Java安全验证之jwt(json web token)

http://blog.csdn.net/u012017645/article/details/53585872

jwt token安全验证流程：用户发起登录请求，服务端创建一个加密后的jwt信息，作为token返回值，在后续请求中jwt信息作为请求头，服务端正确解密后可获取到存储的用户信息，表示验证通过；解密失败说明token无效或者已过期。

jwt token的组成：header.poyload.sign

• header：头部，主要包括参数的类型--JWT，加密算法---RS512，头部由json字符串用base64编码生成；
• poload：载荷，存放需要保存的一些用户信息，主要包括主题、签发者、接受者、到期时间等，载荷也由json字符串用base64编码生成，不能存放敏感数据；
• sign：签名，防止恶意篡改数据。
  

依赖：

		
		
			io.jsonwebtoken
			jjwt
			0.6.0
		

jwt加解密的工具类：

package cn.lsh.util;

import java.security.Key;
import java.util.Date;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import org.apache.commons.lang.exception.ExceptionUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;




import cn.lsh.entity.User;
import cn.lsh.vo.security.Audience;
import cn.lsh.vo.security.LoginParamter;

public class JwtUtils {
	private static final Logger LOGGER=LoggerFactory.getLogger(JwtUtils.class);
	
	private JwtUtils(){
		
	}

	/*
	 * 验证jwt是否合法，即解密
	 */
	public static Claims parseJWT(String jsonWebToken,String base64Security){
		try {
			return Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
					.parseClaimsJws(jsonWebToken)
					.getBody();		
		} catch (Exception e) {
			// TODO: handle exception
			LOGGER.error("exception message is: {}", ExceptionUtils.getStackTrace(e));
			return null;
		}
	}
	
	/*
	 * 创建jwt,即加密
	 */
	public static String createJWT(LoginParamter loginParamter,User user,Audience audience){
		long ttlmillis=audience.getExpiresSecond()*1000;
		String base64Security=audience.getBase64Secret();
		Date now=new Date(System.currentTimeMillis());
        
		//生成签名密钥
		byte[] apiKeySecretBytes=DatatypeConverter.parseBase64Binary(base64Security);
		Key signingKey=new SecretKeySpec(apiKeySecretBytes, SignatureAlgorithm.HS256.getJcaName());
		
		//添加构成JWT的参数		
		JwtBuilder builder=Jwts.builder().setHeaderParam("typ", "JWT")//typ表示token的类型
				.claim("role", user.getRole())// 自定义属性
				.claim("unique_name", loginParamter.getUserName())
				.claim("userid", user.getName())
				.setIssuer(audience.getName())// 签发者
				.setAudience(audience.getClientId())//接受者
				.signWith(SignatureAlgorithm.HS256, signingKey);// 签名算法以及密匙
		
        //添加Token过期时间
		if(ttlmillis>=0){
			Date exp=new Date(System.currentTimeMillis()+ttlmillis);
			builder.setExpiration(exp)// 过期时间
			.setNotBefore(now);// 失效时间
		}
		
		//生成JWT
		return builder.compact();
	}
	
	public static void main(String[] args) {
		Claims c=parseJWT("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoi566h55CG5ZGYIiwidW5pcXVlX25hbWUiOiJsaXVzaGlodWEiLCJ1c2VyaWQiOiJsaXVzaGlodWEiLCJpc3MiOiJsaXVzaGlodWEiLCJhdWQiOiIwOThmNmJjZDQ2MjFkMzczY2FkZTRlODMyNjI3YjRmNiIsImV4cCI6MTUwMjM1OTQ1NSwibmJmIjoxNTAyMzUyMjU0fQ.OeDN4deNUlDiUmwROjxw5_xrurJt46b1RZ0K5yNKH88", 
				"MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=");
		System.out.println(c);
	}
}

audience包含token的一些信息：

package cn.lsh.vo.security;

import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import lombok.Data;

@Data
//绑定属性的配置信息到该bean中，配置信息前缀为audience
@ConfigurationProperties(prefix="audience")
@Component
@ApiModel(value="JWT")
public class Audience {

	@ApiModelProperty(value="传入的客户端id，相当于微信的openID",required=true)
	private String clientId;
	@ApiModelProperty(value="64位公钥",required=true)
	private String base64Secret;
	@ApiModelProperty(value="令牌发行者姓名",required=true)
	private String name;
	@ApiModelProperty(value="令牌有效时间，单位为秒",required=true)
	private int expiresSecond;
}

一、在用户登录是生成token，返回给客户端

String accessToken=JwtUtils.createJWT(loginParamter, user, audience);

二、在用户下次请求是验证token

	private boolean isValidJwt(HttpServletRequest request){
		LOGGER.info("{} request to {}",request.getMethod(),request.getRequestURL());
		String authorization=request.getHeader("Authorization");
		LOGGER.info("authorization is: {}",authorization);
		//access_token的头信息,定义为bearer
		String headString=authorization.substring(0, 6).toLowerCase();
		//compareTo逐个比较两个字符串中相对字符的ascll值，所有字符都相同返回0，发现小于时返回正整数，大于时返回负整数，即ascll值的差值。
		if(headString.compareTo(Constants.BEARER)==0){
			authorization=authorization.substring(6, authorization.length());
			if(JwtUtils.parseJWT(authorization, audience.getBase64Secret())!=null){
				return true;
			}
		}
		return false;
	}