什么是jwt?
JSON Web Token (JWT),它是目前最流行的跨域身份驗證解決方案
JWT的工作原理
1. 是在服務器身份驗證之后,將生成一個JSON對象並將其發送回用戶,示例如下:
{"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:56"}
2. 之后,當用戶與服務器通信時,客戶在請求中發回JSON對象
3. 為了防止用戶篡改數據,服務器將在生成對象時添加簽名,並對發回的數據進行驗證
為什么使用JWT
1、jwt基於json,非常方便解析。
2、可以在令牌中自定義豐富的內容,易擴展。
3、通過非對稱加密算法及數字簽名技術,JWT防止篡改,安全性高。
4、資源服務使用JWT可不依賴認證服務即可完成授權。
我們可以來做個對比:
一般傳統開發模式是依賴session的,進行操作時都要去訪問一下session;
眾所周知,session是跟着tomcat走的,也就是說,瀏覽器訪問網址跟前端掛鈎,那么就存在一個確定缺陷,瀏覽器可以隨意訪問任何組件;
對系統的保護的很不利的,所以這個時候jwt出現了!
圖解:
后端:
前端:
JWT的組成
它是針對於傳統開發的模式所出現的問題進行維護的
一個JWT實際上就是一個字符串,它由三部分組成:
- 頭部(Header)
- 載荷(Payload)
- 簽名(signature)
jwt的機制見圖解:
jwt它實際長啥樣呢
eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NjYwMTQ2MzgsImlhdCI6MTU2NjAxMjgzOCwiYWdlIjoxOCwianRpIjoiZGFjOTlmNDQ3MGVhNDc3ODhiMzAyNTM4YjdmNmE5ZWEiLCJ1c2VybmFtZSI6InpzcyJ9.9kFQ2c5nEbQRoyQXTc_2goW7r0D5oAjLrXDX3ae-4bA
對沒錯,就這個亞子;它其實時根據(.)去把這段指令分為三部分
-
Header
這個json中的typ屬性,用來標識整個token字符串是一個JWT字符串;它的alg屬性,用來說明這個JWT簽發的時候所使用的簽名和摘要算法
typ跟alg屬性的全稱其實是type跟algorithm,分別是類型跟算法的意思。之所以都用三個字母來表示,也是基於JWT最終字串大小的考慮,
同時也是跟JWT這個名稱保持一致,這樣就都是三個字符了…typ跟alg是JWT中標准中規定的屬性名稱
-
Payload
payload用來承載要傳遞的數據,它的json結構實際上是對JWT要傳遞的數據的一組聲明,這些聲明被JWT標准稱為claims,
它的一個“屬性值對”其實就是一個claim(要求),
每一個claim的都代表特定的含義和作用。
-
signature
簽名是把header和payload對應的json結構進行base64url編碼之后得到的兩個串用英文句點號拼接起來,
然后根據header里面alg指定的簽名算法生成出來的。
算法不同,簽名結果不同。以alg: HS256為例來說明前面的簽名如何來得到。
JWT的驗證
-
在pom.xml中導入相關依賴
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
JwtUtil工具類
public class JwtUtils { /** * JWT_WEB_TTL:WEBAPP應用中token的有效時間,默認30分鍾 */ public static final long JWT_WEB_TTL = 30 * 60 * 1000; /** * 將jwt令牌保存到header中的key */ public static final String JWT_HEADER_KEY = "jwt"; // 指定簽名的時候使用的簽名算法,也就是header那部分,jjwt已經將這部分內容封裝好了。 private static final SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS256; private static final String JWT_SECRET = "f356cdce935c42328ad2001d7e9552a3";// JWT密匙 private static final SecretKey JWT_KEY;// 使用JWT密匙生成的加密key static { byte[] encodedKey = Base64.decodeBase64(JWT_SECRET); JWT_KEY = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES"); } private JwtUtils() { } /** * 解密jwt,獲得所有聲明(包括標准和私有聲明) * * @param jwt * @return * @throws Exception */ public static Claims parseJwt(String jwt) { Claims claims = Jwts.parser().setSigningKey(JWT_KEY).parseClaimsJws(jwt).getBody(); return claims; } /** * 創建JWT令牌,簽發時間為當前時間 * * @param claims * 創建payload的私有聲明(根據特定的業務需要添加,如果要拿這個做驗證,一般是需要和jwt的接收方提前溝通好驗證方式的) * @param ttlMillis * JWT的有效時間(單位毫秒),當前時間+有效時間=過期時間 * @return jwt令牌 */ public static String createJwt(Map<String, Object> claims, long ttlMillis) { // 生成JWT的時間,即簽發時間 long nowMillis = System.currentTimeMillis(); // 下面就是在為payload添加各種標准聲明和私有聲明了 // 這里其實就是new一個JwtBuilder,設置jwt的body JwtBuilder builder = Jwts.builder() // 如果有私有聲明,一定要先設置這個自己創建的私有的聲明,這個是給builder的claim賦值,一旦寫在標准的聲明賦值之后,就是覆蓋了那些標准的聲明的 .setClaims(claims) // 設置jti(JWT ID):是JWT的唯一標識,根據業務需要,這個可以設置為一個不重復的值,主要用來作為一次性token,從而回避重放攻擊。 // 可以在未登陸前作為身份標識使用 .setId(UUID.randomUUID().toString().replace("-", "")) // iss(Issuser)簽發者,寫死 // .setIssuer("zking") // iat: jwt的簽發時間 .setIssuedAt(new Date(nowMillis)) // 代表這個JWT的主體,即它的所有人,這個是一個json格式的字符串,可放數據{"uid":"zs"}。此處沒放 // .setSubject("{}") // 設置簽名使用的簽名算法和簽名使用的秘鑰 .signWith(SIGNATURE_ALGORITHM, JWT_KEY) // 設置JWT的過期時間 .setExpiration(new Date(nowMillis + ttlMillis)); return builder.compact(); } /** * 復制jwt,並重新設置簽發時間(為當前時間)和失效時間 * * @param jwt * 被復制的jwt令牌 * @param ttlMillis * jwt的有效時間(單位毫秒),當前時間+有效時間=過期時間 * @return */ public static String copyJwt(String jwt, Long ttlMillis) { Claims claims = parseJwt(jwt); // 生成JWT的時間,即簽發時間 long nowMillis = System.currentTimeMillis(); // 下面就是在為payload添加各種標准聲明和私有聲明了 // 這里其實就是new一個JwtBuilder,設置jwt的body JwtBuilder builder = Jwts.builder() // 如果有私有聲明,一定要先設置這個自己創建的私有的聲明,這個是給builder的claim賦值,一旦寫在標准的聲明賦值之后,就是覆蓋了那些標准的聲明的 .setClaims(claims) // 設置jti(JWT ID):是JWT的唯一標識,根據業務需要,這個可以設置為一個不重復的值,主要用來作為一次性token,從而回避重放攻擊。 // 可以在未登陸前作為身份標識使用 //.setId(UUID.randomUUID().toString().replace("-", "")) // iss(Issuser)簽發者,寫死 // .setIssuer("zking") // iat: jwt的簽發時間 .setIssuedAt(new Date(nowMillis)) // 代表這個JWT的主體,即它的所有人,這個是一個json格式的字符串,可放數據{"uid":"zs"}。此處沒放 // .setSubject("{}") // 設置簽名使用的簽名算法和簽名使用的秘鑰 .signWith(SIGNATURE_ALGORITHM, JWT_KEY) // 設置JWT的過期時間 .setExpiration(new Date(nowMillis + ttlMillis)); return builder.compact(); } }
JwtDome測試類
我們現在后台測試看是否能生成令牌並且運行對應語句
private SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSS"); @Test public void test1() {// 生成JWT Map<String, Object> claims = new HashMap<String, Object>(); claims.put("username", "zss"); claims.put("age", 18); String jwt = JwtUtils.createJwt(claims, JwtUtils.JWT_WEB_TTL); System.out.println(jwt); Claims parseJwt = JwtUtils.parseJwt(jwt); for (Map.Entry<String, Object> entry : parseJwt.entrySet()) { System.out.println(entry.getKey() + "=" + entry.getValue()); } Date d1 = parseJwt.getIssuedAt(); Date d2 = parseJwt.getExpiration(); System.out.println("令牌簽發時間:" + sdf.format(d1)); System.out.println("令牌過期時間:" + sdf.format(d2)); }
看控制台輸出是否成功:
注1:在驗證一個JWT的時候,簽名認證是每個實現庫都會自動做的,但是payload的認證是由使用者來決定的。因為JWT里面可能會包含一個自定義claim,
所以它不會自動去驗證這些claim,以jjwt-0.7.0.jar為例:
A 如果簽名認證失敗會拋出如下的異常:
io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.
即簽名錯誤,JWT的簽名與本地計算機的簽名不匹配
B JWT過期異常(403)
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2017-06-13T11:55:56Z. Current time: 2017-06-13T11:55:57Z, a difference of 1608 milliseconds. Allowed
現在我們來連接前端玩玩jwt
首先:在后台打開jwt令牌驗證功能
JwtFilter
public class JwtFilter implements Filter { // 排除的URL,一般為登陸的URL(請改成自己登陸的URL) private static String EXCLUDE = "^/vue/userAction_login\\.action?.*$"; private static Pattern PATTERN = Pattern.compile(EXCLUDE); private boolean OFF = false;// true關閉jwt令牌驗證功能 @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void destroy() { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; String path = req.getServletPath(); if (OFF || isExcludeUrl(path)) {// 登陸直接放行 chain.doFilter(request, response); return; } // 從客戶端請求頭中獲得令牌並驗證 String jwt = req.getHeader(JwtUtils.JWT_HEADER_KEY); Claims claims = this.validateJwtToken(jwt); if (null == claims) { // resp.setCharacterEncoding("UTF-8"); resp.sendError(403, "JWT令牌已過期或已失效"); return; } else { String newJwt = JwtUtils.copyJwt(jwt, JwtUtils.JWT_WEB_TTL); resp.setHeader(JwtUtils.JWT_HEADER_KEY, newJwt); chain.doFilter(request, response); } } /** * 驗證jwt令牌,驗證通過返回聲明(包括公有和私有),返回null則表示驗證失敗 */ private Claims validateJwtToken(String jwt) { Claims claims = null; try { if (null != jwt) { claims = JwtUtils.parseJwt(jwt); } } catch (Exception e) { e.printStackTrace(); } return claims; } /** * 是否為排除的URL * * @param path * @return */ private boolean isExcludeUrl(String path) { Matcher matcher = PATTERN.matcher(path); return matcher.matches(); } }
記得在useraction中加入jwt
現在我們來布置前端嘛,讓它體現出價值來
首先,咱們先在state.js中給他來個jwt變量嘛
然后分別在getters.js和mutations.js中定義getjwt和setjwt方法
在http.js中塞入jwt
在http.js的請求、響應攔截器中放進Jwt令牌
// 請求攔截器
axios.interceptors.request.use(function(config) { // 將jwt令牌放進request Headers里面
var jwt = window.vm.$store.getters.getJwt; config.headers['jwt'] = jwt; return config; }, function(error) { return Promise.reject(error); }); // 響應攔截器
axios.interceptors.response.use(function(response) { // 將jwt令牌放進response Headers里面 // debugger;
var jwt = response.headers['jwt']; if(jwt){ window.vm.$store.commit('setJwt',{jwt:jwt}); } return response; }, function(error) { return Promise.reject(error); }); export default axios;
最后一步在main.js中加入全局變量
運行效果:
你從登陸進去毫無問題,除了會報403的錯誤(兄弟,你的令牌過期咯)以外,基本上不會報錯啦
如果還報了其他錯,自己檢查代碼去我只能
這個是安安分分從登陸進來沒毛病的例子,如果手欠在當前頁面刷新咯那只能吃癟,啥數據也拿不到。
這就是jwt在其中發揮了作用,提高了系統的維護,不能隨意進入其他組件;
建議做項目時不用加入jwt后期維護時再加入,你懂的搞代碼的都很“和藹”
謝謝觀看!