JavaWeb—基於Token的身份驗證

時間 2019-11-16

原文原文鏈接

傳統身份驗證的方法

HTTP Basic Auth

HTTP Basic Auth簡單點說明就是每次請求API時都提供用戶的username和password，簡言之，Basic Auth是配合RESTful API 使用的最簡單的認證方式，只需提供用戶名密碼便可，但因爲有把用戶名密碼暴露給第三方客戶端的風險，在生產環境下被使用的愈來愈少。所以，在開發對外開放的RESTful API時，儘可能避免採用HTTP Basic Auth。javascript

OAuth

OAuth（開放受權）是一個開放的受權標準，容許用戶讓第三方應用訪問該用戶在某一web服務上存儲的私密的資源（如照片，視頻，聯繫人列表），而無需將用戶名和密碼提供給第三方應用。html

OAuth容許用戶提供一個令牌，而不是用戶名和密碼來訪問他們存放在特定服務提供者的數據。每個令牌受權一個特定的第三方系統（例如，視頻編輯網站)在特定的時段（例如，接下來的2小時內）內訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth讓用戶能夠受權第三方網站訪問他們存儲在另外服務提供者的某些特定信息，而非全部內容
下面是OAuth2.0的流程：
java

這種基於OAuth的認證機制適用於我的消費者類的互聯網產品，如社交類APP等應用，可是不太適合擁有自有認證權限管理的企業應用。git

Cookie認證機制就是爲一次請求認證在服務端建立一個Session對象，同時在客戶端的瀏覽器端建立了一個Cookie對象；經過客戶端帶上來Cookie對象來與服務器端的session對象匹配來實現狀態管理的。默認的，當咱們關閉瀏覽器的時候，cookie會被刪除。但能夠經過修改cookie 的expire time使cookie在必定時間內有效。github

基於 Token 的身份驗證方法

使用基於 Token 的身份驗證方法，大概的流程是這樣的：web

客戶端使用用戶名跟密碼請求登陸
服務端收到請求，去驗證用戶名與密碼
驗證成功後，服務端會簽發一個 Token而後保存（緩存或者數據庫），再把這個 Token 發送給客戶端
客戶端收到 Token 之後能夠把它存儲起來，好比放在 Cookie 裏或者 Local Storage 裏
客戶端每次向服務端請求資源的時候須要帶着服務端簽發的 Token
服務端收到請求，而後去驗證客戶端請求裏面帶着的 Token，若是驗證成功，就向客戶端返回請求的數據

Token機制相對於Cookie機制又有什麼好處呢？算法

支持跨域訪問: Cookie是不容許垮域訪問的，這一點對Token機制是不存在的，前提是傳輸的用戶認證信息經過HTTP頭傳輸.
無狀態(也稱：服務端可擴展行):Token機制在服務端不須要存儲session信息，由於Token 自身包含了全部登陸用戶的信息，只須要在客戶端的cookie或本地介質存儲狀態信息.
更適用CDN: 能夠經過內容分發網絡請求你服務端的全部資料（如：javascript，HTML,圖片等），而你的服務端只要提供API便可.
去耦: 不須要綁定到一個特定的身份驗證方案。Token能夠在任何地方生成，只要在你的API被調用的時候，你能夠進行Token生成調用便可.
更適用於移動應用: 當你的客戶端是一個原平生臺（iOS, Android，Windows 8等）時，Cookie是不被支持的（你須要經過Cookie容器進行處理），這時採用Token認證機制就會簡單得多。
CSRF:由於再也不依賴於Cookie，因此你就不須要考慮對CSRF（跨站請求僞造）的防範。
性能: 一次網絡往返時間（經過數據庫查詢session信息）總比作一次HMACSHA256計算的Token驗證和解析要費時得多.
不須要爲登陸頁面作特殊處理: 若是你使用Protractor 作功能測試的時候，再也不須要爲登陸頁面作特殊處理.
基於標準化:你的API能夠採用標準化的 JSON Web Token (JWT). 這個標準已經存在多個後端庫（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.

基於JWT的Token認證機制實現

實施 Token 驗證的方法挺多的，還有一些標準規範，其中JSON Web Token（JWT）是一個很是輕巧的規範。JWT 標準的 Token 有三個部分：數據庫

header（頭部）
payload（數據）
signature（簽名）

中間用點分隔開，而且都會使用 Base64 編碼，因此真正的 Token 看起來像這樣：json

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

每一個 JWT token 裏面都有一個 header，也就是頭部數據。裏面包含了使用的算法，這個 JWT 是否是帶簽名的或者加密的。主要就是說明一下怎麼處理這個 JWT token 。後端

頭部裏包含的東西可能會根據 JWT 的類型有所變化，好比一個加密的 JWT 裏面要包含使用的加密的算法。惟一在頭部裏面要包含的是 alg 這個屬性，若是是加密的 JWT，這個屬性的值就是使用的簽名或者解密用的算法。若是是未加密的 JWT，這個屬性的值要設置成 none。

示例：

{
  "alg": "HS256"
}

意思是這個 JWT 用的算法是 HS256。上面的內容得用 base64url 的形式編碼一下，因此就變成這樣：

eyJhbGciOiJIUzI1NiJ9

Payload

Payload 裏面是 Token 的具體內容，這些內容裏面有一些是標準字段，你也能夠添加其它須要的內容。下面是標準字段：

iss：Issuer，發行者
sub：Subject，主題
aud：Audience，觀衆
exp：Expiration time，過時時間
nbf：Not before
iat：Issued at，發行時間
jti：JWT ID

好比下面這個 Payload ，用到了 iss 發行人，還有 exp 過時時間這兩個標準字段。另外還有兩個自定義的字段，一個是 name ，還有一個是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 base64url 編碼之後就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最後一部分是 Signature ，這部份內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時候要放進去一個 Secret ，這個至關因而一個密碼，這個密碼祕密地存儲在服務端。

header
payload
secret

const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

處理完成之後看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最後這個在服務端生成而且要發送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 之後把它存儲下來，下回向服務端發送請求的時候就帶着這個 Token 。服務端收到這個 Token ，而後進行驗證，經過之後就會返回給客戶端想要的資源。

JWT的JAVA實現

Java中對JWT的支持能夠考慮使用JJWT開源庫；JJWT實現了JWT, JWS, JWE 和 JWA RFC規範；下面將簡單舉例說明其使用：

maven導入

<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.6.0</version>
</dependency>

建立和解析token

/**
     * 解析JWT
     * @param jsonWebToken
     * @param base64Security
     * @return
     */
    public static Claims parseJWT(String jsonWebToken, String base64Security) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
                    .parseClaimsJws(jsonWebToken).getBody();
            return claims;
        } catch (Exception ex) {
            return null;
        }
    }

    /**
     * 建立JWT
     * @param no
     * @param userId
     * @param issuer
     * @param TTLMillis
     * @param base64Security
     * @return
     */
    public static String createJWT(String no, String userId,
                                   String issuer, long TTLMillis, String base64Security) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        //生成簽名密鑰
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        //添加構成JWT的參數
        JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
                .claim("no", no)
                .setSubject(userId)
                .setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);
        //添加Token過時時間
        if (TTLMillis >= 0) {
            long expMillis = nowMillis + TTLMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp).setNotBefore(now);
        }
        //生成JWT
        return builder.compact();
    }