JSON Web Token(缩写 JWT)是目前最流行,也是最常见的跨域认证解决方案。无论是咱们后端小伙伴,还是前端小伙伴对都是需要了解。
本文介绍它的原理、使用场景、用法。
流程大致如下:
1、用户向服务器发送用户名和密码。
2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
3、服务器向用户返回一个session_id,写入用户的Cookie。
4、用户随后的每一次请求,都会通过Cookie,将session_id传回服务器。
5、服务器收到session_id,找到前期保存的数据,由此得知用户的身份。
这种模式在单机时不存在什么问题,但是一旦服务器变为集群模式时,或者是跨域的服务器时,这个时候Session就必须实现数据共享。
这个时候就要考虑每台服务器如何实现对Session的数据共享呢??
根据官网介绍:
JSON Web Token (JWT) 是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
简单来理解就是 JWT 就是一个JSON对象经过加密和签名的,可以在网络中安全的传输信息,并且可以被验证和信任。
我目前用的最多的地方就是在授权方面,这也是 JWT 最常见的场景,其次还可以用来交换信息。
授权例子:
用户登录后,服务器端返回一个JWT,用户保存在本地,之后的每次请求都将包含JWT,服务器验证用户携带的JWT,来判断是否允许访问服务和资源。
另外,单点登录(SSO)也是当今广泛使用JWT的一项功能,就是在A网站登录后,在B网站也能够实现自动登录,而不需要重复登录,如你在淘宝登录了,在身份没有过期前,你去看天猫网站,也会发现你已经登录了。
简而言之:用户只需要登录一次就可以访问所有相互信任的应用系统。并且能够轻松跨不同域使用,服务器也不需要存储session相关信息,减轻了负担。
其实 JWT 的原理就是,服务器认证以后,将一个 JSON 对象加密成一个紧凑的字符串(Token),发回给用户,就像下面这样。
- // JSON 对象
- {
- "姓名": "王五",
- "角色": "管理员",
- "到期时间": "2021年9月21日0点0分"
- }
- //加密后
- eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ1c2VybmFtZSIsIm5iZiI6MTYzMjI3NzU1NCwiaXNzIjoiY3J1c2giLCJleHAiOjE2MzIyNzc2NTQsImRlbW8iOiLlj6_lrZjlgqjkv6Hmga8iLCJpYXQiOjE2MzIyNzc1NTQsImRlbW8yIjoi5Y-v5a2Y5YKo5L-h5oGvMiJ9.OuqG5Ha_Ofmh5R9Et1vqLYSAlIO85oW9D9Jq9cKKYODO643ZLiDTyQs8dl3PLsZ-_5t0xv6kfKhCzCkCYznBNA
-
在认证之后,用户和服务器通信时,每次都会携带上这个Token。服务器端不再存储session信息,完全依靠用户携带的Token来判断用户身份。为了安全,服务器在生成Token的时候,都会加上一个数字签名。
这样做的优势:服务器不需要再保存 session数据,减轻了服务器负担,并且基于 JWT 认证机制的应用不需要去考虑用户在哪一台服务器登录,为应用的扩展提供了便利。
JSON Web Tokens 由用点 (.)分隔的三个部分组成,它们是:
因此,JWT 通常如下所示。注意:实际上是未分行的,这里是为了便于展示。
- xxxxx.yyyyy.zzzzz
- 如:
- eyJhbGciOiJIUzUxMiJ9.
- eyJzdWIiOiJ1c2VybmFtZSIsIm5iZiI6MTYzMjI3NzU1NCwiaXNzIjoiY3J1c2giLCJleHAiOjE2MzIyNzc2NTQsImRlbW8iOiLlj6_lrZjlgqjkv6Hmga8iLCJpYXQiOjE2MzIyNzc1NTQsImRlbW8yIjoi5Y-v5a2Y5YKo5L-h5oGvMiJ9.
- OuqG5Ha_Ofmh5R9Et1vqLYSAlIO85oW9D9Jq9cKKYODO643ZLiDTyQs8dl3PLsZ-_5t0xv6kfKhCzCkCYznBNA
-
jwt的头部承载两部分信息:
Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
- {
- "alg": "HS256",
- "typ": "JWT"
- }
-
上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题 jwt所面向的用户
- aud (audience):受众 接收jwt的一方
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号,jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
- {
- "sub": "1234567890",
- "name": "John Doe",
- "admin": true
- }
-
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
- HMACSHA256
- (
- base64UrlEncode(header) + "." +
- base64UrlEncode(payload),
- secret
- )
-
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
注意:签名用于验证消息在此过程中没有更改,并且在使用私钥签名的令牌的情况下,它还可以验证 JWT 的发送者是它所说的人。secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证的关键,所以,它就是我们服务端的私钥,在任何场景都不应该泄露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了,那么安全将不复存在。
前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。
JWT 作为一个令牌(token),有些场合可能会 放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_。这就是 Base64URL 算法。
相关依赖:
- <dependency>
- <groupId>io.jsonwebtoken</groupId>
- <artifactId>jjwt</artifactId>
- <version>0.9.0</version>
- </dependency>
-
如果是Jdk11使用的话,可能会报这样的一个错误:
- Exception in thread "main" java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter
- at io.jsonwebtoken.impl.Base64Codec.decode(Base64Codec.java:26)
- at io.jsonwebtoken.impl.DefaultJwtBuilder.signWith(DefaultJwtBuilder.java:99)
- at com.crush.jwt.utils.JwtUtils.createJwt(JwtUtils.java:47)
- at com.crush.jwt.utils.JwtUtils.main(JwtUtils.java:127)
- Caused by: java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter
- at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:581)
- at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:178)
- at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:521)
- ... 4 more
-
好像是因为Jdk11中没有这个类了,得加上下面这样的一个依赖:
- <dependency>
- <groupId>javax.xml.bind</groupId>
- <artifactId>jaxb-api</artifactId>
- <version>2.3.0</version>
- </dependency>
-
工具类
- import io.jsonwebtoken.*;
-
- import java.util.Date;
- import java.util.HashMap;
-
- /**
- * @Author: crush
- * @Date: 2021-09-21 22:18
- * version 1.0
- */
- public class JwtUtils {
-
- /**
- * 服务器端密钥
- */
- private static final String SECRET = "jwtsecretdemo";
-
- /**
- * 颁发者
- */
- private static final String ISS = "crush";
-
-
- /**
- * 这里创建用到的时间、用户名、应该是传入进来的,
- * 登录时选择是否记住我,过期时间应当是不一致的。
- * @return
- */
- public static String createJwt() {
- HashMap<String, Object> map = new HashMap<>();
- map.put("demo", "可存储信息");
- map.put("demo2","可存储信息2");
- String jwt = Jwts.builder()
- .setClaims(map)
- // jwt所面向的用户
- .setSubject("username")
- //设置颁发者
- .setIssuer(ISS)
- // 定义在什么时间之前,该jwt都是不可用的.
- .setNotBefore(new Date())
- //签发时间
- .setIssuedAt(new Date())
- //设置 JWT 声明exp (到期)值
- .setExpiration(new Date(System.currentTimeMillis() + 100000))
- .signWith(SignatureAlgorithm.HS512, SECRET)
- //实际构建 JWT 并根据JWT 紧凑序列化 规则将其序列化为紧凑的、URL 安全的字符串。
- .compact();
- return jwt;
- }
-
- /**
- * 获取 Claims 实例
- * Claims :一个 JWT声明集 。
- * 这最终是一个 JSON 映射,可以向其中添加任何值,但为了方便起见,JWT 标准名称作为类型安全的 getter 和 setter 提供。
- * 因为这个接口扩展了Map<String, Object> , 如果您想添加自己的属性,只需使用 map 方法,
- * 例如:
- * claims.put("someKey", "someValue");
- *
- * @param jwt
- * @return
- */
- public static Claims getBody(String jwt) {
- return Jwts.parser()
- .setSigningKey(SECRET)
- .parseClaimsJws(jwt)
- .getBody();
- }
-
-
- /**
- * 判断 JWT 是否已过期
- *
- * @param jwt
- * @return
- */
- public static boolean isExpiration(String jwt) {
- return getBody(jwt)
- //返回 JWT exp (到期)时间戳,如果不存在则返回null 。
- .getExpiration()
- //测试此日期是否在指定日期之前。
- .before(new Date());
- }
-
- /**
- * Subject:获取 jwt 所面向的用户
- *
- * @param jwt
- * @return
- */
- public static String getSubject(String jwt) {
- return getBody(jwt).getSubject();
- }
-
- /**
- * Issuer:获取颁发者
- *
- * @param jwt
- * @return
- */
- public static String getIssuer(String jwt) {
- return getBody(jwt).getIssuer();
- }
-
- /**
- * getClaimsValue
- *
- * @param jwt
- * @return
- */
- public static String getClaimsValue(String jwt) {
- return (String) getBody(jwt).get("demo");
- }
-
- /**
- * getClaimsValue
- *
- * @param jwt
- * @return
- */
- public static String getClaimsValue2(String jwt) {
- return (String) getBody(jwt).get("demo2");
- }
-
- public static void main(String[] args) {
- String jwt = createJwt();
- System.out.println(jwt);
- System.out.println("jwt 是否已经过期:"+isExpiration(jwt));
- System.out.println("Claims 中所存储信息:"+getBody(jwt).toString());
- System.out.println("jwt 所面向的用户:"+getSubject(jwt));
- System.out.println("jwt 颁发者:"+getIssuer(jwt));
- System.out.println("通过键值,取出我们自己放进 Jwt 中的信息:"+getClaimsValue(jwt));
- System.out.println("通过键值,取出我们自己放进 Jwt 中的信息2:"+getClaimsValue2(jwt));
- }
- }
-
-
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。
- Authorization: Bearer <token>
-
一般是在请求头里加入Authorization,并加上Bearer标注:
- fetch('api/user/1', {
- headers: {
- 'Authorization': 'Bearer ' + token
- }
- })
-
服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:
实际使用过程中,我们通常是结合着Security安全框架一起使用的。
也可以直接看源码:Security-Gitee
湘公网安备 43102202000103号
