碼上歡樂
相關內容    簡體    繁體

JWT實現Token認證

本文轉載自   查看原文   2020-05-11 19:53   585 

JWT

基本概念

  一個token分3部分,按順序為

  • 頭部(header)
  • 其為載荷(payload)
  • 簽證(signature)
    由三部分生成token
    3部分之間用“.”號做分隔。例如
    eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTm8iOiJ1c2VyLTAwNmVmZWNlNzZjODQzM2Q4OTc0YzFhMmY5ODQyMmI2IiwiZXhwIjoxNTg5MjQ3NDk5fQ.YIEwajJvcR7MOkrZ0ZBdj9aXbD-G9LcS3TP7LCvtNTM

  頭部

  Jwt的頭部承載兩部分信息:

    • 聲明類型,這里是jwt
    • 聲明加密的算法 通常直接使用 HMAC SHA256
      JWT里驗證和簽名使用的算法,可選擇下面的。
JWS 算法名稱 描述
HS256 HMAC256 HMAC with SHA-256
HS384 HMAC384 HMAC with SHA-384
HS512 HMAC512 HMAC with SHA-512
RS256 RSA256 RSASSA-PKCS1-v1_5 with SHA-256
RS384 RSA384 RSASSA-PKCS1-v1_5 with SHA-384
RS512 RSA512 RSASSA-PKCS1-v1_5 with SHA-512
ES256 ECDSA256 ECDSA with curve P-256 and SHA-256
ES384 ECDSA384 ECDSA with curve P-384 and SHA-384
ES512 ECDSA512 ECDSA with curve P-521 and SHA-512

  使用代碼如下 
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");

playload

載荷就是存放有效信息的地方。基本上填2種類型數據

-標准中注冊的聲明的數據
-自定義數據
由這2部分內部做base64加密。最張數據進入JWT的chaims里存放。

標准中注冊的聲明 (建議但不強制使用)

iss: jwt簽發者

sub: jwt所面向的用戶

aud: 接收jwt的一方

exp: jwt的過期時間,這個過期時間必須要大於簽發時間

nbf: 定義在什么時間之前,該jwt都是不可用的.

iat: jwt的簽發時間

jti: jwt的唯一身份標識,主要用來作為一次性token,從而回避重放攻擊。

使用方法

 JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP")
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time

 

自定義數據

這個就比較簡單,存放我們想放在token中存放的key-value值
使用方法

 JWT.create().withHeader(map) // header
                .withClaim("name", "cy") // payload
                .withClaim("user_id", "11222");

  

簽名signature

jwt的第三部分是一個簽證信息,這個簽證信息算法如下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
這個部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串,然后通過header中聲明的加密方式進行加鹽secret組合加密,然后就構成了jwt的第三部分。

基本上至此,JWT的API相關知識已經學完了,但是API不夠有好,不停的用withClaim放數據。不夠友好。下面推薦一款框架JJWT,相當於對JWT的實現框架

JJWT

它是為了更友好在JVM上使用JWT,是基於JWT, JWS, JWE, JWK框架的java實現。
參考git地址

引入Maven依賴

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

新建JwtConstants 類,用於token的chaims保存有效信息字段名

public class JwtConstants {
    public static final String JWT_KEY_USER_ID = "uid";
}

新建JwtInfo 類,用於token的chaims保存有效信息

public class JwtInfo {

    private String uid;

    public JwtInfo(String uid) {
        this.uid = uid;
    }

    public String getUid() {
        return uid;
    }

    public void setUid(String uid) {
        this.uid = uid;
    }
}

新建JwtTokenUtils 工具類,用於token的生成和解析

package com.yibo.user.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.joda.time.DateTime;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;

/**
 * @author: huangyibo
 * @Date: 2019/1/13 22:37
 * @Description: 生成token的工具類
 */
public class JwtTokenUtils {

    private static Key getKeyInstance(){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] bytes = DatatypeConverter.parseBase64Binary("mall-user");
        return new SecretKeySpec(bytes,signatureAlgorithm.getJcaName());
    }

    /**
     * 生成token的方法
     * @param jwtInfo
     * @param expire
     * @return
     */
    public static String generatorToken(JwtInfo jwtInfo,int expire){
        return Jwts.builder().claim(JwtConstants.JWT_KEY_USER_ID,jwtInfo.getUid())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(SignatureAlgorithm.HS256,getKeyInstance()).compact();
    }

    /**
     * 根據token獲取token中的信息
     * @param token
     * @return
     */
    public static JwtInfo getTokenInfo(String token){
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(token);
        Claims claims = claimsJws.getBody();
        return new JwtInfo(claims.get(JwtConstants.JWT_KEY_USER_ID).toString());
    }
}

新建JwtTokenService服務類,調用其方法即可進行認證和授權使用

@Component
public class JwtTokenService {

    /**
     * token過期時間
     */
    private int expire = 6000;

    public String generatorToken(JwtInfo jwtInfo){
        return JwtTokenUtils.generatorToken(jwtInfo,expire);
    }

    public JwtInfo stringInfoFromToken(String token){
        return JwtTokenUtils.getTokenInfo(token);
    }
}

至此JWT的具體使用詳細介紹完畢,在項目中建議使用JJWT,因為其API友好。

上面將token中的載荷放在chaims中,其實chaims是JWT內部維持的一個存放有效信息的地方,不論使用任何API,最終都使用chaims保存信息。
setClaims有2個重載

  • JwtBuilder setClaims(Claims claims);
  • JwtBuilder setClaims(Map<String, Object> claims);
    不能就是說,我們也可以直接傳入map值對象。

擴展閱讀 :
簽發的用戶認證token超時刷新策略:https://blog.csdn.net/sinat_25235033/article/details/80324006

講真,別再使用JWT了:https://www.jianshu.com/p/af8360b83a9f


參考:
https://www.jianshu.com/p/d1644e281250
 
 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 JWT實現token認證 使用JWT實現Token認證 使用JWT實現Token認證 Django+JWT實現Token認證 基於JWT的token認證機制 Java基於JWT的token認證 PHP JWT token實現 JWT實現授權認證 springboot+jwt做api的token認證 jwt認證生成后的token后端解析
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM