JWT珠漂,即JSON Web Token,是目前最流行的跨域認(rèn)證解決方案之一葛菇。
原理
1甘磨、用戶發(fā)送賬號(hào)密碼到服務(wù)器,服務(wù)器進(jìn)行認(rèn)證并生成一個(gè)JSON對(duì)象返回給用戶眯停。
{
"姓名": "張三",
"角色": "管理員",
"到期時(shí)間": "2020年8月10日8點(diǎn)30分"
}
2济舆、以后用戶和服務(wù)器進(jìn)行通信都要攜帶這個(gè)JSON對(duì)象,服務(wù)器通過這個(gè)對(duì)象來認(rèn)定用戶身份莺债。為防止用戶篡改數(shù)據(jù)滋觉,服務(wù)器生成對(duì)象時(shí)應(yīng)加上簽名。
3齐邦、服務(wù)器是無狀態(tài)的椎侠,不保存任何session數(shù)據(jù),以方便擴(kuò)展措拇。
數(shù)據(jù)結(jié)構(gòu)
JWT是一串長(zhǎng)字符串我纪,結(jié)構(gòu)分為以下三部分:
- 頭部(Header)
- 負(fù)載(Payload)
- 簽名(Signature)
每個(gè)部分之間都用.隔開。
Header
Header是一個(gè)JSON對(duì)象丐吓,用于描述JWT的元數(shù)據(jù)浅悉。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
Payload也是一個(gè)JSON對(duì)象,用于存放實(shí)際需要傳遞的數(shù)據(jù)券犁,規(guī)定了7個(gè)官方字段:
- iss (issuer):簽發(fā)人
- exp (expiration time):過期時(shí)間
- sub (subject):主題
- aud (audience):受眾
- nbf (Not Before):生效時(shí)間
- iat (Issued At):簽發(fā)時(shí)間
- jti (JWT ID):編號(hào)
除此之外术健,也可以在這個(gè)部分定義私有字段,盡量不要將私密信息存放在這個(gè)部分粘衬。
{
"sub": "1234567890",
"name": "wunian",
"admin": true
}
上述官方字段荞估,我們可以從Claims的實(shí)現(xiàn)類DefaultClaims的源碼中找到對(duì)應(yīng)的getter/setter方法咳促。
public class DefaultClaims extends JwtMap implements Claims {
public DefaultClaims() {
}
public DefaultClaims(Map<String, Object> map) {
super(map);
}
public String getIssuer() {
return this.getString("iss");//iss (issuer):簽發(fā)人
}
public Claims setIssuer(String iss) {
this.setValue("iss", iss);
return this;
}
public String getSubject() {
return this.getString("sub");//sub (subject):主題
}
public Claims setSubject(String sub) {
this.setValue("sub", sub);
return this;
}
public String getAudience() {
return this.getString("aud");//aud (audience):受眾
}
public Claims setAudience(String aud) {
this.setValue("aud", aud);
return this;
}
public Date getExpiration() {
return (Date)this.get("exp", Date.class);//exp (expiration time):過期時(shí)間
}
public Claims setExpiration(Date exp) {
this.setDate("exp", exp);
return this;
}
public Date getNotBefore() {
return (Date)this.get("nbf", Date.class);//nbf (Not Before):生效時(shí)間
}
public Claims setNotBefore(Date nbf) {
this.setDate("nbf", nbf);
return this;
}
public Date getIssuedAt() {
return (Date)this.get("iat", Date.class);//iat (Issued At):簽發(fā)時(shí)間
}
public Claims setIssuedAt(Date iat) {
this.setDate("iat", iat);
return this;
}
public String getId() {
return this.getString("jti");//jti (JWT ID):編號(hào)
}
public Claims setId(String jti) {
this.setValue("jti", jti);
return this;
}
//獲取用戶自己定義的claim主體信息字段
public <T> T get(String claimName, Class<T> requiredType) {
Object value = this.get(claimName);
if (value == null) {
return null;
} else {
if ("exp".equals(claimName) || "iat".equals(claimName) || "nbf".equals(claimName)) {
value = this.getDate(claimName);
}
return this.castClaimValue(value, requiredType);
}
}
//將claim參數(shù)的值轉(zhuǎn)換為想轉(zhuǎn)換的類型
private <T> T castClaimValue(Object value, Class<T> requiredType) {
if (requiredType == Date.class && value instanceof Long) {
value = new Date((Long)value);//Long類型轉(zhuǎn)換為日期類型
}
//Integer類型轉(zhuǎn)其他類型
if (value instanceof Integer) {
int intValue = (Integer)value;
if (requiredType == Long.class) {
value = (long)intValue;//轉(zhuǎn)換為long類型
} else if (requiredType == Short.class && -32768 <= intValue && intValue <= 32767) {
value = (short)intValue;//轉(zhuǎn)換為short類型
} else if (requiredType == Byte.class && -128 <= intValue && intValue <= 127) {
value = (byte)intValue;//轉(zhuǎn)換為byte類型
}
}
if (!requiredType.isInstance(value)) {//未知的類型,直接報(bào)錯(cuò)
throw new RequiredTypeException("Expected value to be of type: " + requiredType + ", but was " + value.getClass());
} else {//其他類型轉(zhuǎn)換
return requiredType.cast(value);
}
}
}
Signature
Signature是對(duì)前兩個(gè)部分的簽名勘伺,防止數(shù)據(jù)被篡改跪腹。這里需要指定一個(gè)密鑰(secret),這個(gè)密鑰只有服務(wù)器知道娇昙,不能透露給用戶尺迂。然后,使用Header中指定的簽名算法(默認(rèn)是HMAC SHA256)冒掌,按照下面的公式產(chǎn)生簽名噪裕。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
計(jì)算得到簽名后,將Header股毫、Payload膳音、Signature三部分拼成一個(gè)字符串,每個(gè)部分之間用.分隔铃诬,然后將其返回給用戶祭陷。
JWT認(rèn)證簡(jiǎn)單實(shí)現(xiàn)
生成token
1、引入JWT依賴趣席。
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
2兵志、編寫token生成方法,傳入主體信息和密鑰宣肚,密鑰用于校驗(yàn)時(shí)解密想罕。
public static Map<String,Object> generateToken(String userId,String secret){
//過期時(shí)間
long EXPIRE=1000*60*60*24;
Map<String,Object> data = new HashMap<>(16);
Date expiration=new Date(System.currentTimeMillis() + EXPIRE);
String token = Jwts.builder()
.setHeaderParam("typ","JWT")//token的類型
.setHeaderParam("alg","HS256")//加密算法
.setExpiration(expiration)//過期時(shí)間
.setIssuedAt(new Date())//簽名時(shí)間,時(shí)間戳
.claim("userId",userId)//主體信息
.signWith(SignatureAlgorithm.HS256,secret)//使用密鑰進(jìn)行簽名加密
.compact();
//將token和過期時(shí)間返回給用戶
data.put("token",token);
data.put("expire_time",new SimpleDateFormat("yyyy-MM-dd HH:ss:mm").format(expiration));
return data;
}
校驗(yàn)token
編寫token校驗(yàn)方法霉涨,傳入token和密鑰進(jìn)行解密按价,token解密后返回一個(gè)Claims對(duì)象,其本質(zhì)上是一個(gè)Map對(duì)象笙瑟,我們可以從Claims對(duì)象中獲取主體信息(具體底層實(shí)現(xiàn)見前面DefaultClaims源碼)楼镐。
public static Claims validateTokenAndGetClaims(String token, String secret){
Claims claims = Jwts.parser()
.setSigningKey(secret)//使用密鑰對(duì)簽名進(jìn)行解密
.parseClaimsJws(token)//對(duì)token進(jìn)行解析
.getBody();//獲得主體信息
return claims;
}
這樣,我們就實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的JWT認(rèn)證往枷,是不是很簡(jiǎn)單呢框产!
