JWT十分鐘拿下！

一、什么是JWT

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

—[摘自官網]

# 1.翻譯 - 官網地址: https://jwt.io/introduction/ - 翻譯: jsonwebtoken（JWT）是一個開放標準（rfc7519），它定義了一種緊湊的、自包含的方式，用于在各方之間以JSON對象安全地傳輸信息。此信息可以驗證和信任，因為它是數字簽名的。jwt可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公鑰/私鑰對進行簽名 # 2.通俗解釋 - JWT簡稱JSON Web Token,也就是通過JSON形式作為Web應用中的令牌,用于在各方之間安全地將信息作為JSON對象傳輸。在數據傳輸過程中還可以完成數據加密、簽名等相關處理。

二、JWT能做什么

# 1.授權 - 這是使用JWT的最常見方案。一旦用戶登錄，每個后續請求將包括JWT，從而允許用戶訪問該令牌允許的路由，服務和資源。單點登錄是當今廣泛使用JWT的一項功能，因為它的開銷很小并且可以在不同的域中輕松使用。 # 2.信息交換 - JSON Web Token是在各方之間安全地傳輸信息的好方法。因為可以對JWT進行簽名（例如，使用公鑰/私鑰對），所以您可以確保發件人是他們所說的人。此外，由于簽名是使用標頭和有效負載計算的，因此您還可以驗證內容是否遭到篡改。

三、為什么是JWT

3.1、基于傳統的Session認證

# 1.認證方式 - 我們知道，http協議本身是一種無狀態的協議，而這就意味著如果用戶向我們的應用提供了用戶名和密碼來進行用戶認證，那么下一次請求時，用戶還要再一次進行用戶認證才行，因為根據http協議，我們并不能知道是哪個用戶發出的請求，所以為了讓我們的應用能識別是哪個用戶發出的請求，我們只能在服務器存儲一份用戶登錄的信息，這份登錄信息會在響應時傳遞給瀏覽器，告訴其保存為cookie,以便下次請求時發送給我們的應用，這樣我們的應用就能識別請求來自哪個用戶了,這就是傳統的基于session認證。 t # 2.認證流程

# 3.暴露問題 - 1.每個用戶經過我們的應用認證之后，我們的應用都要在服務端做一次記錄，以方便用戶下次請求的鑒別，通常而言session都是保存在內存中，而隨著認證用戶的增多，服務端的開銷會明顯增大 - 2.用戶認證之后，服務端做認證記錄，如果認證的記錄被保存在內存中的話，這意味著用戶下次請求還必須要請求在這臺服務器上,這樣才能拿到授權的資源，這樣在分布式的應用上，相應的限制了負載均衡器的能力。這也意味著限制了應用的擴展能力。 - 3.因為是基于cookie來進行用戶識別的, cookie如果被截獲，用戶就會很容易受到跨站請求偽造的攻擊。 - 4.在前后端分離系統中就更加痛苦:如下圖所示 也就是說前后端分離在應用解耦后增加了部署的復雜性。通常用戶一次請求就要轉發多次。如果用session 每次攜帶sessionid 到服務 器，服務器還要查詢用戶信息。同時如果用戶很多。這些信息存儲在服務器內存中，給服務器增加負擔。還有就是CSRF（跨站偽造請求攻 擊）攻擊，session是基于cookie進行用戶識別的, cookie如果被截獲，用戶就會很容易受到跨站請求偽造的攻擊。還有就是 sessionid就是一個特征值，表達的信息不夠豐富。不容易擴展。而且如果你后端應用是多節點部署。那么就需要實現session共享機制。 不方便集群應用。

3.2、基于JWT認證

# 1.認證流程 - 首先，前端通過Web表單將自己的用戶名和密碼發送到后端的接口。這一過程一般是一個HTTP POST請求。建議的方式是通過SSL加密的傳輸（https協議），從而避免敏感信息被嗅探。 - 后端核對用戶名和密碼成功后，將用戶的id等其他信息作為JWT Payload（負載），將其與頭部分別進行Base64編碼拼接后簽名，形成一個JWT(Token)。形成的JWT就是一個形同lll.zzz.xxx的字符串。 token head.payload.singurater - 后端將JWT字符串作為登錄成功的返回結果返回給前端。前端可以將返回的結果保存在localStorage或sessionStorage上，退出登錄時前端刪除保存的JWT即可。 - 前端在每次請求時將JWT放入HTTP Header中的Authorization位。(解決XSS和XSRF問題) HEADER - 后端檢查是否存在，如存在驗證JWT的有效性。例如，檢查簽名是否正確；檢查Token是否過期；檢查Token的接收方是否是自己（可選）。 - 驗證通過后后端使用JWT中包含的用戶信息進行其他邏輯操作，返回相應結果。 # 2.jwt優勢 - 簡潔(Compact): 可以通過URL，POST參數或者在HTTP header發送，因為數據量小，傳輸速度也很快 - 自包含(Self-contained)：負載中包含了所有用戶所需要的信息，避免了多次查詢數據庫 - 因為Token是以JSON加密的形式保存在客戶端的，所以JWT是跨語言的，原則上任何web形式都支持。 - 不需要在服務端保存會話信息，特別適用于分布式微服務。

四、JWT的結構是什么?

token string ====> header.payload.singnature # 1.令牌組成 - 1.標頭(Header) - 2.有效載荷(Payload) - 3.簽名(Signature) - 因此，JWT通常如下所示:xxxxx.yyyyy.zzzzz Header.Payload.Signature

# 2.Header - 標頭通常由兩部分組成：令牌的類型（即JWT）和所使用的簽名算法，例如HMAC SHA256或RSA。它會使用 Base64 編碼組成 JWT 結構的第一部分。 - 注意:Base64是一種編碼，也就是說，它是可以被翻譯回原來的樣子來的。它并不是一種加密過程。

{ "alg": "HS256", "typ": "JWT" }

# 3.Payload - 令牌的第二部分是有效負載，其中包含聲明。聲明是有關實體（通常是用戶）和其他數據的聲明。同樣的，它會使用 Base64 編碼組成 JWT 結構的第二部分

{ "sub": "1234567890", "name": "John Doe", "admin": true }

# 4.Signature - 前面兩部分都是使用 Base64 進行編碼的，即前端可以解開知道里面的信息。Signature 需要使用編碼后的 header 和 payload 以及我們提供的一個密鑰，然后使用 header 中指定的簽名算法（HS256）進行簽名。簽名的作用是保證 JWT 沒有被篡改過 - 如: HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret); # 簽名目的 - 最后一步簽名的過程，實際上是對頭部以及負載內容進行簽名，防止內容被竄改。如果有人對頭部以及負載的內容解碼之后進行修改，再進行編碼，最后加上之前的簽名組合形成新的JWT的話，那么服務器端會判斷出新的頭部和負載形成的簽名和JWT附帶上的簽名是不一樣的。如果要對新的頭部和負載進行簽名，在不知道服務器加密時用的密鑰的話，得出來的簽名也是不一樣的。 # 信息安全問題 - 在這里大家一定會問一個問題：Base64是一種編碼，是可逆的，那么我的信息不就被暴露了嗎？ - 是的。所以，在JWT中，不應該在負載里面加入任何敏感的數據。在上面的例子中，我們傳輸的是用戶的User ID。這個值實際上不是什么敏感內容，一般情況下被知道也是安全的。但是像密碼這樣的內容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中，那么懷有惡意的第三方通過Base64解碼就能很快地知道你的密碼了。因此JWT適合用于向Web應用傳遞一些非敏感信息。JWT還經常用于設計用戶認證和授權系統，甚至實現Web應用的單點登錄。

# 5.放在一起 - 輸出是三個由點分隔的Base64-URL字符串，可以在HTML和HTTP環境中輕松傳遞這些字符串，與基于XML的標準（例如SAML）相比，它更緊湊。 - 簡潔(Compact) 可以通過URL, POST 參數或者在 HTTP header 發送，因為數據量小，傳輸速度快 - 自包含(Self-contained) 負載中包含了所有用戶所需要的信息，避免了多次查詢數據庫

五、使用JWT

# 1.引入依賴

com.auth0 java-jwt 3.4.0

# 2.生成token

Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND, 90); //生成令牌 String token = JWT.create() .withClaim("username", "張三")//設置自定義用戶名 .withExpiresAt(instance.getTime())//設置過期時間 .sign(Algorithm.HMAC256("token!Q2W#E$RW"));//設置簽名 保密 復雜 //輸出令牌 System.out.println(token);

- 生成結果 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg

# 3.根據令牌和簽名解析數據

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build(); DecodedJWT decodedJWT = jwtVerifier.verify(token); System.out.println("用戶名: " + decodedJWT.getClaim("username").asString()); System.out.println("過期時間: "+decodedJWT.getExpiresAt());

# 4.常見異常信息 - SignatureVerificationException: 簽名不一致異常 - TokenExpiredException: 令牌過期異常 - AlgorithmMismatchException: 算法不匹配異常 - InvalidClaimException: 失效的payload異常

六、封裝工具類

public class JWTUtils { private static String TOKEN = "token!Q@W3e4r"; /** * 生成token * @param map //傳入payload * @return 返回token */ public static String getToken(Map map){ JWTCreator.Builder builder = JWT.create(); map.forEach((k,v)->{ builder.withClaim(k,v); }); Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND,7); builder.withExpiresAt(instance.getTime()); return builder.sign(Algorithm.HMAC256(TOKEN)).toString(); } /** * 驗證token * @param token * @return */ public static void verify(String token){ JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token); } /** * 獲取token中payload * @param token * @return */ public static DecodedJWT getToken(String token){ return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token); } }

七、整合springboot

# 0.搭建springboot+mybatis+jwt環境 - 引入依賴 - 編寫配置

com.auth0 java-jwt 3.4.0 org.mybatis.spring.boot mybatis-spring-boot-starter 2.1.3 org.projectlombok lombok 1.18.12 com.alibaba druid 1.1.19 mysql mysql-connector-java 5.1.38

server.port=8989 spring.application.name=jwt spring.datasource.type=com.alibaba.druid.pool.DruidDataSource spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8 spring.datasource.username=root spring.datasource.password=root mybatis.type-aliases-package=com.pojo mybatis.mapper-locations=classpath:com/mapper/*.xml logging.level.com.dao=debug

# 1.開發數據庫 - 這里采用最簡單的表結構驗證JWT使用

DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主鍵', `name` varchar(80) DEFAULT NULL COMMENT '用戶名', `password` varchar(40) DEFAULT NULL COMMENT '用戶密碼', PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

# 2.開發entity

@Data @Accessors(chain=true) public class User { private String id; private String name; private String password; }

# 3.開發DAO接口和mapper.xml

@Mapper public interface UserDAO { User login(User user); }

select * from user where name=#{name} and password = #{password}

# 4.開發Service 接口以及實現類

public interface UserService { User login(User user);//登錄接口 }

@Service @Transactional public class UserServiceImpl implements UserService { @Autowired private UserDAO userDAO; @Override @Transactional(propagation = Propagation.SUPPORTS) public User login(User user) { User userDB = userDAO.login(user); if(userDB!=null){ return userDB; } throw new RuntimeException("登錄失敗~~"); } }

# 5.開發controller

@RestController @Slf4j public class UserController { @Autowired private UserService userService; @GetMapping("/user/login") public Map login(User user) { Map result = new HashMap<>(); log.info("用戶名: [{}]", user.getName()); log.info("密碼: [{}]", user.getPassword()); try { User userDB = userService.login(user); Map map = new HashMap<>();//用來存放payload map.put("id",userDB.getId()); map.put("username", userDB.getName()); String token = JWTUtils.getToken(map); result.put("state",true); result.put("msg","登錄成功!!!"); result.put("token",token); //成功返回token信息 } catch (Exception e) { e.printStackTrace(); result.put("state","false"); result.put("msg",e.getMessage()); } return result; } }

# 6.數據庫添加測試數據啟動項目

# 7.通過postman模擬登錄失敗

# 8.通過postman模擬登錄成功

# 9.編寫測試接口

@PostMapping("/test/test") public Map test(String token) { Map map = new HashMap<>(); try { JWTUtils.verify(token); map.put("msg", "驗證通過~~~"); map.put("state", true); } catch (TokenExpiredException e) { map.put("state", false); map.put("msg", "Token已經過期!!!"); } catch (SignatureVerificationException e){ map.put("state", false); map.put("msg", "簽名錯誤!!!"); } catch (AlgorithmMismatchException e){ map.put("state", false); map.put("msg", "加密算法不匹配!!!"); } catch (Exception e) { e.printStackTrace(); map.put("state", false); map.put("msg", "無效token~~"); } return map; }

# 10.通過postman請求接口

# 11.問題? - 使用上述方式每次都要傳遞token數據,每個方法都需要驗證token代碼冗余,不夠靈活? 如何優化 - 使用-進行優化

@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("token"); Map map = new HashMap<>(); try { JWTUtils.verify(token); return true; } catch (TokenExpiredException e) { map.put("state", false); map.put("msg", "Token已經過期!!!"); } catch (SignatureVerificationException e){ map.put("state", false); map.put("msg", "簽名錯誤!!!"); } catch (AlgorithmMismatchException e){ map.put("state", false); map.put("msg", "加密算法不匹配!!!"); } catch (Exception e) { e.printStackTrace(); map.put("state", false); map.put("msg", "無效token~~"); } String json = new ObjectMapper().writeValueAsString(map); response.setContentType("application/json;charset=UTF-8"); response.getWriter().println(json); return false; }

@Component public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JwtTokenInterceptor()). excludePathPatterns("/user/**") .addPathPatterns("/**"); } }

web前端

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。