spring boot 開發—第七篇使用JWT保證api介面安全
阿新 • • 發佈:2018-12-31
1、jwt簡介
JWT是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT作為一個開放的標準(RFC 7519),定義了一種簡潔的,自包含的方法用於通訊雙方之間以Json物件的形式安全的傳遞資訊。因為數字簽名的存在,這些資訊是可信的,JWT可以使用HMAC演算法或者是RSA的公私祕鑰對進行簽名。
- 簡潔(Compact): 可以通過URL,POST引數或者在HTTP header傳送,因為資料量小,傳輸速度也很快
- 自包含(Self-contained):負載中包含了所有使用者所需要的資訊,避免了多次查詢資料庫J
2、JWT的主要應用場景
- 身份認證
在這種場景下,一旦使用者完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證使用者身份以及對路由,服務和資源的訪問許可權進行驗證。由於它的開銷非常小,可以輕鬆的在不同域名的系統中傳遞,所有目前在單點登入(SSO)中比較廣泛的使用了該技術。 - 資訊交換
在通訊的雙方之間使用JWT對資料進行編碼是一種非常安全的方式,由於它的資訊是經過簽名的,可以確保傳送者傳送的資訊是沒有經過偽造的。
3、JWT的結構
Header
在header中通常包含了兩部分:token型別和採用的加密演算法。
{
"alg": "HS256",
"typ": "JWT"
}
接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。
Payload
Token的第二部分是負載,它包含了claim, Claim是一些實體(通常指的使用者)的狀態和額外的元資料,有三種類型的claim: reserved, public 和 private.
- Reserved claims: 這些claim是JWT預先定義的,在JWT中並不會強制使用它們,而是推薦使用,常用的有 iss(簽發者), exp(過期時間戳), sub(面向的使用者), aud(接收方), iat(簽發時間)。
- Public claims:根據需要定義自己的欄位,注意應該避免衝突
- Private claims:這些是自定義的欄位,可以用來在雙方之間交換資訊
負載使用的例子:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
上述的負載需要經過Base64Url編碼後作為JWT結構的第二部分。
Signature
建立簽名需要使用編碼後的header和payload以及一個祕鑰,使用header中指定簽名演算法進行簽名。例如如果希望使用HMAC SHA256演算法,那麼簽名應該使用下列方式建立:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
簽名用於驗證訊息的傳送者以及訊息是沒有經過篡改的。
4、jwt例項
4.1、構建專案
pom中加入相關依賴
<!--jwt依賴-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
4.2、建立token實體
package com.vesus.springbootjwt.model;
import javax.persistence.*;
import java.io.Serializable;
@Entity
@Table(name = "api_token_infos")
public class TokenInfo implements Serializable {
@Id
@GeneratedValue
@Column(name = "ati_id")
private Long id;
@Column(name = "ati_app_id")
private String appId;
@Column(name = "ati_token")
private byte[] token;
@Column(name = "ati_build_time")
private String buildTime;
public Long getId() {
return id;
}
public void setId(Long id) {
this.id = id;
}
public String getAppId() {
return appId;
}
public void setAppId(String appId) {
this.appId = appId;
}
public byte[] getToken() {
return token;
}
public void setToken(byte[] token) {
this.token = token;
}
public String getBuildTime() {
return buildTime;
}
public void setBuildTime(String buildTime) {
this.buildTime = buildTime;
}
}
4.3、建立token攔截器,驗證token的正確性
package com.vesus.springbootjwt.intercept;
import com.vesus.springbootjwt.model.TokenInfo;
import com.vesus.springbootjwt.service.TokeninfoService;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import org.springframework.beans.factory.BeanFactory;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.security.SignatureException;
public class JwtTokenInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//自動排除生成token的路徑,並且如果是options請求是cors跨域預請求,設定allow對應頭資訊
if(request.getRequestURI().equals("/api/token")||RequestMethod.OPTIONS.toString().equals(request.getMethod())){
return true ;
}
//獲取頭資訊
final String authHeader = request.getHeader("X-YAuth-Token") ;
try {
//如果取出的token資訊為空
if (authHeader==null||authHeader.trim()==""){
throw new SignatureException("無法獲取X-YAuth-Token!");
}
//獲取jwt實體物件介面例項
final Claims claims = Jwts.parser().setSigningKey("Authv1.0.0").parseClaimsJws(authHeader).getBody();
//從資料庫中獲取token
TokenInfo token = getBean(TokeninfoService.class,request).findOne(claims.getSubject());
String tokenval = new String(token.getToken());
if (tokenval==null||tokenval.trim()==""){
throw new SignatureException("無法獲取token資訊,請重新獲取!");
}
//token是否與客戶端傳來的一致
if(!tokenval.equals(authHeader)){
throw new SignatureException("無法獲取token資訊,請重新獲取!");
}
}catch (SignatureException | ExpiredJwtException e){
//輸出物件
PrintWriter writer = response.getWriter();
//輸出error訊息
writer.write("需要輸入token");
writer.close();
return false;
}
//出現異常時
catch (final Exception e)
{
//輸出物件
PrintWriter writer = response.getWriter();
//輸出error訊息
writer.write(e.getMessage());
writer.close();
return false;
}
return true;
}
/**
* 根據傳入的型別獲取spring管理的對應bean
* @param clazz 型別
* @param request 請求物件
* @param <T>
* @return
*/
private <T> T getBean(Class<T> clazz ,HttpServletRequest request){
BeanFactory factory = (BeanFactory) WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
return factory.getBean(clazz);
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
4.4、建立token的控制器,用來獲取新的token
package com.vesus.springbootjwt.controller;
import com.vesus.springbootjwt.model.TokenInfo;
import com.vesus.springbootjwt.model.TokenResult;
import com.vesus.springbootjwt.model.UserInfo;
import com.vesus.springbootjwt.service.TokeninfoService;
import com.vesus.springbootjwt.service.UserService;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import java.util.Date;
import java.util.concurrent.TimeUnit;
@RestController
@RequestMapping(value = "/api")
public class TokenController {
@Autowired
private TokeninfoService tokeninfoService ;
@Autowired
private UserService userService ;
/**
* 獲取token,更新token
* @param appId 使用者編號
* @param appSecret 使用者密碼
* @return
*/
@RequestMapping(value = "/token" ,method = {RequestMethod.POST,RequestMethod.GET})
public TokenResult token(@RequestParam String appId , @RequestParam String appSecret){
TokenResult token = new TokenResult();
//判斷appid是否為空
if(appId == null || appId.trim() == "")
{
token.setFlag(false);
token.setMsg("appId is not found!");
}
//判斷appSecret是否為空
else if(appSecret == null || appSecret.trim() == "")
{
token.setFlag(false);
token.setMsg("appSecret is not found!");
}else{
UserInfo userInfo = userService.findOne(appId);
//如果使用者不存在
if (userInfo == null)
{
token.setFlag(false);
token.setMsg("appId : " + appId + ", 缺失!");
}//驗證appSecret是否存在
else if (!new String(userInfo.getAppSecret()).equals(appSecret.replace(" ","+")))
{
token.setFlag(false);
token.setMsg("appSecret無效!");
}
else
{
TokenInfo tokenInfo = tokeninfoService.findOne(appId);
//返回token值
String tokenStr = null;
if (tokenInfo==null){
//生成Token
tokenStr = createNewToken(appId) ;
//將token保持到資料庫
tokenInfo = new TokenInfo();
tokenInfo.setAppId(userInfo.getAppId());
tokenInfo.setBuildTime(String.valueOf(System.currentTimeMillis()));
tokenInfo.setToken(tokenStr.getBytes());
tokeninfoService.saveToken(tokenInfo);
}
else
{
//判斷資料庫中token是否過期,如果沒有過期不需要更新直接返回資料庫中的token即可
//資料庫中生成時間
long dbBuildTime = Long.valueOf(tokenInfo.getBuildTime());
//當前時間
long currentTime = System.currentTimeMillis();
//如果當前時間 - 資料庫中生成時間 < 7200 證明可以正常使用
long second = TimeUnit.MILLISECONDS.toSeconds(currentTime - dbBuildTime);
if (second > 0 && second < 7200) {
tokenStr = new String(tokenInfo.getToken());
}
//超時
else{
//生成newToken
tokenStr = createNewToken(appId);
//更新token
tokenInfo.setToken(tokenStr.getBytes());
//更新生成時間
tokenInfo.setBuildTime(String.valueOf(System.currentTimeMillis()));
//執行更新
tokeninfoService.saveToken(tokenInfo);
}
}
//設定返回token
token.setToken(tokenStr);
}
}
return token;
}
/**
* 建立新token
* @param appId
* @return
*/
private String createNewToken(String appId){
//獲取當前時間
Date now = new Date(System.currentTimeMillis());
//過期時間
Date expiration = new Date(now.getTime()+7200000);
return Jwts.builder().setSubject(appId)
.setIssuedAt(now).setIssuer("Online YAuth Builder")
.setExpiration(expiration)
.signWith(SignatureAlgorithm.HS256,"Authv1.0.0")
.compact();
}
}
4.5、啟動應用
拿到token
