JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,可以在客户端与服务器之间作为JSON对象安全地传输信息。
JWT就是一个字符串,经过加密处理与校验处理的字符串,由 .
分割的三个部分组成,分别是头(Header)、有效荷载(Playload)、签名(Signature),因此JWT的格式通常也是这样: header.playload.signature
(header由JWT的表头信息经过加密后得到;playload由JWT用到的身份验证信息JSON数据加密得到;signature是由header和playload加密得到,这一部分作为校验部分)。
JWT
;二是哈希算法,比如SHA256
。例如:
{
"alg": "HS256",
"typ": "JWT"
}
然后这个JSON通过Base64
加密形成JWT的第一个部分即header
。
声明属性 | 说明 |
---|---|
iss | 发行人,JWT由谁签发 |
iat | JWT创建时间,unix时间戳格式 |
exp | JWT过期时间,unix时间戳格式 |
sub | JWT所面向的用户 |
aud | 接收方,接收JWT的一方 |
nbf | 当前时间在nbf之前,JWT不能被接收处理 |
jti | JWT唯一ID |
例如:
{
"iss": "Hilox",
"sub": "HiloxApiUser",
"iat": "1542337107",
"exp": "1542340707",
"userId": "5"
}
将上述声明(Claim)通过Base64
加密后得到payload
。
Base64
加密得到的header
和Claim
经过Base64
加密得到的playload
进行组合,形成一个新字符串header.playload
,对新形成的字符串使用标头当中指定的算法(例如:上述Header例子中使用HS256
算法)和自定义的密钥(例如:Hilox
)进行加密得到signature
。最后,将字符串组合 header.playload.signature
就是生成的token了。
博主为移动端app搭建服务器,所采用的方式是将token放到http请求的请求头部当中,通常使用的是Authorization
属性字段。
移动端app使用cookie不太方便,所以暂不做考虑。
下面通过代码来实现用户认证的功能,博主这里主要采用Spring Boot与JWT整合的方式实现。
关于Spring Boot项目如何搭建与使用本章不做详细介绍。
代码当中针对异常自行做处理,我这里偷点懒直接用日志在控制台打印。
io.jsonwebtoken
jjwt
0.9.1
Base64在线加密
jwt:
# 发行者
name: Hilox
# 密钥, 经过Base64加密, 可自行替换
base64Secret: SGlsb3g=
#jwt中过期时间设置(分)
jwtExpires: 120
/**
* jwt 相关参数
* Created by Hilox on 2018/11/16 0016.
*/
@Component
@ConfigurationProperties(prefix = "jwt")
public class JwtParam {
/**
* 发行者名
*/
private String name;
/**
* base64加密密钥
*/
private String base64Secret;
/**
* jwt中过期时间设置(分)
*/
private int jwtExpires;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getBase64Secret() {
return base64Secret;
}
public void setBase64Secret(String base64Secret) {
this.base64Secret = base64Secret;
}
public int getJwtExpires() {
return jwtExpires;
}
public void setJwtExpires(int jwtExpires) {
this.jwtExpires = jwtExpires;
}
}
/**
* jwt 拦截器
* Created by Hilox on 2018/11/16 0016.
*/
@Slf4j
public class JwtInterceptor implements HandlerInterceptor {
@Autowired
private JwtParam jwtParam;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
Object handler) throws Exception {
// 忽略带JwtIgnore注解的请求, 不做后续token认证校验
if (handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
JwtIgnore jwtIgnore = handlerMethod.getMethodAnnotation(JwtIgnore.class);
if (jwtIgnore != null) {
return true;
}
}
if (HttpMethod.OPTIONS.equals(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
return true;
}
final String authHeader = request.getHeader(JwtConstant.AUTH_HEADER_KEY);
if (StringUtils.isEmpty(authHeader)) {
// TODO 这里自行抛出异常
log.info("===== 用户未登录, 请先登录 =====");
return false;
}
// 校验头格式校验
if (!JwtUtils.validate(authHeader)) {
// TODO 这里自行抛出异常
log.info("===== token格式异常 =====");
return false;
}
// token解析
final String authToken = JwtUtils.getRawToken(authHeader);
Claims claims = JwtUtils.parseToken(authToken, jwtParam.getBase64Secret());
if (claims == null) {
log.info("===== token解析异常 =====");
return false;
}
// 传递所需信息
request.setAttribute("CLAIMS", claims);
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response,
Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response,
Object handler, Exception ex) throws Exception {
}
}
/**
* mvc 配置
* Created by Hilox on 2018/11/15 0015.
*/
@Configuration
public class MyWebConfigurer extends WebMvcConfigurerAdapter {
// 这里这么做是为了提前加载, 防止过滤器中@AutoWired注入为空
@Bean
public JwtInterceptor jwtInterceptor() {
return new JwtInterceptor();
}
// 自定义过滤规则
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(jwtInterceptor()).addPathPatterns("/**");
}
}
/**
* JWT请求忽略注解
* Created by Hilox on 2018/11/20 0020.
*/
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface JwtIgnore {
}
/**
* JWT工具类
* Created by Hilox on 2018/11/16 0016.
*/
@Slf4j
public class JwtUtils {
private static final String AUTHORIZATION_HEADER_PREFIX = "Bearer ";
// 构造私有
private JwtUtils() {}
/**
* 获取原始token信息
* @param authorizationHeader 授权头部信息
* @return
*/
public static String getRawToken(String authorizationHeader) {
return authorizationHeader.substring(AUTHORIZATION_HEADER_PREFIX.length());
}
/**
* 获取授权头部信息
* @param rawToken token信息
* @return
*/
public static String getAuthorizationHeader(String rawToken) {
return AUTHORIZATION_HEADER_PREFIX + rawToken;
}
/**
* 校验授权头部信息格式合法性
* @param authorizationHeader 授权头部信息
* @return
*/
public static boolean validate(String authorizationHeader) {
return StringUtils.hasText(authorizationHeader)
&& authorizationHeader.startsWith(AUTHORIZATION_HEADER_PREFIX);
}
/**
* 生成token, 只在用户登录成功以后调用
* @param userId 用户id
* @param jwtParam JWT加密所需信息
* @return
*/
public static String createToken(String userId, JwtParam jwtParam) {
return createToken(userId, null, jwtParam);
}
/**
* 生成token, 只在用户登录成功以后调用
* @param userId 用户id
* @param claim 声明
* @param jwtParam JWT加密所需信息
* @return
*/
public static String createToken(String userId, Map<String, Object> claim, JwtParam jwtParam) {
try {
// 使用HS256加密算法
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
// 生成签名密钥
byte[] apiKeySecretBytes =
DatatypeConverter.parseBase64Binary(jwtParam.getBase64Secret());
SecretKeySpec signingKey =
new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
// 添加构成JWT的参数
JwtBuilder jwtBuilder = Jwts.builder().setHeaderParam("typ", "JWT")
.claim(JwtConstant.USER_ID_KEY, userId)
.addClaims(claim)
.setIssuer(jwtParam.getName())
.setIssuedAt(now)
.signWith(signatureAlgorithm, signingKey);
// 添加token过期时间
long TTLMillis = jwtParam.getJwtExpires() * 60 * 1000;
if (TTLMillis >= 0) {
long expMillis = nowMillis + TTLMillis;
Date exp = new Date(expMillis);
jwtBuilder.setExpiration(exp).setNotBefore(now);
}
return jwtBuilder.compact();
} catch (Exception e) {
// TODO 这里自行抛出异常
log.error("签名失败", e);
return null;
}
}
/**
* 解析token
* @param authToken 授权头部信息
* @param base64Secret base64加密密钥
* @return
*/
public static Claims parseToken(String authToken, String base64Secret) {
try{
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(base64Secret))
.parseClaimsJws(authToken).getBody();
return claims;
} catch (SignatureException se) {
// TODO 这里自行抛出异常
log.error("===== 密钥不匹配 =====", se);
} catch (ExpiredJwtException ejw) {
// TODO 这里自行抛出异常
log.error("===== token过期 =====", ejw);
} catch (Exception e){
// TODO 这里自行抛出异常
log.error("===== token解析异常 =====", e);
}
return null;
}
}
/**
* 登录验证Controller
* Created by Hilox on 2018/11/16 0016.
*/
@Slf4j
@RestController
public class LoginController {
@Autowired
private JwtParam jwtParam;
// 登录
@PostMapping("/login")
@JwtIgnore // 加此注解, 请求不做token验证
public String login() {
// 1.用户密码验证我这里忽略, 假设用户验证成功, 取得用户id为5
Integer userId = 5;
// 2.验证通过生成token
String token = JwtUtils.createToken(userId + "", jwtParam);
if (token == null) {
log.error("===== 用户签名失败 =====");
return null;
}
log.info("===== 用户{}生成签名{} =====", userId, token);
return JwtUtils.getAuthorizationHeader(token);
}
// 验证
@PostMapping("/hilox")
public String hilox() {
return "Hello World!";
}
}
【源码地址】:springboot-jwt
启动以上项目,博主这里使用工具Postman
来模拟http请求。
这里我们需要将请求登录接口时返回的token放入请求头的Authorization
当中。