文章目录
- 一、token是什么?
- 二、jwt
- 2.1 Header 标头
- 2.2 Payload 负载
- 2.3 Signature 签名
- 三、Java中使用jwt
- 3.1 使用步骤
- 3.1.1 生成jwt
- 3.1.2 验证jwt
一、token是什么?
Token是用户进行一些权限操作时的许可凭证。token本质是字符串,里面包含了用户信息,过期时间,加密方式等。token是在前端进行登录之后,由服务器分发给前端,然后前端进行权限操作时,再将token发送给服务器,由服务器来验证。token是有过期时间的,一但token过期,用户就要重新登陆让服务器生成新的token。
token的验证流程如下
- 客户端使用用户名和密码请求登录
- 服务端收到请求,验证用户名和密码
- 验证成功后,服务端会签发一个token,再把这个token返回给客户端
- 客户端收到token后可以把它存储起来,比如放到cookie中
- 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
- 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据
二、jwt
JWT全名json web token, JWT就是上述流程当中token的一种具体实现方式,它由三个部分组成,并每个部分由.
来连接。
- 头部(head)
- 负载(payload)
- 签名(Signature)
因此jwt会是这个样子xxxxx.yyyyy.zzzzz
2.1 Header 标头
标头通常由两部分组成:令牌的类型,即JWT,以及正在使用的签名算法,如HMAC SHA256或RSA。如下所示
{"alg": "HS256","typ": "JWT"}
之后这段代表会用base64url进行编码来形成jwt的第一部分。
2.2 Payload 负载
jwt的第二部分是负载,负载里面包含了许多声明(例如用户信息)。一共有三种类型的声明(registered,public,private)
registered 该声明是预定义的,不是强制性的,但是是推荐的。其中一些是:iss(发行者)、exp(过期时间)、sub(主题)、aud (用户)、iat(发布时间)、jti(JWT ID用于标识该JWT)等。(注意:jwt中json声明的名字都是三个字母)
public 这部分是用户自己定义的。注意不要跟registerd的冲突。
private 这些是为在同意使用它们的各方之间共享信息而创建的定制声明,它们既不是registered的,也不是public声明。
注意:不要将未加密的秘密信息放在头部或者负载。因为他们是可读的。
之后负载会用Base64rul进行编码作为jwt的第二部分。
2.3 Signature 签名
签名是拿到被base64编码的标头和负载后,用标头里的加密算法对拿到的标头和负载进行加密,然后作为jwt的第三部分。签名是用来验证标头和负载中的信息有没有被篡改。如果标头和负载的信息被篡改,则这个jwt是失效的。反之验证通过。
流程如下。
首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
HMACSA256( base64UrlEncode(header) + " . " +base64UrlEncode(payload) , secret )
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.
分隔,就构成整个JWT对象。
三、Java中使用jwt
java中最常用的库是java-jwt。pom坐标如下。
com.auth0java-jwt4.0.0
3.1 使用步骤
3.1.1 生成jwt
- 指定算法。
//HMACAlgorithm algorithmHS = Algorithm.HMAC256("secret"); //use more secure key//RSARSAPublicKey publicKey = //Get the key instanceRSAPrivateKey privateKey = //Get the key instanceAlgorithm algorithmRS = Algorithm.RSA256(publicKey, privateKey);//Rsa是一种非对称算法 验证时候需要公钥和私钥,私钥一般是存放在服务器里。
- 创建 jwt 并添加指定 payload
Map <String, Object> map =Map<String,String> map = new HashMap<>(); //自定义payloadmap.put("age",11);JWT.create().withPayload(map).withKeyId(String.valueOf(123)).withIssuer("Tom").withExpiresAt(calendar.getTime()).sign(algorithmRS);
最后一定要调用sign传入第一步的算法对象,签署电子签名。
上述代码生成的jwt转成json后如下。
head{"kid": "123","typ": "JWT","alg": "RS256"}payload{"iss": "Tom","exp": 1663816787"age":11}
3.1.2 验证jwt
try { //要验证的jwt String token = "eyJraWQiOiI4IiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiLnrb7lj5HogIUiLCJleHAiOjE2NjM4MTY3ODd9.U3PyZobW2KwZ4a_kQ3soZzEQtAj0sh8vKDR5ZC916BE-tRUM8RaoeWfw6Y40REjbUCGIp6fqRPsxUf7LDGmo1okfkfzkXBnfKTF93UNiqmFLfNWp5tXwCeUmoN0a3S_9Fu6v8nOp8M38eTIoz2Z719LGU92Fbht-PtHpqB_WZ1Q"" //指定解析的算法Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey()); //生成解析器JWTVerifier verifier = JWT.require(algorithm).build();//如果验证失败会抛出异常DecodedJWT jwt = verifier.verify(token);//获取jwt的keyidString userID = jwt.getKeyId();}catch (TokenExpiredException e ){ ...}