JSON Web Token入门基础笔记
一、什么是 JSON Web Token
JSON Web Token(JWT)是一个开放式标准(RFC 7519);用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名
二、什么时候用 JSON Web Token
下面是一些JSON Web Token很有用的场景:
一、授权:这是使用JWT最常见的场景。一旦用户登录,随后的每个请求都将包括JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是目前广泛使用JWT的一个特性,因为它的开销很小,而且可以在不同领域轻松使用
二、信息交换 :JSON Web Token是在各方之间安全传输信息的好方法。因为JWTs能做签名;例如,使用公钥/私钥 键值对,你能确保发送者的真实身份;此外,由于签名是使用头和有效负载计算的,您还可以验证内容是否被篡改
三、JSON Web Token的结构
以紧凑的格式、JSON Web Token 以.分隔并由
header、Payload、Signature 三部分组成。
形如:xxxxx.yyyyy.zzzzz
Header
这 Header 部分,通常由两部分组成: token类型(JWT) 和 使用的哈希算法、例如:HMAC SHA256 or RSA.
{
"alg": "HS256",
"typ": "JWT"
}
header 使用 Base64Url 编码,组成JWT的第一部分。
Payload
这第二部分是payload(负载),包括许多claims, claims 通过使用一个实体(通常是用户信息)和一些附加信息。有三种类型的claims :registered, public, and private claims
- Registered claims : 这里有一些预先定义好的claims。他们不是强制的、但是是推荐的。他们十分有用,实现可互操作 。例如: iss (issuer), exp (expiration time), sub (subject), aud (audience) 等
iss: 该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳
iat(issued at): 在什么时候签发的
- Pulbic Claims :这些可以由使用JWTs的人随意定义。但是为了避免冲突,它们应该在
IANA JSON Web Token Registry中定义,或者定义为包含抗冲突名称空间的URI。 - Private claims
典型的payload 例子:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
payload 使用Base64Url编码组成JSON Web Token的第二部分。
Signature
要创建签名部分,您必须使用编码的标头、编码的有效负载、秘密、标头中指定的算法,并进行签名
例如,如果您想使用HMAC SHA256算法,签名将按照以下方式创建
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
四、JWT 的使用方式
客户端收到服务器返回的JWT,可以储存在Cookie 里面,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。
Authorization: Bearer
另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。
五、JSON Web Token的特点
JWT的优点:
- 体积小,因而传输速度更快
- 多样化的传输方式,可以通过URL传输、POST传输、请求头Header传输(常用)
- 简单方便,服务端拿到jwt后无需再次查询数据库校验token可用性,也无需进行redis缓存校验
- 在分布式系统中,很好地解决了单点登录问题
- 很方便的解决了跨域授权问题,因为跨域无法共享cookie
JWT的缺点:
- JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑
- 获取到jwt也就拥有了登录权限,因此jwt是不可泄露的,网站最好使用https,防止中间攻击偷取jwt
JWT被确实存在被窃取的问题,但是如果能得到别人的token,其实也就相当于能窃取别人的密码,这其实已经不是JWT安全性的问题。网络是存在多种不安全性的,对于传统的session登录的方式,如果别人能窃取登录后的sessionID,也就能模拟登录状态,这和JWT是类似的。为了安全,https加密非常有必要,对于JWT有效时间最好设置短一点
六、代码示例(demo)
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* APP登录Token的生成和解析
*
*/
public class JwtToken {
/** token秘钥,请勿泄露,请勿随便修改 backups:JKKLJOoasdlfj */
public static final String SECRET = "JKKLJOoasdlfj";
/** token 过期时间: 10天 */
public static final int calendarField = Calendar.DATE;
public static final int calendarInterval = 10;
/**
* JWT生成Token.
* JWT构成: header, payload, signature
* @param user_id 登录成功后用户user_id, 参数user_id不可传空
*/
public static String createToken(Long user_id) throws Exception {
Date iatDate = new Date();
// expire time
Calendar nowTime = Calendar.getInstance();
nowTime.add(calendarField, calendarInterval);
Date expiresDate = nowTime.getTime();
// header Map
Map<String, Object> map = new HashMap<>();
map.put("alg", "HS256");
map.put("typ", "JWT");
String token = JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
.sign(Algorithm.HMAC256(SECRET)); // signature
return token;
}
/**
* 解密Token
*
* @param token
* @return
* @throws Exception
*/
public static Map<String, Claim> verifyToken(String token) {
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
jwt = verifier.verify(token);
} catch (Exception e) {
e.printStackTrace();
}
return jwt.getClaims();
}
}
七、参考:
- 官网
- JSON Web Token 入门教程
- https://github.com/jwtk/jjwt
- https://jwt.io/introduction/
- https://blog.csdn.net/weixin_37162010/article/details/80210993
https://www.jianshu.com/p/af8360b83a9f