JSON Web Token(缩写 JWT) 目前最流行、最常见的跨域认证解决方案,前端后端都需要会使用的东西
JSON Web Token(缩写 JWT)是目前最流行,也是最常见的跨域认证解决方案。无论是咱们后端小伙伴,还是前端小伙伴对都是需要了解。
本文介绍它的原理、使用场景、用法。
一、跨域认证的问题
1.1、常见的前后端认证方式
- Session-Cookie
- Token 验证(包括JWT,SSO)
- OAuth2.0(开放授权)
1.2、Session-Cookie实现方式
流程大致如下:
1、用户向服务器发送用户名和密码。
2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
3、服务器向用户返回一个session_id,写入用户的Cookie。
4、用户随后的每一次请求,都会通过Cookie,将session_id传回服务器。
5、服务器收到session_id,找到前期保存的数据,由此得知用户的身份。
这种模式在单机时不存在什么问题,但是一旦服务器变为集群模式时,或者是跨域的服务器时,这个时候Session就必须实现数据共享。
这个时候就要考虑每台服务器如何实现对Session的数据共享呢??
- 第一种解决方式就是实现Session数据的持久化。各种服务收到请求时,都向数据持久层请求数据,来验证是否是正确的用户。但其实无论我们将Session存放在服务器哪里,都会增加服务器的负担。这种方案优点就是简单,缺点就是扩展性不好,安全性较差,容易增加服务器的负担。
- 第二种解决方式其实就是JWT的方式实现的,所有的数据不在保存到服务器端,而是保存到客户端,每次请求时都携带上Token令牌。
二、什么是 JWT ?
根据官网介绍:
JSON Web Token (JWT) 是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
简单来理解就是 JWT 就是一个JSON对象经过加密和签名的,可以在网络中安全的传输信息,并且可以被验证和信任。
2.1、什么时候应该使用 JWT ?
我目前用的最多的地方就是在授权方面,这也是 JWT 最常见的场景,其次还可以用来交换信息。
授权例子:
用户登录后,服务器端返回一个JWT,用户保存在本地,之后的每次请求都将包含JWT,服务器验证用户携带的JWT,来判断是否允许访问服务和资源。
另外,单点登录(SSO)也是当今广泛使用JWT的一项功能,就是在A网站登录后,在B网站也能够实现自动登录,而不需要重复登录,如你在淘宝登录了,在身份没有过期前,你去看天猫网站,也会发现你已经登录了。
简而言之:用户只需要登录一次就可以访问所有相互信任的应用系统。并且能够轻松跨不同域使用,服务器也不需要存储session相关信息,减轻了负担。
2.2、JWT 原理
其实 JWT 的原理就是,服务器认证以后,将一个 JSON 对象加密成一个紧凑的字符串(Token),发回给用户,就像下面这样。
// JSON 对象
{
"姓名": "王五",
"角色": "管理员",
"到期时间": "2021年9月21日0点0分"
}
//加密后
eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ1c2VybmFtZSIsIm5iZiI6MTYzMjI3NzU1NCwiaXNzIjoiY3J1c2giLCJleHAiOjE2MzIyNzc2NTQsImRlbW8iOiLlj6_lrZjlgqjkv6Hmga8iLCJpYXQiOjE2MzIyNzc1NTQsImRlbW8yIjoi5Y-v5a2Y5YKo5L-h5oGvMiJ9.OuqG5Ha_Ofmh5R9Et1vqLYSAlIO85oW9D9Jq9cKKYODO643ZLiDTyQs8dl3PLsZ-_5t0xv6kfKhCzCkCYznBNA
在认证之后,用户和服务器通信时,每次都会携带上这个Token。服务器端不再存储session信息,完全依靠用户携带的Token来判断用户身份。为了安全,服务器在生成Token的时候,都会加上一个数字签名。
这样做的优势:服务器不需要再保存 session数据,减轻了服务器负担,并且基于 JWT 认证机制的应用不需要去考虑用户在哪一台服务器登录,为应用的扩展提供了便利。
2.3、JWT 数据结构
JSON Web Tokens 由用点 (.)分隔的三个部分组成,它们是:
- Header(头部)
- Payload(负载)
- Signature(签名)
因此,JWT 通常如下所示。注意:实际上是未分行的,这里是为了便于展示。
xxxxx.yyyyy.zzzzz
如:
eyJhbGciOiJIUzUxMiJ9.
eyJzdWIiOiJ1c2VybmFtZSIsIm5iZiI6MTYzMjI3NzU1NCwiaXNzIjoiY3J1c2giLCJleHAiOjE2MzIyNzc2NTQsImRlbW8iOiLlj6_lrZjlgqjkv6Hmga8iLCJpYXQiOjE2MzIyNzc1NTQsImRlbW8yIjoi5Y-v5a2Y5YKo5L-h5oGvMiJ9.
OuqG5Ha_Ofmh5R9Et1vqLYSAlIO85oW9D9Jq9cKKYODO643ZLiDTyQs8dl3PLsZ-_5t0xv6kfKhCzCkCYznBNA
2.3.1、Header (标题)
jwt的头部承载两部分信息:
- 声明类型,这里是jwt
- 声明加密的算法 通常直接使用 HMAC SHA256
Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
{ "alg": "HS256", "typ": "JWT" }
上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
2.3.2、Payload(有效载荷)
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题 jwt所面向的用户
- aud (audience):受众 接收jwt的一方
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号,jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
2.3.3、Signature(签名)
Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256
(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret
)
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
注意:签名用于验证消息在此过程中没有更改,并且在使用私钥签名的令牌的情况下,它还可以验证 JWT 的发送者是它所说的人。secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证的关键,所以,它就是我们服务端的私钥,在任何场景都不应该泄露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了,那么安全将不复存在。
2.3.4、 Base64URL
前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。
JWT 作为一个令牌(token),有些场合可能会 放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_。这就是 Base64URL 算法。
2.4、JWT工具类
相关依赖:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
如果是Jdk11使用的话,可能会报这样的一个错误:
Exception in thread "main" java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter
at io.jsonwebtoken.impl.Base64Codec.decode(Base64Codec.java:26)
at io.jsonwebtoken.impl.DefaultJwtBuilder.signWith(DefaultJwtBuilder.java:99)
at com.crush.jwt.utils.JwtUtils.createJwt(JwtUtils.java:47)
at com.crush.jwt.utils.JwtUtils.main(JwtUtils.java:127)
Caused by: java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter
at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:581)
at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:178)
at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:521)
... 4 more
好像是因为Jdk11中没有这个类了,得加上下面这样的一个依赖:
<dependency>
<groupId>javax.xml.bind</groupId>
<artifactId>jaxb-api</artifactId>
<version>2.3.0</version>
</dependency>
工具类
import io.jsonwebtoken.*;
import java.util.Date;
import java.util.HashMap;
/**
* @Author: crush
* @Date: 2021-09-21 22:18
* version 1.0
*/
public class JwtUtils {
/**
* 服务器端密钥
*/
private static final String SECRET = "jwtsecretdemo";
/**
* 颁发者
*/
private static final String ISS = "crush";
/**
* 这里创建用到的时间、用户名、应该是传入进来的,
* 登录时选择是否记住我,过期时间应当是不一致的。
* @return
*/
public static String createJwt() {
HashMap<String, Object> map = new HashMap<>();
map.put("demo", "可存储信息");
map.put("demo2","可存储信息2");
String jwt = Jwts.builder()
.setClaims(map)
// jwt所面向的用户
.setSubject("username")
//设置颁发者
.setIssuer(ISS)
// 定义在什么时间之前,该jwt都是不可用的.
.setNotBefore(new Date())
//签发时间
.setIssuedAt(new Date())
//设置 JWT 声明exp (到期)值
.setExpiration(new Date(System.currentTimeMillis() + 100000))
.signWith(SignatureAlgorithm.HS512, SECRET)
//实际构建 JWT 并根据JWT 紧凑序列化 规则将其序列化为紧凑的、URL 安全的字符串。
.compact();
return jwt;
}
/**
* 获取 Claims 实例
* Claims :一个 JWT声明集 。
* 这最终是一个 JSON 映射,可以向其中添加任何值,但为了方便起见,JWT 标准名称作为类型安全的 getter 和 setter 提供。
* 因为这个接口扩展了Map<String, Object> , 如果您想添加自己的属性,只需使用 map 方法,
* 例如:
* claims.put("someKey", "someValue");
*
* @param jwt
* @return
*/
public static Claims getBody(String jwt) {
return Jwts.parser()
.setSigningKey(SECRET)
.parseClaimsJws(jwt)
.getBody();
}
/**
* 判断 JWT 是否已过期
*
* @param jwt
* @return
*/
public static boolean isExpiration(String jwt) {
return getBody(jwt)
//返回 JWT exp (到期)时间戳,如果不存在则返回null 。
.getExpiration()
//测试此日期是否在指定日期之前。
.before(new Date());
}
/**
* Subject:获取 jwt 所面向的用户
*
* @param jwt
* @return
*/
public static String getSubject(String jwt) {
return getBody(jwt).getSubject();
}
/**
* Issuer:获取颁发者
*
* @param jwt
* @return
*/
public static String getIssuer(String jwt) {
return getBody(jwt).getIssuer();
}
/**
* getClaimsValue
*
* @param jwt
* @return
*/
public static String getClaimsValue(String jwt) {
return (String) getBody(jwt).get("demo");
}
/**
* getClaimsValue
*
* @param jwt
* @return
*/
public static String getClaimsValue2(String jwt) {
return (String) getBody(jwt).get("demo2");
}
public static void main(String[] args) {
String jwt = createJwt();
System.out.println(jwt);
System.out.println("jwt 是否已经过期:"+isExpiration(jwt));
System.out.println("Claims 中所存储信息:"+getBody(jwt).toString());
System.out.println("jwt 所面向的用户:"+getSubject(jwt));
System.out.println("jwt 颁发者:"+getIssuer(jwt));
System.out.println("通过键值,取出我们自己放进 Jwt 中的信息:"+getClaimsValue(jwt));
System.out.println("通过键值,取出我们自己放进 Jwt 中的信息2:"+getClaimsValue2(jwt));
}
}
三、如何应用
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。
Authorization: Bearer <token>
一般是在请求头里加入Authorization,并加上Bearer标注:
fetch('api/user/1', {
headers: {
'Authorization': 'Bearer ' + token
}
})
服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:
实际使用过程中,我们通常是结合着Security安全框架一起使用的。
也可以直接看源码:Security-Gitee
四、总结
4.1、优点:
- 因为json的通用性,JWT支持多语言,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
- 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
- 可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
- 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
- 它不需要在服务端保存会话信息, 所以它易于应用的扩展
4.2、安全相关:
- 保护好secret私钥,该私钥非常重要。如果密钥泄露,用户自己即可颁布JWT令牌,安全将不复存在。
- 如果条件允许,JWT 不应该使用 HTTP 协议明码传输,而是要使用 HTTPS 协议传输。Https协议更安全。
- JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
4.3、缺点:
- JWT 的最大优点是不需要在服务端保存会话信息,最大的缺点也是如此,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效。
湘公网安备 43102202000103号