1. 程式人生 > >JWT全面解讀、使用步驟

JWT全面解讀、使用步驟

JWT全面解讀

前言

JWT是json web token縮寫。它將使用者資訊加密到token裡,伺服器不儲存任何使用者資訊。伺服器通過使用儲存的金鑰驗證token的正確性,只要正確即通過驗證。

優點是在分散式系統中,很好地解決了單點登入問題,很容易解決了session共享的問題。
缺點是無法作廢已頒佈的令牌/不易應對資料過期。

可能習慣了redis儲存session,使用shiro做登陸,突然使用JWT有點不適應,因為太簡單了,我個人不是很建議使用,還是那句話,你的選擇權有多大,你有學多少知識。

JWT基本使用

在pom.xml引入java-jwt

<dependency
>
<groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency>

Gradle下依賴
compile 'com.auth0:java-jwt:3.4.0'

示例如下

package yui.ui.web.sys.controller;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import
java.util.Map; import com.alibaba.druid.util.StringUtils; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.Claim; import com.auth0.jwt.interfaces.DecodedJWT; public class Test { /** * APP登入Token的生成和解析 * */
/** token祕鑰,請勿洩露,請勿隨便修改 backups:JKKLJOoasdlfj */ public static final String SECRET = "JKKLJOoasdlfj"; /** token 過期時間: 10天 */ public static final int calendarField = Calendar.DATE; public static final int calendarInterval = 10; /** * JWT生成Token.<br/> * * JWT構成: header, payload, signature * * @param user_id * 登入成功後用戶user_id, 引數user_id不可傳空 */ public static String createToken(Long user_id) throws Exception { Date iatDate = new Date(); // expire time Calendar nowTime = Calendar.getInstance(); nowTime.add(calendarField, calendarInterval); Date expiresDate = nowTime.getTime(); // header Map Map<String, Object> map = new HashMap<>(); map.put("alg", "HS256"); map.put("typ", "JWT"); // build token // param backups {iss:Service, aud:APP} String token = JWT.create().withHeader(map) // header .withClaim("iss", "Service") // payload .withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString()) .withIssuedAt(iatDate) // sign time .withExpiresAt(expiresDate) // expire time .sign(Algorithm.HMAC256(SECRET)); // signature return token; } /** * 解密Token * * @param token * @return * @throws Exception */ public static Map<String, Claim> verifyToken(String token) { DecodedJWT jwt = null; try { JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build(); jwt = verifier.verify(token); } catch (Exception e) { // e.printStackTrace(); // token 校驗失敗, 丟擲Token驗證非法異常 } return jwt.getClaims(); } /** * 根據Token獲取user_id * * @param token * @return user_id */ public static Long getAppUID(String token) { Map<String, Claim> claims = verifyToken(token); Claim user_id_claim = claims.get("user_id"); if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) { // token 校驗失敗, 丟擲Token驗證非法異常 } return Long.valueOf(user_id_claim.asString()); } }

最終存放的資料在JWT內部的實體claims裡。它是存放資料的地方

概念介紹

JWT訊息構成

一個token分3部分,按順序為

  • 頭部(header)
  • 其為載荷(payload)
  • 簽證(signature)
    由三部分生成token
    3部分之間用“.”號做分隔。例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
    驗證koten地址

頭部

Jwt的頭部承載兩部分資訊:

  • 宣告型別,這裡是jwt
  • 宣告加密的演算法 通常直接使用 HMAC SHA256
    JWT裡驗證和簽名使用的演算法,可選擇下面的。
JWS 演算法名稱 描述
HS256 HMAC256 HMAC with SHA-256
HS384 HMAC384 HMAC with SHA-384
HS512 HMAC512 HMAC with SHA-512
RS256 RSA256 RSASSA-PKCS1-v1_5 with SHA-256
RS384 RSA384 RSASSA-PKCS1-v1_5 with SHA-384
RS512 RSA512 RSASSA-PKCS1-v1_5 with SHA-512
ES256 ECDSA256 ECDSA with curve P-256 and SHA-256
ES384 ECDSA384 ECDSA with curve P-384 and SHA-384
ES512 ECDSA512 ECDSA with curve P-521 and SHA-512

使用程式碼如下

// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");

playload

載荷就是存放有效資訊的地方。基本上填2種類型資料

-標準中註冊的宣告的資料
-自定義資料
由這2部分內部做base64加密。最張資料進入JWT的chaims裡存放。

標準中註冊的宣告 (建議但不強制使用)

iss: jwt簽發者

sub: jwt所面向的使用者

aud: 接收jwt的一方

exp: jwt的過期時間,這個過期時間必須要大於簽發時間

nbf: 定義在什麼時間之前,該jwt都是不可用的.

iat: jwt的簽發時間

jti: jwt的唯一身份標識,主要用來作為一次性token,從而回避重放攻擊。

使用方法

 JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP")
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time

自定義資料

這個就比較簡單,存放我們想放在token中存放的key-value值
使用方法

 JWT.create().withHeader(map) // header
                .withClaim("name", "cy") // payload
                .withClaim("user_id", "11222");

簽名signature

jwt的第三部分是一個簽證資訊,這個簽證資訊演算法如下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
這個部分需要base64加密後的header和base64加密後的payload使用.連線組成的字串,然後通過header中宣告的加密方式進行加鹽secret組合加密,然後就構成了jwt的第三部分。

基本上至此,JWT的API相關知識已經學完了,但是API不夠有好,不停的用withClaim放資料。不夠友好。下面推薦一款框架,相當於對JWT的實現框架

JJWT

它是為了更友好在JVM上使用JWT,是基本於JWT, JWS, JWE, JWK框架的java實現。
參考git地址

引入

Maven

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

Gradle:

dependencies {
    compile 'io.jsonwebtoken:jjwt:0.9.0'
}

使用方法

生成token

getJwtToken是生成jjwt裡的token方法。


import com.sun.javafx.scene.traversal.Algorithm;
import io.jsonwebtoken.*;
import io.jsonwebtoken.impl.DefaultJwsHeader;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;


private String  SECRET = "DyoonSecret_0581";
private void getJwtToken(){
      Date iatDate = new Date();
      // expire time
      Calendar nowTime = Calendar.getInstance();
      //有10天有效期
      nowTime.add(Calendar.DATE, 10);
      Date expiresDate = nowTime.getTime();
      Claims claims = Jwts.claims();
      claims.put("name","cy");
      claims.put("userId", "222");
      claims.setAudience("cy");
      claims.setIssuer("cy");
      String token = Jwts.builder().setClaims(claims).setExpiration(expiresDate)
              .signWith(SignatureAlgorithm.HS512, SECRET)
              .compact();

  }

上面將token中的載荷放在chaims中,其實chaims是JWT內部維持的一個存放有效資訊的地方,不論使用任何API,最終都使用chaims儲存資訊。
setClaims有2個過載

  • JwtBuilder setClaims(Claims claims);
  • JwtBuilder setClaims(Map<String, Object> claims);
    不能就是說,我們也可以直接傳入map值物件。

解析token

parseJwtToken方法是解析token。

public void parseJwtToken(String token) {
        try{

        }catch (Exception e){

        }
        Jws<Claims> jws = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);
        String signature = jws.getSignature();
        Map<String, String> header = jws.getHeader();
        Claims Claims = jws.getBody();
    }