web-security第四期:JWT的 java 实现——jjwt

目录

1.JWT简介

2.token的结构

2.1.Header

2.2.Payload

2.3.Signature(签名)

2.4.将上面部分合体

3.Token工作方式

4.JWT的Java实现

4.1.创建JWS

4.2.读取JWS


下一期:spring-security + JWT 整合

1.JWT简介

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。

有两个主要应用场景:

  • 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT(加密过的用户信息),从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
  • 信息交换:JWT是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确定发件人是他们所说的人。另外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改

承接上一期的内容,这里我们只探讨它在认证授权方面的应用

2.token的结构

JSON Web Token由下面三个部分组成,每个部分使用 分割开来

  • Header
  • Payload
  • Signature

整体结果类似于

hhhhhh.ppppppp.sssssss

2.1.Header

标头通常由两部分组成:令牌的类型(即JWT)和所使用的Signature(签名)算法,例如HMAC SHA256或RSA。如下:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,此JSON被Base64Url编码为JWT的第一部分(Header)。

2.2.Payload

这是令牌主题信息的承载部分,包含三个信息声明(Claims:Claims are statements about an entity (typically, the user) and additional data)

  • 登记信息声明(Registered claims):这部分包含一些声明信息,不是强制性的,但是推荐,如:(注意:JWT规定声明的信息名长度为三个字符,因为JWT信息较为紧凑)
    • iss(发布者)
    • exp(到期时间)
    • sub(主体)
    • aud(接受者)
  • 公开声明信息(Public claims):这些可以由使用JWT的人员随意定义。但是为避免冲突,应在IANA JSON Web令牌注册表中定义它们,或将其定义为包含抗冲突名称空间的URI
  • 私有声明信息(Private claims):这些是自定义声明,旨在在同意使用它们的各方之间共享信息,既不是注册声明也不是公共声明。

类似于如下结构:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后,此JSON被Base64Url编码为JWT的第二部分

2.3.Signature(签名)

使用Header中定义的编码方式,和前面定义的信息,我们可以以如下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在整个过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。

2.4.将上面部分合体

由上面的分析可知,JWT的输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递

web-security第四期:JWT的 java 实现——jjwt_第1张图片

 

3.Token工作方式

在身份验证中,当用户使用其凭据成功登录时,将返回JSON Web令牌。由于令牌是凭据,因此必须格外小心以防止安全问题。通常,令牌的保留时间不应超过要求的时间。

由于缺乏安全性,您也不应该将敏感的会话数据存储在浏览器中。

每当用户想要访问受保护的路由或资源时,用户代理通常应在Bearer模式中使用授权头发送JWT 。标头的内容应如下所示:

Authorization: Bearer 

在某些情况下,这可以是无状态授权机制。服务器的受保护路由将在Authorization标头中检查有效的JWT ,如果存在,则将允许用户访问受保护的资源。如果JWT包含必要的数据(例如用户的个人信息),则可以减少查询数据库中某些操作的需求,尽管这种情况并非总是如此。

如果令牌是在Authorization标头中发送的,则跨域资源共享(CORS)不会成为问题,因为它不使用cookie(Session也基于Cokkie)。

 

4.JWT的Java实现

JWT是一种标准,而它的实现有很多种,几乎涵盖大部分编程语言,这里我们使用Java的一种实现:jjwt

github项目地址:链接

这里先明白几个名词:

  • JSON Web Signature (JWS) (签名 A signed JWT is called a 'JWS')
  • JSON Web Encryption (JWE) (加密)
  • JSON Web Key (JWK) (密钥)

我们要使用的是一个被签名的JWT ,即JWS,我们先来创建一个JWS:

4.1.创建JWS

创建一个SecretKey (密钥)

SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);

jjwt提供的密钥加密方式有很多种,自行选择,常用HS256

定义也就是设置上面我们分析的那些值:

public static void main(String[] args) {
        //密钥
        SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
        String jws = Jwts
                .builder()
                //主题信息,即前面分析的Header和Payload(Claims)

                //设置一个头部信息
                .setHeaderParam("kid", "myKeyId")
                //也可设置多个头部信息
//                .setHeader(new HashMap<>(3))

                //或多个Claims
//                .setClaims(new HashMap(3))


                //标准的Claims
                //令牌发出者
                .setIssuer("me")
                // 发出时间
                .setIssuedAt(new Date())
                //主体信息
                .setSubject("Bob")
                //令牌接受者
                .setAudience("you")
                //失效日期
                .setExpiration(new Date(System.currentTimeMillis() + 3000))
                //a java.util.Date
                .setNotBefore(new Date(System.currentTimeMillis() + 2000))
                //just an example id
                .setId(String.valueOf(UUID.randomUUID()))

                //自定义Claims
                .claim("hello", "world")
                
                //指定密钥
                .signWith(key)
                //调用compact()方法进行压缩和签名,生成最终的jws
                .compact();
        System.out.println(jws);
    }


结果:eyJraWQiOiJteUtleUlkIiwiYWxnIjoiSFMyNTYifQ.eyJpc3MiOiJtZSIsImlhdCI6MTU5MTg2Mjc1OCwic3ViIjoiQm9iIiwiYXVkIjoieW91IiwiZXhwIjoxNTkxODYyNzYxLCJuYmYiOjE1OTE4NjI3NjAsImp0aSI6IjgyMDJjMWQ4LWFlMzQtNGEwZS1hZjFkLWM0OTY0MTZhZjhlZiIsImhlbGxvIjoid29ybGQifQ.y4FMmiuxQ5huH2h_gYkT5awUiay1LO5kxt4GRNJlEnc

注意:.setClaims() 一定要在标准的Claims之前使用,否则会覆盖标准的Claims 

4.2.读取JWS

 直接给出代码:

public static void main(String[] args) {
        SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
        String token = JwtService.getToken(key);
        System.out.println(token);
        Jws jws;
        jws = Jwts.parserBuilder()
                .setSigningKey(key)
                .build()
                .parseClaimsJws(token);
        System.out.println(jws.getHeader());
        System.out.println(jws.getBody());
        System.out.println(jws.getSignature());
    }


result:

eyJraWQiOiJteUtleUlkIiwiYWxnIjoiSFMyNTYifQ.eyJpc3MiOiJtZSIsImlhdCI6MTU5MTg2MzY1MSwic3ViIjoiQm9iIiwiYXVkIjoieW91IiwiZXhwIjoxNTkxODYzNjU0LCJqdGkiOiIyNGZiNDFkMy1jY2UyLTQzZDMtYjMyOC0xYzBlNmYzYjg1Y2YiLCJoZWxsbyI6IndvcmxkIn0.OI2YnQlVm-VNTgk_SRt2V6yhWoc0RqIIl11XcBaSopo
{kid=myKeyId, alg=HS256}
{iss=me, iat=1591863651, sub=Bob, aud=you, exp=1591863654, jti=24fb41d3-cce2-43d3-b328-1c0e6f3b85cf, hello=world}
OI2YnQlVm-VNTgk_SRt2V6yhWoc0RqIIl11XcBaSopo

可见,Header 和 Payload 都是以 Map格式存储的

还要注意一点,这里的加密和解密的 SecretKey 必须是同一个, 即使是相同算法的的两个也不行

下一期我们就来使用 jjwt 完成Spring Security 的记住我的功能

 

你可能感兴趣的:(Spring)