部分。

• 注意:Base64是一種編碼，也就是說(shuō)，它是可以被翻譯回原來(lái)的樣子來(lái)的。它并不是一種加密過(guò)程。

  { "alg": "HS256", "typ": "JWT" }

3.Payload

• 令牌的第二部分是有效負(fù)載，其中包含聲明。聲明是有關(guān)實(shí)體（通常是用戶(hù)）和其他數(shù)據(jù)的聲明。同樣的，它會(huì)使用 Base64 編碼組成 JWT 結(jié)構(gòu)的第二部分

  {
  “sub”: “1234567890”,
  “name”: “John Doe”,
  “admin”: true
  }

4.Signature

• 前面兩部分都是使用 Base64 進(jìn)行編碼的，即前端可以解開(kāi)知道里面的信息。Signature 需要使用編碼后的 header 和 payload 以及我們提供的一個(gè)密鑰，然后使用 header 中指定的簽名算法（HS256）進(jìn)行簽名。簽名的作用是保證 JWT 沒(méi)有被篡改過(guò)
• 如:
  HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret);

簽名目的

• 最后一步簽名的過(guò)程，實(shí)際上是對(duì)頭部以及負(fù)載內(nèi)容進(jìn)行簽名，防止內(nèi)容被竄改。如果有人對(duì)頭部以及負(fù)載的內(nèi)容解碼之后進(jìn)行修改，再進(jìn)行編碼，最后加上之前的簽名組合形成新的JWT的話(huà)，那么服務(wù)器端會(huì)判斷出新的頭部和負(fù)載形成的簽名和JWT附帶上的簽名是不一樣的。如果要對(duì)新的頭部和負(fù)載進(jìn)行簽名，在不知道服務(wù)器加密時(shí)用的密鑰的話(huà)，得出來(lái)的簽名也是不一樣的。

信息安全問(wèn)題

• 在這里大家一定會(huì)問(wèn)一個(gè)問(wèn)題：Base64是一種編碼，是可逆的，那么我的信息不就被暴露了嗎？

• 是的。所以，在JWT中，不應(yīng)該在負(fù)載里面加入任何敏感的數(shù)據(jù)。在上面的例子中，我們傳輸?shù)氖怯脩?hù)的User ID。這個(gè)值實(shí)際上不是什么敏 感內(nèi)容，一般情況下被知道也是安全的。但是像密碼這樣的內(nèi)容就不能被放在JWT中了。如果將用戶(hù)的密碼放在了JWT中，那么懷有惡意的第 三方通過(guò)Base64解碼就能很快地知道你的密碼了。因此JWT適合用于向Web應(yīng)用傳遞一些非敏感信息。JWT還經(jīng)常用于設(shè)計(jì)用戶(hù)認(rèn)證和授權(quán)系 統(tǒng)，甚至實(shí)現(xiàn)Web應(yīng)用的單點(diǎn)登錄。
  [外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來(lái)直接上傳(img-eUsd1ufU-1621250075259)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517124718908.png)]

5.放在一起

• 輸出是三個(gè)由點(diǎn)分隔的Base64-URL字符串，可以在HTML和HTTP環(huán)境中輕松傳遞這些字符串，與基于XML的標(biāo)準(zhǔn)（例如SAML）相比，它更緊湊。
• 簡(jiǎn)潔(Compact)
  可以通過(guò)URL, POST 參數(shù)或者在 HTTP header 發(fā)送，因?yàn)閿?shù)據(jù)量小，傳輸速度快
• 自包含(Self-contained)
  負(fù)載中包含了所有用戶(hù)所需要的信息，避免了多次查詢(xún)數(shù)據(jù)庫(kù)
  [外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來(lái)直接上傳(img-KqBOnvdb-1621250075260)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517124748768.png)]

5.使用JWT

1.引入依賴(lài)

<!--引入jwt--> <dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version> </dependency>

2.生成token

Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND, 90); //生成令牌 String token = JWT.create()//head可以省略.withClaim("username", "張三")//設(shè)置自定義用戶(hù)名.withExpiresAt(instance.getTime())//設(shè)置過(guò)期時(shí)間.sign(Algorithm.HMAC256("token!Q2W#E$RW"));//設(shè)置簽名 保密 復(fù)雜 //輸出令牌 System.out.println(token);

生成結(jié)果
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg

3.根據(jù)令牌和簽名解析數(shù)據(jù)

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build(); DecodedJWT decodedJWT = jwtVerifier.verify(token); System.out.println("用戶(hù)名: " + decodedJWT.getClaim("username").asString());// 存的是時(shí)候是什么類(lèi)型，取得時(shí)候就是什么類(lèi)型，否則取不到值。 System.out.println("過(guò)期時(shí)間: "+decodedJWT.getExpiresAt());

4.常見(jiàn)異常信息

SignatureVerificationException: 簽名不一致異常
TokenExpiredException: 令牌過(guò)期異常
AlgorithmMismatchException: 算法不匹配異常
InvalidClaimException: 失效的payload異常

6.封裝工具類(lèi)

public class JWTUtils {private static String TOKEN = "token!Q@W3e4r";/*** 生成token* @param map //傳入payload* @return 返回token*/public static String getToken(Map<String,String> map){JWTCreator.Builder builder = JWT.create();map.forEach((k,v)->{builder.withClaim(k,v);});Calendar instance = Calendar.getInstance();instance.add(Calendar.DATE,7);//默認(rèn)7天過(guò)期builder.withExpiresAt(instance.getTime());return builder.sign(Algorithm.HMAC256(TOKEN));}/*** 驗(yàn)證token* @param token* @return*/public static void verify(String token){JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token); // 如果驗(yàn)證通過(guò)，則不會(huì)把報(bào)錯(cuò)，否則會(huì)報(bào)錯(cuò)}/*** 獲取token中payload* @param token* @return*/public static DecodedJWT getToken(String token){return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);} }

7.整合springboot

0.搭建springboot+mybatis+jwt環(huán)境

• 引入依賴(lài)

• 編寫(xiě)配置

  - <!--引入jwt--><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version></dependency><!--引入mybatis--> <dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>2.1.3</version> </dependency><!--引入lombok--> <dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><version>1.18.12</version> </dependency><!--引入druid--> <dependency><groupId>com.alibaba</groupId><artifactId>druid</artifactId><version>1.1.19</version> </dependency><!--引入mysql--> <dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>5.1.38</version> </dependency> server.port=8888 spring.application.name=jwtspring.datasource.type=com.alibaba.druid.pool.DruidDataSource spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8 spring.datasource.username=root spring.datasource.password=123456mybatis.type-aliases-package=com.baizhi.entity mybatis.mapper-locations=classpath:com/baizhi/mapper/*.xmllogging.level.com.baizhi.dao=debug

1.開(kāi)發(fā)數(shù)據(jù)庫(kù)

• 這里采用最簡(jiǎn)單的表結(jié)構(gòu)驗(yàn)證JWT使用

  DROP TABLE IF EXISTS `user`; CREATE TABLE `user` (`id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主鍵',`name` varchar(80) DEFAULT NULL COMMENT '用戶(hù)名',`password` varchar(40) DEFAULT NULL COMMENT '用戶(hù)密碼',PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

2.開(kāi)發(fā)entity

@Data @Accessors(chain=true) public class User {private String id;private String name;private String password; }

3.開(kāi)發(fā)DAO接口和mapper.xml

@Mapper//省去了在啟動(dòng)類(lèi)上加mapperscan public interface UserDAO {User login(User user); } <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"><mapper namespace="com.baizhi.dao.UserDAO"><!--這里就寫(xiě)的簡(jiǎn)單點(diǎn)了畢竟不是重點(diǎn)--><select id="login" parameterType="User" resultType="User">select * from user where name=#{name} and password = #{password}</select> </mapper>

4.開(kāi)發(fā)Service 接口以及實(shí)現(xiàn)類(lèi)

public interface UserService {User login(User user);//登錄接口 } @Service @Transactional public class UserServiceImpl implements UserService {@Autowiredprivate UserDAO userDAO;@Override@Transactional(propagation = Propagation.SUPPORTS)public User login(User user) {User userDB = userDAO.login(user);if(userDB!=null){return userDB;}throw new RuntimeException("登錄失敗~~");} }

5.開(kāi)發(fā)controller

@RestController @Slf4j public class UserController {@Autowiredprivate UserService userService;@GetMapping("/user/login")public Map<String,Object> login(User user) {Map<String,Object> result = new HashMap<>();log.info("用戶(hù)名: [{}]", user.getName());log.info("密碼: [{}]", user.getPassword());try {User userDB = userService.login(user);Map<String, String> map = new HashMap<>();//用來(lái)存放payloadmap.put("id",userDB.getId());map.put("username", userDB.getName());String token = JWTUtils.getToken(map);result.put("state",true);result.put("msg","登錄成功!!!");result.put("token",token); //成功返回token信息} catch (Exception e) {e.printStackTrace();result.put("state","false");result.put("msg",e.getMessage());}return result;} }

6.數(shù)據(jù)庫(kù)添加測(cè)試數(shù)據(jù)啟動(dòng)項(xiàng)目

7.通過(guò)postman模擬登錄失敗

8.通過(guò)postman模擬登錄成功

9.編寫(xiě)測(cè)試接口

@PostMapping("/test/test") public Map<String, Object> test(String token) {Map<String, Object> map = new HashMap<>();try {JWTUtils.verify(token);map.put("msg", "驗(yàn)證通過(guò)~~~");map.put("state", true);} catch (TokenExpiredException e) {map.put("state", false);map.put("msg", "Token已經(jīng)過(guò)期!!!");} catch (SignatureVerificationException e){map.put("state", false);map.put("msg", "簽名錯(cuò)誤!!!");} catch (AlgorithmMismatchException e){map.put("state", false);map.put("msg", "加密算法不匹配!!!");} catch (Exception e) {e.printStackTrace();map.put("state", false);map.put("msg", "無(wú)效token~~");}return map; }

10.通過(guò)postman請(qǐng)求接口

11.問(wèn)題?

• 使用上述方式每次都要傳遞token數(shù)據(jù),每個(gè)方法都需要驗(yàn)證token代碼冗余,不夠靈活? 如何優(yōu)化
• 使用攔截器進(jìn)行優(yōu)化

public class JWTInterceptor implements HandlerInterceptor{@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String token = request.getHeader("token");Map<String,Object> map = new HashMap<>();try {JWTUtils.verify(token);return true;} catch (TokenExpiredException e) {map.put("state", false);map.put("msg", "Token已經(jīng)過(guò)期!!!");} catch (SignatureVerificationException e){map.put("state", false);map.put("msg", "簽名錯(cuò)誤!!!");} catch (AlgorithmMismatchException e){map.put("state", false);map.put("msg", "加密算法不匹配!!!");} catch (Exception e) {e.printStackTrace();map.put("state", false);map.put("msg", "無(wú)效token~~");}String json = new ObjectMapper().writeValueAsString(map);response.setContentType("application/json;charset=UTF-8");response.getWriter().println(json);return false; }} @Configuration public class InterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new JWTInterceptor()).excludePathPatterns("/user/**") // 放行.addPathPatterns("/**"); // 攔截除了"/user/**的所有請(qǐng)求路徑} }

總結(jié)

以上是生活随笔為你收集整理的JWT(JSON web token)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。