jwt的结构:
一、令牌组成
1、标头(Header)
— 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如
HMAC,SHA256或RSA,它会使用Base64编码组成JWT结构的第一部分。
{
“alg”:“HS256”,
“typ”:”JWT”
}
2、有效载荷(Payload)
— 令牌的第二部分是有效负责,其中包含声明,声明是有关实体(通常是用户)
和其他数据的声明,同样的,它会使用Base64编码组成jwt结构的第二部分。
3、签名(Signature)
因此,jwt通常如下所示:xxxxxx.yyyyyyy.zzzzzz 即:Header.Payload.Signature
4、Signature
前端两部分使用Base64进行编码的,即前端可以解开知道连的信息,Signatrue需要
使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的
签名算法(HS256)进行签名,签名的作用是保证JWT没有被篡改过
如:
HMACSHA256(base64UrlEncode(header)*”.”+base64UrlEncode(payload).secret)
签名目的:
最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改,如果有人对头部
以及负载内容解码之后进行修改在进行编码,最后加上之前的签名组合形成新的jwt的话,那么服务器端会判断出新的头部和负载形成的签名和jwt附带的签名是不一样的,如果要对新的头部和负载进行签名,在不知道服务端加密时用的密钥的话,得出来的签名也是不一样的。
信息安全问题:
因为Base64是一种编码,是可逆的,所以在jwt中,不应该在负载里面加入任何敏感的数据,在上面的例子中,我们传输的是用户的username,id,这些值实际上不是敏感信息,一般情况下被知道也是安全的,但是像密码这样的内容就不能放到jwt中,如果将用户的密码放在jwt中,那么怀有恶意的第三方通过Base64解码就能很快地知道密码,因此jwt适合用于向web应用传输一些非密码信息,jwt还用来设计认证和授权系统,甚至实现单点登录。
放在一起:
输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,于基于xml的标准(SMAL)相比,更加紧凑。
—简洁(compact)
—可以通过URL,POST参数或者在HTTP header发送,因为数量小,传输速度快,
—-自包含(self-contained)
负载中包含了所有用户所需要的信息,避免了多次查询数据库。示例如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjU1Nzk3NTEsInVzZXJuYW1lIjoiYWRtaW4ifQ.talbN1BwHvSZS-k2urNTfkxF-nAq3guLtaQK5Oy2wEM
使用jwt生成一个token的测试类:
1、在springboot项目中添加jwt的依赖
<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
2、创建一个测试类
@Test
void contextLoads() {
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND,20);
// 标头的map参数可以穿也可以不传,他会有默认值
Map<String,Object> map = new HashMap<String,Object>();
String sign = JWT.create()
.withHeader(map)
.withClaim("userId", 1) //payload
.withClaim("username", "xiaochen")
.withExpiresAt(instance.getTime()) // 过期时间
.sign(Algorithm.HMAC256("kjkjk@"));// 签名
System.out.println(sign);
}
3、运行结果如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjU2NzAyODUsInVzZXJJZCI6MSwidXNlcm5hbWUiOiJ4aWFvY2hlbiJ9.VgdUGM_qSz4om0Xqu8RxcHPDURz4Ra7ZLgcgx7H_C9g
4、编写JWTUtil工具类
public class JWTUtil {
private static final String SING = "!QAZWSX234EDCRFV45TGB6YHNUJM78KKI";
/**
* 生成token,header.payload.sing
* @return
*/
public static String getToken(Map<String,String> map){
Calendar instance = Calendar.getInstance();
instance.add(Calendar.DATE,7); //默认7天过期
// 创建jwt builder
JWTCreator.Builder builder = JWT.create();
// 将map中的payload 放入
map.forEach((k,v)->{
builder.withClaim(k,v);
});
String token = builder.withExpiresAt(instance.getTime()) // 指定令牌过期时间
.sign(Algorithm.HMAC256(SING));// sign
return token;
}
/**
* 验证token 合法性
* @param token
*/
public static DecodedJWT verify(String token){
return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
}
}
5、springboot整合jwt
(1)、创建springboot项目,引入相关依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>6、编写测试登录接口,此接口如果用户密码没有问题,会返回token
@GetMapping("/user/login")
public Map<String,Object> login(String username, String password){
log.info("用户名:"+username+" 密码:"+password);
Map<String,Object> map = new HashMap<String,Object>();
UserInfo userInfo = new UserInfo();
userInfo.setUsername(username);
userInfo.setPassword(password);
try {
UserInfo login = userInfoService.login(userInfo);
Map<String,String> payload = new HashMap<>();
payload.put("id",login.getId()+"");
payload.put("name",login.getUsername());
// 生成jwt的令牌
String token = JWTUtils.getToken(payload);
map.put("state",true);
map.put("msg","认证成功");
map.put("token",token);
}catch (Exception e){
map.put("state",false);
map.put("msg",e.toString());
}
return map;
}
7、此接口正常返回值如下:
{"msg":"认证成功","state":true,"token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoibGFvd2FuZyIsImlkIjoiNSIsImV4cCI6MTYyNjcwNDQ1Mn0.zSkmjdWTJBig8tSRkzWF5FB65iJUL4PTohNgZaJqQSw"}8、编写测试token接口,此接口模拟的是一个有安全性要求的接口,必须验证用户登录才可以访问的接口。
@GetMapping(value = "/user/test")
public Map<String,Object> test(String token){
Map<String,Object> map = new HashMap<>();
log.info("输入的token为:{{}}",token);
try {
JWTUtils.verify(token);
map.put("state",true);
map.put("msg","请求成功!");
return map;
}catch (SignatureVerificationException e){
map.put("msg","无效签名!");
e.printStackTrace();
}catch (TokenExpiredException e){
map.put("msg","token过期!");
e.printStackTrace();
}catch (AlgorithmMismatchException e){
map.put("msg","token算法不一致");
e.printStackTrace();
}catch (Exception e){
map.put("msg","token无效!");
e.printStackTrace();
}
map.put("state",false);
return map;
}9、测试结果如下:
{"msg":"请求成功!","state":true}
{"msg":"无效签名!","state":false}
{"msg":"token过期!","state":false}
{"msg":"token算法不一致!","state":false}
{"msg":"token无效!","state":false}10、在实际的项目开发中,我们不可能每个接口中都去写验证token的代码,我们通常会将token验证的代码放在一个拦截器中,通过拦截器拦截所有请求,在拦截器中验证一个请求是否带有token即是否登录,下面在項目中創建一個带有intercept包,在此包下定义一个拦截器JWTIntercept。
@Slf4j
public class JWTIntercept implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader("token");
Map<String,Object> map = new HashMap<>();
log.info("输入的token为:{{}}",token);
try {
JWTUtils.verify(token);
return true;
}catch (SignatureVerificationException e){
map.put("msg","无效签名!");
e.printStackTrace();
}catch (TokenExpiredException e){
map.put("msg","token过期!");
e.printStackTrace();
}catch (AlgorithmMismatchException e){
map.put("msg","token算法不一致");
e.printStackTrace();
}catch (Exception e){
map.put("msg","token无效!");
e.printStackTrace();
}
map.put("state",false);
// 将map转为json,然后将map的json数据返回给前端
String jsonStr = new ObjectMapper().writeValueAsString(map);
response.setContentType("application/json;charset=UTF-8");
response.getWriter().println(jsonStr);
return false;
}
}11、創建一个config的包,在此包下创建一个拦截器的配置类InterceptConfig,此配置类用于让我们自定义的拦截器生效
@Configuration
public class InterceptConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new JWTIntercept())
.addPathPatterns("/user/test") // 正常情况下 拦截所有请求/**,因测试需要就先拦截/user/test
.excludePathPatterns("/user/login"); //放心登录接口,因为要通过登录获取token
}
}12、修改user/test接口,进行拦截器的验证
@GetMapping(value = "/user/test")
public Map<String,Object> test(String token){
Map<String,Object> map = new HashMap<>();
map.put("state",true);
map.put("msg","操作成功");
return map;
}13、验证方式
a、调用此接口,如果返回token无效,然后调用登录接口拿到token之后,将此token值放入请求头中,在调用test接口,如果返回操作成功则拦截器生效。