基于SpringBoot的 JSON Web Token(JWT)Token认证机制实现
Token Auth的优点
- JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
- 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.
- 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.
- 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.
- CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。
- 不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理.
- 基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)
更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可. - 移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制更合适。
JWT 基本规格。
JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名组成。
其实际的载荷(载荷(Payload))
jwt格式:jwtHeader.jwtPayLoad.Signature
头部(header). 载荷(payload). 签证(signature)
将对象编码得到:Header 头信息
# 头里面放加密算法 及签名信息
{
"type": "JWT",
"alg": "BASE64"
}
编码字符串:
eyJ0eXBlIjoiSldUIiwiYWxnIjoiQkFTRTY0In0=
Map<String,String> header = new HashMap<String, String>();
header.put("type","JWT");
header.put("alg","BASE64");
String jsonString = JSON.toJSONString(header);
System.out.println(jsonString);
BASE64Encoder base64Encoder = new BASE64Encoder();
String encode = base64Encoder.encode(jsonString.getBytes("UTF-8"));
System.out.println(encode);
BASE64Decoder base64Decoder = new BASE64Decoder();
byte[] bytes = base64Decoder.decodeBuffer(encode);
System.out.println(new String(bytes,"UTF-8" ));
jwtPayLoad:
{
"iss": "springboot", #该JWT 的签发者,可填/不填
"iat": d, # 签发时间 可填/不填
"exp": 5s, # token 过期时间。uninx 时间戳 可填/不填
"aud": "www.baidu.com", # 接受 jwt方 可填/不填
"sub": "www.baidu.com" # 面向的用户 可填/不填
}
加密解密:
Map<String,String> payLoadMap = new HashMap<>();
payLoadMap.put("iss","springboot");
payLoadMap.put("iat","1234567");
payLoadMap.put("exp","100s");
payLoadMap.put("aud","ww.baidu.com");
payLoadMap.put("sub","ww.baidu.com");
String toString = JSON.toJSONString(payLoadMap);
System.out.println(toString);
HmacCore.HmacSHA256 hmacSHA256 = new HmacCore.HmacSHA256();
String encode1 = base64Encoder.encode(toString.getBytes("UTF-8"));
System.out.println(encode1);
System.out.println(new String(base64Decoder.decodeBuffer(encode1),"UTF-8"));
利用JDK 自带的BASE64Encoder 和 BASE64Decoder,方便的完成基于 BASE64 的编码和解码
eyJhdWQiOiJ3dy5iYWlkdS5jb20iLCJzdWIiOiJ3dy5iYWlkdS5jb20iLCJpc3MiOiJzcHJpbmdi
b290IiwiZXhwIjoiMTAwcyIsImlhdCI6IjEyMzQ1NjcifQ==
这个是payLoad的部分内容, jwt格式:jwtHeader.jwtPayLoad.Signature
对获取的头信息用(.)拼接,再用HS256 加密
eyJ0eXBlIjoiSldUIiwiYWxnIjoiQkFTRTY0In0=.eyJhdWQiOiJ3dy5iYWlkdS5jb20iLCJzdWIiOiJ3dy5iYWlkdS5jb20iLCJpc3MiOiJzcHJpbmdib290IiwiZXhwIjoiMTAwcyIsImlhdCI6IjEyMzQ1NjcifQ==
加密:
在这里插入代码片