使用JWT實現Token認證

時間 2021-02-21

標籤 java web redis 算法 json 跨域緩存安全服務器 cookie 欄目 Java 简体版

原文原文鏈接

爲何使用JWT？

隨着技術的發展，分佈式web應用的普及，經過session管理用戶登陸狀態成本愈來愈高，所以慢慢發展成爲token的方式作登陸身份校驗，而後經過token去取redis中的緩存的用戶信息，隨着以後jwt的出現，校驗方式更加簡單便捷化，無需經過redis緩存，而是直接根據token取出保存的用戶信息，以及對token可用性校驗，單點登陸更爲簡單。這裏還有一個在線的的JWT生成器

何時你應該用JSON Web Tokens

下列場景中使用JSON Web Token是頗有用的：java

Authorization (受權) : 這是使用JWT的最多見場景。一旦用戶登陸，後續每一個請求都將包含JWT，容許用戶訪問該令牌容許的路由、服務和資源。單點登陸是如今普遍使用的JWT的一個特性，由於它的開銷很小，而且能夠輕鬆地跨域使用。
Information Exchange (信息交換) : 對於安全的在各方之間傳輸信息而言，JSON Web Tokens無疑是一種很好的方式。由於JWTs能夠被簽名，例如，用公鑰/私鑰對，你能夠肯定發送人就是它們所說的那我的。另外，因爲簽名是使用頭和有效負載計算的，您還能夠驗證內容沒有被篡改。

JSON Web Token的結構是什麼樣的

JSON Web Token由三部分組成，它們之間用圓點(.)鏈接。這三部分分別是：web

Header
Payload
Signature

所以，一個典型的JWT看起來是這個樣子的：redis

xxxxx.yyyyy.zzzzz算法

接下來，具體看一下每一部分：json

Header

header典型的由兩部分組成：token的類型（「JWT」）和算法名稱（好比：HMAC SHA256或者RSA等等）。跨域

例如：緩存

而後，用Base64對這個JSON編碼就獲得JWT的第一部分安全

Payload

JWT的第二部分是payload，它包含聲明（要求）。聲明是關於實體(一般是用戶)和其餘數據的聲明。聲明有三種類型: registered, public 和 private。服務器

Registered claims : 這裏有一組預約義的聲明，它們不是強制的，可是推薦。好比：iss (issuer), exp (expiration time), sub (subject), aud (audience)等。
Public claims : 能夠隨意定義。
Private claims : 用於在贊成使用它們的各方之間共享信息，而且不是註冊的或公開的聲明。

下面是一個例子：cookie

對payload進行Base64編碼就獲得JWT的第二部分

注意，不要在JWT的payload或header中放置敏感信息，除非它們是加密的。

Signature

爲了獲得簽名部分，你必須有編碼過的header、編碼過的payload、一個祕鑰，簽名算法是header中指定的那個，然對它們簽名便可。

例如：

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

簽名是用於驗證消息在傳遞過程當中有沒有被更改，而且，對於使用私鑰簽名的token，它還能夠驗證JWT的發送方是否爲它所稱的發送方。

看一張官網的圖就明白了：

JSON Web Tokens是如何工做的

應用（或者客戶端）想受權服務器請求受權。例如，若是用受權碼流程的話，就是/oauth/authorize
當受權被許能夠後，受權服務器返回一個access token給應用
應用使用access token訪問受保護的資源（好比：API）

使用JWT核心代碼：
maven依賴：

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
     <version>3.2.0</version>
</dependency>
<dependency>
     <groupId>io.jsonwebtoken</groupId>
     <artifactId>jjwt</artifactId>
     <version>0.7.0</version>
</dependency>

JWT工具類：
用於生成Token，和Token驗證

public class JwtUtils {
    /**
     * 簽發JWT
     * 
     * @param id
     * @param subject   能夠是JSON數據 儘量少
     * @param ttlMillis
     * @return String
     *
     */
    public static String createJWT(String id, String subject, long ttlMillis) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder().setId(id).setSubject(subject) // 主題
                .setIssuer("user") // 簽發者
                .setIssuedAt(now) // 簽發時間
                .signWith(signatureAlgorithm, secretKey); // 簽名算法以及密匙
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date expDate = new Date(expMillis);
            builder.setExpiration(expDate); // 過時時間
        }
        return builder.compact();
    }

    /**
     * 驗證JWT
     * 
     * @param jwtStr
     * @return
     */
    public static CheckResult validateJWT(String jwtStr) {
        CheckResult checkResult = new CheckResult();
        Claims claims = null;
        try {
            claims = parseJWT(jwtStr);
            checkResult.setSuccess(true);
            checkResult.setClaims(claims);
        } catch (ExpiredJwtException e) {
            checkResult.setErrCode(SystemConstant.JWT_ERRCODE_EXPIRE);
            checkResult.setSuccess(false);
        } catch (SignatureException e) {
            checkResult.setErrCode(SystemConstant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        } catch (Exception e) {
            checkResult.setErrCode(SystemConstant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        }
        return checkResult;
    }

    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.decode(SystemConstant.JWT_SECERT);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 
     * 解析JWT字符串
     * 
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwt).getBody();
    }
}

如何使用？
代碼實例：

public class LoginController {
    @Autowired
    UserRepository userRepository;
    

    @RequestMapping(value="login",method = RequestMethod.POST)
    public ReturnVo login(String username, String password,HttpServletResponse
            response) {
        User user =  userRepository.findByUsername(username);
        if(user!=null){
            if(user.getPassword().equals(password)){
                //把token返回給客戶端-->客戶端保存至cookie-->客戶端每次請求附帶cookie參數
                String JWT = JwtUtils.createJWT("1", username, SystemConstant.JWT_TTL);
                return ReturnVo.ok(JWT);
            }else{
                return ReturnVo.error();
            }
        }else{
            return ReturnVo.error();
        }
    }


    @RequestMapping(value="description",method = RequestMethod.POST)
    public ReturnVo description(String username) {
        User user =  userRepository.findByUsername(username);
        return ReturnVo.ok(user.getDescription());
    }
}