目录
1.JWT简介
2.token的结构
2.1.Header
2.2.Payload
2.3.Signature(签名)
2.4.将上面部分合体
3.Token工作方式
4.JWT的Java实现
4.1.创建JWS
4.2.读取JWS
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。
有两个主要应用场景:
承接上一期的内容,这里我们只探讨它在认证授权方面的应用
JSON Web Token由下面三个部分组成,每个部分使用 . 分割开来
整体结果类似于
hhhhhh.ppppppp.sssssss
标头通常由两部分组成:令牌的类型(即JWT)和所使用的Signature(签名)算法,例如HMAC SHA256或RSA。如下:
{
"alg": "HS256",
"typ": "JWT"
}
然后,此JSON被Base64Url编码为JWT的第一部分(Header)。
这是令牌主题信息的承载部分,包含三个信息声明(Claims:Claims are statements about an entity (typically, the user) and additional data)
类似于如下结构:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
然后,此JSON被Base64Url编码为JWT的第二部分
使用Header中定义的编码方式,和前面定义的信息,我们可以以如下方式创建签名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
签名用于验证消息在整个过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。
由上面的分析可知,JWT的输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递
在身份验证中,当用户使用其凭据成功登录时,将返回JSON Web令牌。由于令牌是凭据,因此必须格外小心以防止安全问题。通常,令牌的保留时间不应超过要求的时间。
由于缺乏安全性,您也不应该将敏感的会话数据存储在浏览器中。
每当用户想要访问受保护的路由或资源时,用户代理通常应在Bearer模式中使用授权头发送JWT 。标头的内容应如下所示:
Authorization: Bearer
在某些情况下,这可以是无状态授权机制。服务器的受保护路由将在Authorization
标头中检查有效的JWT ,如果存在,则将允许用户访问受保护的资源。如果JWT包含必要的数据(例如用户的个人信息),则可以减少查询数据库中某些操作的需求,尽管这种情况并非总是如此。
如果令牌是在Authorization
标头中发送的,则跨域资源共享(CORS)不会成为问题,因为它不使用cookie(Session也基于Cokkie)。
JWT是一种标准,而它的实现有很多种,几乎涵盖大部分编程语言,这里我们使用Java的一种实现:jjwt
github项目地址:链接
这里先明白几个名词:
我们要使用的是一个被签名的JWT ,即JWS,我们先来创建一个JWS:
创建一个SecretKey (密钥)
SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
jjwt提供的密钥加密方式有很多种,自行选择,常用HS256
定义也就是设置上面我们分析的那些值:
public static void main(String[] args) {
//密钥
SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
String jws = Jwts
.builder()
//主题信息,即前面分析的Header和Payload(Claims)
//设置一个头部信息
.setHeaderParam("kid", "myKeyId")
//也可设置多个头部信息
// .setHeader(new HashMap<>(3))
//或多个Claims
// .setClaims(new HashMap(3))
//标准的Claims
//令牌发出者
.setIssuer("me")
// 发出时间
.setIssuedAt(new Date())
//主体信息
.setSubject("Bob")
//令牌接受者
.setAudience("you")
//失效日期
.setExpiration(new Date(System.currentTimeMillis() + 3000))
//a java.util.Date
.setNotBefore(new Date(System.currentTimeMillis() + 2000))
//just an example id
.setId(String.valueOf(UUID.randomUUID()))
//自定义Claims
.claim("hello", "world")
//指定密钥
.signWith(key)
//调用compact()方法进行压缩和签名,生成最终的jws
.compact();
System.out.println(jws);
}
结果:eyJraWQiOiJteUtleUlkIiwiYWxnIjoiSFMyNTYifQ.eyJpc3MiOiJtZSIsImlhdCI6MTU5MTg2Mjc1OCwic3ViIjoiQm9iIiwiYXVkIjoieW91IiwiZXhwIjoxNTkxODYyNzYxLCJuYmYiOjE1OTE4NjI3NjAsImp0aSI6IjgyMDJjMWQ4LWFlMzQtNGEwZS1hZjFkLWM0OTY0MTZhZjhlZiIsImhlbGxvIjoid29ybGQifQ.y4FMmiuxQ5huH2h_gYkT5awUiay1LO5kxt4GRNJlEnc
注意:.setClaims() 一定要在标准的Claims之前使用,否则会覆盖标准的Claims
直接给出代码:
public static void main(String[] args) {
SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
String token = JwtService.getToken(key);
System.out.println(token);
Jws jws;
jws = Jwts.parserBuilder()
.setSigningKey(key)
.build()
.parseClaimsJws(token);
System.out.println(jws.getHeader());
System.out.println(jws.getBody());
System.out.println(jws.getSignature());
}
result:
eyJraWQiOiJteUtleUlkIiwiYWxnIjoiSFMyNTYifQ.eyJpc3MiOiJtZSIsImlhdCI6MTU5MTg2MzY1MSwic3ViIjoiQm9iIiwiYXVkIjoieW91IiwiZXhwIjoxNTkxODYzNjU0LCJqdGkiOiIyNGZiNDFkMy1jY2UyLTQzZDMtYjMyOC0xYzBlNmYzYjg1Y2YiLCJoZWxsbyI6IndvcmxkIn0.OI2YnQlVm-VNTgk_SRt2V6yhWoc0RqIIl11XcBaSopo
{kid=myKeyId, alg=HS256}
{iss=me, iat=1591863651, sub=Bob, aud=you, exp=1591863654, jti=24fb41d3-cce2-43d3-b328-1c0e6f3b85cf, hello=world}
OI2YnQlVm-VNTgk_SRt2V6yhWoc0RqIIl11XcBaSopo
可见,Header 和 Payload 都是以 Map格式存储的
还要注意一点,这里的加密和解密的 SecretKey 必须是同一个, 即使是相同算法的的两个也不行
下一期我们就来使用 jjwt 完成Spring Security 的记住我的功能