目录
一 jwt
1.什么是jwt
2.JWT可以做什么
3.传统的基于session验证
4.基于jwt的认证
5.jwt结构
heder
Payload
Signature
6.使用jwt
二 Springboot整合jwt
一 jwt
1.什么是jwt
官网介绍地址:https://jwt.io/introduction/
JWT简称Json Web Token,也就是通过JSON形式作为web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
2.JWT可以做什么
授权:用户登录后每个后续请求将包括jwt,从而允许用户访问该令牌允许的路由、服务和资源。许多的单点登录就是使用了jwt,开销小并且可以在不同域中使用
信息交换:因为jwt具有签名机制,在不同的系统之间进行数据交换或者请求相关接口,通过验签然后执行接口请求和传输数据
3.传统的基于session验证
验证方式
当用户第一次请求的时候,系统会创建一个专属此用户的session,后续来不同的用户,一次创建不同的session。当浏览器第一次访问系统的时候,系统会以cookie的方式为浏览器设置要给sessionId,每个用户对应一个sessionId。后续发起请求的时候,默认会携带这个sessionId进行认证
验证流程
问题
- 每个用户都要经过系统认证,认证之后都要在服务端保存一个session ,随着用户的增加,服务端开销明显增大
- 验证之后session保存在了当前登录的服务端,如果涉及到分布应用,限制了负载均衡的能力,极大增加了应用扩展力难度
- 因为是基于cookie进行用户识别的,所以如果cookie被截获,用户很容易受到跨站请求伪造攻击
4.基于jwt的认证
系统通过前端传过来的用户名和密码进行验证,成功后将用户的id等其他信息放在jwt payload,将payload和header分别进行Base64编码拼接后签名;
形成一个jwt,是一个xxxxx.yyyyy.zzzzz字符串。后端将这个jwt放回给前端
。
前端可以将此jwt保存在localStorage或者sessionStorage上,退出登录时前端删除保存的jwt即可;
前端请求时候携带jwt,进行验证jwt的有效性,通过后返回相应结果。
5.jwt结构
jwt由Header、Payload、Signature三部分组成,中间用.分开,即xxxxx.yyyyy.zzzzz
heder
头部分由令牌类型(即JWT)和所使用的签名算法,例如HMAC,SHA256,RSA,通过BASE64编码将组成jwt结构的第一部分
{
"alg": "HS256",
"typ": "JWT"
}
Payload
第二部分是有效负载声明,包含用户数据和其他相关的数据声明,同样会使用base64编码组成JWT结构的第二部分;因为base64编码后是可以解码的,所以在payload中不要存放用户密码
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
Signature
前面两部分是使用base64进行编码,即前端可以解开知道里面的信息,Signature需要使用编码后的heder和Payload以及我们提供一个密钥,然后使用header中指定的签名算法进行签名,签名保证jwt没有被篡改
6.使用jwt
6.1 引入依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
6.2 生成token以及根据令牌和签名解析数据
public class JWTUtil {
//密钥
private static String KEY="12R48!UIE_E";
/**
* 生成token
* @param map 传入payload
* @return token
*/
public static String getToken(Map<String,String> map){
JWTCreator.Builder builder = JWT.create();
map.forEach((k,v)->{
builder.withClaim(k,v);
});
Calendar instance = Calendar.getInstance();
instance.add(Calendar.DATE,7);
builder.withExpiresAt(instance.getTime());
return builder.sign(Algorithm.HMAC256(KEY));
}
/**
* 根据令牌和签名解析数据,返回验签之后的结果 验签失败 抛出异常
*
* SignatureVerificationException 签名不一致
* TokenExpiredException 令牌过期
* AlgorithmMismatchException 算法不匹配
* InvalidClaimException 失败的payload异常
*
* @param token 解码之后的token 包含可以使用的信息
* @return
*/
public static DecodedJWT verify(String token){
return JWT.require(Algorithm.HMAC256(KEY)).build().verify(token);
}
}
二 Springboot整合jwt
结合拦截器对每个接口验证
拦截器
配置
业务操作
@PutMapping
public Map<String,Object> test(HttpServletRequest request){
Map<String,Object> map= new HashMap<>();
String token = request.getHeader("token");
DecodedJWT verify = JwtUtil(token);
System.out.println("用户id:"+verify.getClaim("id").asString());
System.out.println("用户名:"+verify.getClaim("name").asString());
//自己逻辑业务处理
map.put("state",true);
map.put("msg","请求成功");
return map;
}
注意:对于单体应用直接是使用拦截器即可,对于分布式引用在网关中解决