首先来说下什么是无状态登录吧
服务器不存登录的状态和数据,每次访问后台的过程中都需要把密码等用户数据全部校验一遍,校验成功才算登录。
无状态登录的好处是,数据不需要在服务端session或redis中存储,因为Token 自身包含了所有登录用户的信息,每次访问只需要调用解密验证下就可以了,省去了服务器压力,增快了性能。
JSON Web Token(JWT)是一个非常轻巧的数据规范。这个规范允许我们使用JWT在用户端和服务器之间传递安全可靠的信息。
JWT的组成一个JWT就是通过一些算法加密后的一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)
头部:
于描述关于该JWT的最基本的信息,例如其类型以及签名所用的加密算法等,可以是一个JSON对象。
{“typ”:“JWT”,“alg”:“HS256”}在头部指明了签名算法是HS256算法,用这个算法计算成一些数据后, 再进行BASE64编码加密(BASE64是JWT的默认编码格式)。后的字符串如下:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9编码和加密不是一回事,编码只是通过编码技术让数据变成肉眼无法看出的字符串,编码后可以再进行解码,而加密是通过一些算法让数据进行了加密,让数据更安全,解密得有一定的规则才能解密,不向编码可以很轻松的进行反编译。
载荷
载荷就是存放有效信息的地方,这个名字像是车上承载物品一样,负责载重,这些有效信息包含三个部分(1)标准中注册的声明(建议但不强制使用)iss: jwt签发者sub: jwt所面向的用户aud: 接收jwt的一方exp: jwt的过期时间,这个过期时间必须要大于签发时间nbf: 定义在什么时间之前,该jwt都是不可用的.iat: jwt的签发时间jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。(2)公共的声明公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.(3)私有的声明私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。定义一个payload:{“sub”:“1234567890”,“name”:“John Doe”,“admin”:true}然后将其进行base64编码,得到Jwt的第二部分eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
签证
签名就是把头部和载荷里的东西一块进行加密,加密规则在头部中,加密后就是一个字符串jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的)payload (base64后的)secret这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ将这三部分用.连接成一个完整的字符串,构成了最终的jwt:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了上面这句话意思是不要让用户知道了你的secret,否则用户容易攻击你服务器,但即使有了secret也不要紧,因为有时间在里面,你光有secret不知道时间,再次访问生成的token也容易是错的。
首先加入maven依赖
1、加入依赖
io.jsonwebtoken
jjwt
待加入版本
前台jsp页面展示代码
后台controller层
/**
*@Author XXX
*@Description //TODO Administrator
*@Date 20:35 2019/5/26
*@Param [user, request]
*@return java.util.Map
**/
@RequestMapping("login")
@ResponseBody
public Map login(User user, HttpServletRequest request){
//获取请求的头部信息
String remoteAddr = request.getRemoteAddr();
System.out.println(remoteAddr);
System.out.println(user);
Map result = service.login(user,remoteAddr);
return result;
}
后台service层
@Override
public Map login(User user, String remoteAddr) {
//先进行登录验证,判断用户能否根据用户名和密码登录成功
User us = mapper.login(user);
System.out.println("us=============="+us);
Map map = new HashMap<>();
if(us==null){
map.put("state","0");//用户名不存在
}
if(!us.getPwd().equals(user.getPwd())){
map.put("state","2");//密码有误
}
//登录成功
String jwtStr = JwtUtil.createJWT(us.getUid() + "", us.getUname(), null, remoteAddr);
System.out.println(jwtStr);
map.put("state","ok");
map.put("tokenStr",jwtStr);
return map;
}
JwtUtils
public class JwtUtil {
private static String key = "xuyuanzeng";
private static long ttl = 1000*60*60;//一个小时
public static String getKey() {
return key;
}
public void setKey(String key) {
this.key = key;
}
public static long getTtl() {
return ttl;
}
public void setTtl(long ttl) {
this.ttl = ttl;
}
/**
* 生成JWT
*
* @param userId
* @param subject
* @return
*/
public static String createJWT(String userId, String subject, String roles,String ipAddr) {
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
JwtBuilder builder = Jwts.builder().setId(userId)
.setSubject(subject)
.setIssuedAt(now)
.signWith(SignatureAlgorithm.HS256, ipAddr+key).claim("roles",roles);
if (ttl > 0) {
builder.setExpiration( new Date( nowMillis + ttl));
}
return builder.compact();
}
/**
* 解析JWT
* @param jwtStr
* @return
*/
public static Claims parseJWT(String jwtStr, String ipAddr){
return Jwts.parser()
.setSigningKey(ipAddr+key)
.parseClaimsJws(jwtStr)
.getBody();
}
}
拦截器
public class CommonInterceptor implements HandlerInterceptor {
JwtUtil jwtUtil = new JwtUtil();
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//获取ip地址,用于解密时使用
String ipAddr = request.getRemoteAddr();
//{"Authorization":"Bearer jklakjfadskljfdaskljfadskljsfadljkfadsljkfadsklj"}
//先获取请求头信息
String authHeader = request.getHeader("Authorization");//获取头信息
if(authHeader==null){
request.setAttribute("status", "error");
return true;
}
if(!authHeader.startsWith("Bearer ")){
request.setAttribute("status", "error");
return true;
}
String token=authHeader.substring(7);//提取token
Claims claims = null;
try{
claims = jwtUtil.parseJWT(token,ipAddr);
}catch(Exception e){
request.setAttribute("status", "error");
return true;
}
//判断成功后返回
request.setAttribute("claims", claims);
request.setAttribute("status", "ok");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
这些是最基本的实现了JWTA登录的功能,还有一些其他具体的没有贴出来,比如说设置token过期时间等,还需要看开发需求再添加功能
基本的流程
用户从客户端登录传送到后台,后台获取请求的ip地址并验证用户是否登录成功,这里仿照京东商城来举例,如果登录失败,则把status改为0或其他,然后展示一些只读的列表信息给前台,如果登录成功,则将请求的数据放到封装好的JWT工具类中进行加密,将加密后的字符串返回来,并将status改为ok一起返回给前台
String jwtStr = JwtUtil.createJWT(us.getUid() + “”, us.getUname(), null, remoteAddr);
需要注意的是,传递的参数分别为用户id,用户名和ip地址,为什么传一个ip地址,是为了更加安全性的方面考虑,如果有人到了你的token,但只要不是在你本地的电脑登陆那么token,也不会验证成功,算是加了一层保险吧。
前台接受到了这个字符串后将其存放在客户端中如cookie中,之后用户的每一次请求都要拿着这个token去后台先进行验证,验证成功后,才能让用户进行具体的操作
如果不使用拦截器的话,我们每个方法都去写一段代码,冗余度太高,不利于维护,我们可以将这段代码放入拦截器去实现,避免重复写代,这样前台在请求的时候就直接被拦截器过滤,过滤之后返回后台就可以知道token验证成功与否,所以加上了拦截器功能
这里就需要考虑到cookie的跨域资源共享,cookie做跨域共享需要用到其中的一个属性domain,具体的还请看这篇博客cookie实现跨域