如何基於JWT實現接口的授權訪問詳解
什麼是JWT
JWT(JSON Web Token)是一個開放標準(RFC 7519),它定義瞭一種緊湊且獨立的方式,可以在各個系統之間用JSON作為對象安全地傳輸信息,並且可以保證所傳輸的信息不會被篡改。
JWT通常有兩種應用場景:
- 授權。這是最常見的JWT使用場景。一旦用戶登錄,每個後續請求將包含一個JWT,作為該用戶訪問資源的令牌。
- 信息交換。可以利用JWT在各個系統之間安全地傳輸信息,JWT的特性使得接收方可以驗證收到的內容是否被篡改。
本文討論第一點,如何利用JWT來實現對API的授權訪問。這樣就隻有經過授權的用戶才可以調用API。
JWT的結構
JWT由三部分組成,用.分割開。
Header
第一部分為Header,通常由兩部分組成:令牌的類型,即JWT,以及所使用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}
Base64加密後,就變成瞭:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
第二部分為Payload,裡面可以放置自定義的信息,以及過期時間、發行人等。
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
Base64加密後,就變成瞭:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
Signature
第三部分為Signature,計算此簽名需要四部分信息:
- Header裡的算法信息
- Header
- Payload
- 一個自定義的秘鑰
接受到JWT後,利用相同的信息再計算一次簽名,然年與JWT中的簽名對比,如果不相同則說明JWT中的內容被篡改。
解碼後的JWT
將上面三部分都編碼後再合在一起就得到瞭JWT。
需要註意的是,JWT的內容並不是加密的,隻是簡單的Base64編碼。 也就是說,JWT一旦泄露,裡面的信息可以被輕松獲取,因此不應該用JWT保存任何敏感信息。
JWT是怎樣工作的
- 應用程序或客戶端向授權服務器請求授權。這裡的授權服務器可以是單獨的一個應用,也可以和API集成在同一個應用裡。
- 授權服務器向應用程序返回一個JWT。
- 應用程序將JWT放入到請求裡(通常放在HTTP的Authorization頭裡)
- 服務端接收到請求後,驗證JWT並執行對應邏輯。
在JAVA裡使用JWT
引入依賴
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
</dependency>
這裡使用瞭一個叫JJWT(Java JWT)的庫。
JWT Service
生成JWT
public String generateToken(String payload) {
return Jwts.builder()
.setSubject(payload)
.setExpiration(new Date(System.currentTimeMillis() + 10000))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
- 這裡設置過期時間為10秒,因此生成的JWT隻在10秒內能通過驗證。
- 需要提供一個自定義的秘鑰。
解碼JWT
public String parseToken(String jwt) {
return Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(jwt)
.getBody()
.getSubject();
}
解碼時會檢查JWT的簽名,因此需要提供秘鑰。
驗證JWT
public boolean isTokenValid(String jwt) {
try {
parseToken(jwt);
} catch (Throwable e) {
return false;
}
return true;
}
JWT並沒有提供判斷JWT是否合法的方法,但是在解碼非法JWT時會拋出異常,因此可以通過捕獲異常的方式來判斷是否合法。
註冊/登錄
@GetMapping("/registration")
public String register(@RequestParam String username, HttpServletResponse response) {
String jwt = jwtService.generateToken(username);
response.setHeader(JWT_HEADER_NAME, jwt);
return String.format("JWT for %s :\n%s", username, jwt);
}
- 需要為還沒有獲取到JWT的用戶提供一個這樣的註冊或者登錄入口,來獲取JWT。
- 獲取到響應裡的JWT後,要在後續的請求裡包含JWT,這裡放在請求的Authorization頭裡。
驗證JWT
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
chain.doFilter(request, response);
} else if (isTokenValid(jwt)) {
updateToken(httpServletResponse, jwt);
chain.doFilter(request, response);
} else {
httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
}
}
private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
String payload = jwtService.parseToken(jwt);
String newToken = jwtService.generateToken(payload);
httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
}
- 將驗證操作放在Filter裡,這樣除瞭登錄入口,其它的業務代碼將感覺不到JWT的存在。
- 將登錄入口放在WHITE_LIST裡,跳過對這些入口的驗證。
- 需要刷新JWT。如果JWT是合法的,那麼應該用同樣的Payload來生成一個新的JWT,這樣新的JWT就會有新的過期時間,用此操作來刷新JWT,以防過期。
- 如果使用Filter,那麼刷新的操作要在調用doFilter()之前,因為調用之後就無法再修改response瞭。
API
private final static String JWT_HEADER_NAME = "Authorization";
@GetMapping("/api")
public String testApi(HttpServletRequest request, HttpServletResponse response) {
String oldJwt = request.getHeader(JWT_HEADER_NAME);
String newJwt = response.getHeader(JWT_HEADER_NAME);
return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
}
這時候API就處於JWT的保護下瞭。API可以完全不用感知到JWT的存在,同時也可以主動獲取JWT並解碼,以得到JWT裡的信息。如上所示。
demo:github.com/Beginner258…
參考資料:jwt.io/
總結
到此這篇關於如何基於JWT實現接口的授權訪問的文章就介紹到這瞭,更多相關JWT接口的授權訪問內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- JWT登錄認證實戰模擬過程全紀錄
- Java過濾器doFilter裡chain.doFilter()函數的理解
- springboot過濾器和攔截器的實例代碼
- JavaWeb實現簡單的自動登錄功能
- Spring Boot詳解整合JWT教程