Java JWT實現跨域身份驗證方法詳解
1、JWT簡介
JWT(JSON Web Token)是目前流行的跨域認證解決方案,是一個開放標準(RFC 7519),它定義瞭一種緊湊的、自包含的方式,用於作為JSON對象在各方之間安全地傳輸信息。該信息可以被驗證和信任,因為它是數字簽名的。
2、JWT的結構
JWT是由頭部(header)、載荷(payload)、簽證(signature)三段信息構成的,將三段信息文本用"."連接在一起就構成瞭JWT字符串。
例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
使用在線校驗工具(https://jwt.io/)將上述Token進行解碼就可以看到數據,如下圖所示
2.1 頭部(header)
JWT的頭部承載兩部分信息:
(1)聲明類型:這裡主要是JWT。
(2)聲明加密算法:通常直接使用HMAC SHA256。
例如:
{
"alg": "HS256",
"typ": "JWT"
}
alg屬性表示簽名所使用的算法;
JWT簽名默認的算法為HMAC SHA256;
alg屬性值HS256就是HMAC SHA256算法;
type屬性表示令牌類型,這裡是JWT。
2.2 載荷(payload)
載荷是JWT的主體,同樣也是一個JSON對象。載荷包含三個部分:
(1)標準中的聲明(Registered Claims):一組預定義的聲明,不是強制的,但是推薦。
- iss(issuer):JWT簽發者
- sub(subject):JWT索所面向的用戶
- aud(audience):接收JWT的一方
- exp(expiration):JWT的過期時間,必須要大於簽發時間。
- nbf(not before):定義瞭再什麼時間之前該JWT都是不可用的。
- iat(issued at):JWT的發佈時間,UNIX時間戳。
- jti(JWT ID):JWT的唯一ID編號。
(2)公共的聲明:可以添加任意信息,一般添加用戶的相關信息或其他業務需要的必要信息,但不建議添加敏感信息。
(3)私有的聲明:提供者和消費者所共同定義的聲明,一般不建議存放敏感信息。
2.3 簽證(signature)
JWT的第三部分是一個簽證信息,由三部分組成:header(base64後的)、payload(base64後的)、secret(密鑰,需要保存好)。
例如:
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
簽名用於驗證消息再傳遞過程中有沒有被更改,並且對於使用私鑰簽名的Token還可以驗證JWT的發送方是否為它所說的發送方。
secret是保存在服務端的,JWT的簽發生成也是在服務端的,secret就是用來進行JWT的簽發和驗證的,所以secret是服務端的私鑰,在任何場景都不應該流露出去。
3、JWT的原則
JWT的原則是在服務器身份驗證之後,將生成一個JSON對象並將其發送回用戶,如下所示。
{
"sub": "1234567890",
"name": "Helen",
"admin": true
}
之後,當用戶與服務器通信時,客戶在請求中發回JSON對象。服務器僅依賴於這個JSON對象來標識用戶。為瞭防止用戶篡改數據,服務器將在生成對象時添加簽名。
服務器不保存任何會話數據,即服務器變為無狀態,使其更容易擴展。
4、JWT的用法
客戶端接收服務器返回的JWT,將其存儲在Cookie或localStorage中。
此後,客戶端將在與服務器交互中都會帶JWT。如果將它存儲在Cookie中,就可以自動發送,但是不會跨域,因此一般是將它放入HTTP請求的Header Authorization字段中。當跨域時,也可以將JWT被放置於POST請求的數據主體中。
5、JWT的問題和趨勢
JWT不僅可用於認證,還可用於信息交換。善用JWT有助於減少服務器請求數據庫的次數。
生產的token可以包含基本信息,比如id、用戶昵稱、頭像等信息,避免再次查庫
存儲在客戶端,不占用服務端的內存資源
JWT默認不加密,但可以加密。生成原始令牌後,可以再次對其進行加密。
當JWT未加密時,一些私密數據無法通過JWT傳輸。
JWT的最大缺點是服務器不保存會話狀態,所以在使用期間不可能取消令牌或更改令牌的權限。也就是說,一旦JWT簽發,在有效期內將會一直有效。
JWT本身包含認證信息,token是經過base64編碼,所以可以解碼,因此token加密前的對象不應該包含敏感信息,一旦信息泄露,任何人都可以獲得令牌的所有權限。為瞭減少盜用,JWT的有效期不宜設置太長。對於某些重要操作,用戶在使用時應該每次都進行進行身份驗證。
為瞭減少盜用和竊取,JWT不建議使用HTTP協議來傳輸代碼,而是使用加密的HTTPS協議進行傳輸。
6、整合JWT令牌
6.1 在模塊中添加jwt工具依賴
<dependencies>
<!-- JWT-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
</dependency>
</dependencies>
6.2 創建JWT工具類
/**
* JWT工具類
*/
public class JwtHelper {
//過期時間
private static long tokenExpiration = 24*60*60*1000;
//token簽名密鑰
private static String tokenSignKey = "123456";
//根據參數生成token
public static String createToken(Long userId, String userName) {
String token = Jwts.builder()
.setSubject("YYGH-USER")
//設置過期時間 30分鐘
.setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
//設置主題信息 用戶id和用戶名稱
.claim("userId", userId)
.claim("userName", userName)
//簽名哈希
.signWith(SignatureAlgorithm.HS512, tokenSignKey)
.compressWith(CompressionCodecs.GZIP)
.compact();
return token;
}
//根據token字符串得到用戶id
public static Long getUserId(String token) {
if(StringUtils.isEmpty(token)) return null;
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
Claims claims = claimsJws.getBody();
Integer userId = (Integer)claims.get("userId");
return userId.longValue();
}
//根據token字符串得到用戶名稱
public static String getUserName(String token) {
if(StringUtils.isEmpty(token)) return "";
Jws<Claims> claimsJws
= Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
Claims claims = claimsJws.getBody();
return (String)claims.get("userName");
}
}
寫個主函數測試下:
public static void main(String[] args) {
String token = JwtHelper.createToken(1L, "lucy");
System.out.println(token);
System.out.println(JwtHelper.getUserId(token));
System.out.println(JwtHelper.getUserName(token));
}
簽發和解析都沒問題。
到此這篇關於Java JWT實現跨域身份驗證方法詳解的文章就介紹到這瞭,更多相關JWT跨域身份驗證內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!