使用JWT來實現對API的受權訪問

目錄

• 什麼是JWT
• JWT的結構
  • Header
  • Payload
  • Signature
  • 解碼後的JWT
• JWT是怎樣工做的
• 在JAVA裏使用JWT
  • 引入依賴
  • JWT Service
    • 生成JWT
    • 解碼JWT
    • 驗證JWT
  • 註冊/登陸
  • 驗證JWT
  • API
• 尾註

---

什麼是JWT

JWT(JSON Web Token)是一個開放標準（RFC 7519），它定義了一種緊湊且獨立的方式，能夠在各個系統之間用JSON做爲對象安全地傳輸信息，而且能夠保證所傳輸的信息不會被篡改。

JWT一般有兩種應用場景：

• 受權。這是最多見的JWT使用場景。一旦用戶登陸，每一個後續請求將包含一個JWT，做爲該用戶訪問資源的令牌。
• 信息交換。能夠利用JWT在各個系統之間安全地傳輸信息，JWT的特性使得接收方能夠驗證收到的內容是否被篡改。

本文討論第一點，如何利用JWT來實現對API的受權訪問。這樣就只有通過受權的用戶才能夠調用API。

JWT的結構

JWT由三部分組成，用.分割開。

Header

第一部分爲Header，一般由兩部分組成：令牌的類型，即JWT，以及所使用的加密算法。

{
  "alg": "HS256",
  "typ": "JWT"
}

Base64加密後，就變成了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

第二部分爲Payload，裏面能夠放置自定義的信息，以及過時時間、發行人等。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Base64加密後，就變成了:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature

第三部分爲Signature，計算此簽名須要四部分信息：

• Header裏的算法信息
• Header
• Payload
• 一個自定義的祕鑰

接受到JWT後，利用相同的信息再計算一次簽名，然年與JWT中的簽名對比，若是不相同則說明JWT中的內容被篡改。

解碼後的JWT

將上面三部分都編碼後再合在一塊兒就獲得了JWT。

須要注意的是，JWT的內容並非加密的，只是簡單的Base64編碼。也就是說，JWT一旦泄露，裏面的信息能夠被輕鬆獲取，所以不該該用JWT保存任何敏感信息。

JWT是怎樣工做的

1. 應用程序或客戶端向受權服務器請求受權。這裏的受權服務器能夠是單獨的一個應用，也能夠和API集成在同一個應用裏。
2. 受權服務器嚮應用程序返回一個JWT。
3. 應用程序將JWT放入到請求裏（一般放在HTTP的Authorization頭裏）
4. 服務端接收到請求後，驗證JWT並執行對應邏輯。

在JAVA裏使用JWT

引入依賴

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
</dependency>

這裏使用了一個叫JJWT(Java JWT)的庫。

JWT Service

生成JWT

public String generateToken(String payload) {
        return Jwts.builder()
                .setSubject(payload)
                .setExpiration(new Date(System.currentTimeMillis() + 10000))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

• 這裏設置過時時間爲10秒，所以生成的JWT只在10秒內能經過驗證。
• 須要提供一個自定義的祕鑰。

解碼JWT

public String parseToken(String jwt) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwt)
                .getBody()
                .getSubject();
    }

• 解碼時會檢查JWT的簽名，所以須要提供祕鑰。

驗證JWT

public boolean isTokenValid(String jwt) {
        try {
            parseToken(jwt);
        } catch (Throwable e) {
            return false;
        }
        return true;
    }

• JJWT並無提供判斷JWT是否合法的方法，可是在解碼非法JWT時會拋出異常，所以能夠經過捕獲異常的方式來判斷是否合法。

註冊/登陸

@GetMapping("/registration")
    public String register(@RequestParam String username, HttpServletResponse response) {
        String jwt = jwtService.generateToken(username);
        response.setHeader(JWT_HEADER_NAME, jwt);

        return String.format("JWT for %s :\n%s", username, jwt);
    }

• 須要爲尚未獲取到JWT的用戶提供一個這樣的註冊或者登陸入口，來獲取JWT。
• 獲取到響應裏的JWT後，要在後續的請求裏包含JWT，這裏放在請求的Authorization頭裏。

驗證JWT

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
        if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
            chain.doFilter(request, response);
        } else if (isTokenValid(jwt)) {
            updateToken(httpServletResponse, jwt);
            chain.doFilter(request, response);
        } else {
            httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
        }
    }
    
private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
        String payload = jwtService.parseToken(jwt);
        String newToken = jwtService.generateToken(payload);
        httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
    }

• 將驗證操做放在Filter裏，這樣除了登陸入口，其它的業務代碼將感受不到JWT的存在。
• 將登陸入口放在WHITE_LIST裏，跳過對這些入口的驗證。
• 須要刷新JWT。若是JWT是合法的，那麼應該用一樣的Payload來生成一個新的JWT，這樣新的JWT就會有新的過時時間，用此操做來刷新JWT，以防過時。
• 若是使用Filter，那麼刷新的操做要在調用doFilter()以前，由於調用以後就沒法再修改response了。

API

private final static String JWT_HEADER_NAME = "Authorization";

    @GetMapping("/api")
    public String testApi(HttpServletRequest request, HttpServletResponse response) {
        String oldJwt = request.getHeader(JWT_HEADER_NAME);
        String newJwt = response.getHeader(JWT_HEADER_NAME);

        return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
    }

這時候API就處於JWT的保護下了。API能夠徹底不用感知到JWT的存在，同時也能夠主動獲取JWT並解碼，以獲得JWT裏的信息。如上所示。

尾註

• 完整的DEMO能夠在這裏找到：https://github.com/Beginner258/jwt-demo
• 參考資料：https://jwt.io/