JWT介紹
JSON Web Token(JWT)是一個非常輕巧的規范。這個規范允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。
一個JWT實際上就是一個字符串,它由三部分組成,頭部、載荷與簽名。
頭部(Header)
頭部用於描述關於該JWT的最基本的信息,例如其類型以及簽名所用的算法等。這也可以被表示成一個JSON對象。
{"typ":"JWT","alg":"HS256"}
在頭部指明了簽名算法是HS256算法。 我們進行BASE64編碼http://base64.xpcha.com/,編碼后的字符串如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
小知識:Base64是一種基於64個可打印字符來表示二進制數據的表示方法。由於2的6次方等於64,所以每6個比特為一個單元,對應某個可打印字符。三個字節有24個比特,對應於4個Base64單元,即3個字節需要用4個可打印字符來表示。JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder,用它們可以非常方便的完成基於 BASE64 的編碼和解碼
載荷(playload)
載荷就是存放有效信息的地方。這個名字像是特指飛機上承載的貨品,這些有效信息包含三個部分
(1)標准中注冊的聲明(建議但不強制使用)
iss: jwt簽發者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大於簽發時間
nbf: 定義在什么時間之前,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份標識,主要用來作為一次性token。
(2)公共的聲明
公共的聲明可以添加任何的信息,一般添加用戶的相關信息或其他業務需要的必要信息.但不建議添加敏感信息,因為該部分在客戶端可解密.
(3)私有的聲明
私有聲明是提供者和消費者所共同定義的聲明,一般不建議存放敏感信息,因為base64是對稱解密的,意味着該部分信息可以歸類為明文信息。
這個指的就是自定義的claim。比如前面那個結構舉例中的admin和name都屬於自定的claim。這些claim跟JWT標准規定的claim區別在於:JWT規定的claim,JWT的接收方在拿到JWT之后,都知道怎么對這些標准的claim進行驗證(還不知道是否能夠驗證);而private claims不會驗證,除非明確告訴接收方要對這些claim進行驗證以及規則才行。
定義一個payload:
{"sub":"1234567890","name":"John Doe","admin":true}
然后將其進行base64加密,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
簽證(signature)
jwt的第三部分是一個簽證信息,這個簽證信息由三部分組成:
header (base64后的)
payload (base64后的)
secret
這個部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串,然后通過header中聲明的加密方式進行加鹽secret組合加密,然后就構成了jwt的第三部分。
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
將這三部分用.連接成一個完整的字符串,構成了最終的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服務器端的,jwt的簽發生成也是在服務器端的,secret就是用來進行jwt的簽發和jwt的驗證,所以,它就是你服務端的私鑰,在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味着客戶端是可以自我簽發jwt了。
JJWT簽發與驗證token
官方文檔:
JWT的快速入門:
(1)新建項目中的pom.xml中添加依賴:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
(2) 創建測試類,代碼如下
public class TestJWT { //這是我們的密鑰,加密和解密都需要使用 private final static String keywords="itcast"; @Test public void testCreate(){ long currentTimeMillis = System.currentTimeMillis(); //創建jwt JwtBuilder builder = Jwts.builder() .setId(UUID.randomUUID().toString()) //設置唯一編號 .setSubject("菜鳥攻城獅") //設置主題 可以是JSON數據 .setIssuedAt(new Date()) //設置簽發日期 .setExpiration(new Date(currentTimeMillis+50000)) //設置過期時間
.claim("roles","管理員")//自定義claim,設置角色
.signWith(SignatureAlgorithm.HS256,keywords);//設置簽名 使用HS256算法,並設置SecretKey(字符串)
//構建 並返回一個字符串 System.out.println(builder.compact()); }
運行打印結果:
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y
再次運行,會發現每次運行的結果是不一樣的,因為我們的載荷中包含了時間。
2 解析token
我們剛才已經創建了token ,在web應用中這個操作是由服務端進行然后發給客戶端,客戶端在下次向服務端發送請求時需要攜帶這個token(這就好像是拿着一張門票一樣),那服務端接到這個token 應該解析出token中的信息(例如用戶id),根據這些信息查詢數據庫返回相應的結果。
@Test public void testParser(){ String compactJwt = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI5ODEwNjZkNS1kOTkwLTQ1NWQtOWJhNy0zNGYyZjlhNjA2ODYiLCJzdWIiOiLpu5HpqaznqIvluo_lkZgiLCJpYXQiOjE1NjU2ODM4MDcsImV4cCI6MTU2NTY4Mzg1NX0.efXeiB1EcXPjRO-ZkE7Xm2gvhY7EUd-uLiUFFZkJ0YE"; Claims claims = Jwts.parser().setSigningKey(keywords).parseClaimsJws(compactJwt).getBody(); System.out.println(claims); }
{jti=888, sub=小白, iat=1557904181}
當前時間超過過期時間,則會報錯。
4 自定義claims
我們剛才的例子只是存儲了id和subject兩個信息,如果你想存儲更多的信息(例如角色)可以定義自定義claims。
創建測試類,並設置測試方法:
創建token:代碼都寫在上邊了,標紅的claim就是。