什么是 JWT
JWT 全称 JSON web Token,因此他的本质是一个token,只是它是具有统一格式和操作步骤的 token,也就是一种规范,通过这个工具,我们可以在客户端和服务器安全的传输信息。主要是具有验证身份的作用。
关于更多的 JWT 的基本信息可以参考下方链接:
八幅漫画理解使用JSON Web Token设计单点登录系统
JWT wiki
因此在这里我只是简单描述 JWT 的构成和实现原理,主要叙述一下我在学习 java 后台开发的时候,如何理解和使用 JWT。
JWT 构成和原理
构造很简单,一个完整 JWT。主要由三部分构成:
header.payload.signature
为什么我这里每个部分都用 . 隔开呢,因为网络中真实传递的 JWT 真的是这种样子的。比如下面这种
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.XbPfbIHMI6arZ3Y922BhjWgQzWXcXNrz0ogtVhfEd2o
当然了,每个部分都经过了一些处理,才长了这么奇怪的样子。
header 主要是描述一下,我这个是什么类型的token,用了什么样的加密方法,如:
{
"alg": "HS256",
"typ": "JWT"
}
payload 包含 claims (官方),我的理解就是里面包含了一些身份信息,比如这个 JWT 的签发者,接受者,有效时间等等, 如:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
signature 这个是最为关键的一个部分,他用来确保前面的两项不会被他人篡改,假冒。
生成一个 JWT 的流程如下(服务端的角度):
- 构建一个正常的 header A,写入一些信息,然后使用 base64 编码 header A 得到 header B
- 构建一个正常的 payload A,写入一些信息,然后使用 base64 编码 payload A 得到 payload B
- 选择一个加密算法,如 HS256,然后自定一个 secret,这个 secret 是他人都不知道的,只要本服务端保有
- 拼接 headerB 和 payloadB 为 headerB.payloadB,将其作为一个整体,使用 HS256 进行加密(secret 为密钥),从而得到 signature A
- 把 signature A 用 base64 编码得到 signature B,所以最后的结果就是 headerB.payloadB.signatureB
至此,一个 JWT 就生成完成了。
那么在实际中,它是如何实现身份验证的呢。
首先客户端第一次登录,在确认无误后,服务端生成 JWT 发送到给客户端,客户端需要保存这个 token,之后的请求,如果是有身份要求的请求,就需要带上 JWT 发请求。
服务端这个时候接受到了客户端的请求和 JWT,首先对 JWT 三个部分 headerB,payloadB,signatureB 分别 base64 解码,得到 headerA,payloadA 和 signatureA,这样可以顺利的读取 headerA 和 payloadA 的信息。之前说到,一些用户的信息是放在 payloadA 中的,因此服务端以此暂时认定用户的身份,接着,服务端就要开始验证这个身份是不是有效的,正确的,无篡改的。
服务端通过 headerA 中包含的算法,或者自定的一种算法也行(只要和签发 JWT 时的算法一样就行),这里比如还是 HS256 算法,用该算法带密钥 secret 加密 headerB.payloadB,得到的结果和 signatureA 比较,只要不一样,说明 JWT 不合法,要么是伪造的,要么是篡改的。
这里的加密算法必须能够保证:通过同一个 secret 为密钥,加密 X 一定可以得到唯一的 Y。并且这种映射关系随着 secret 不同而不同。
如果 JWT 被篡改,由于他人不知道 secret,因此加密后的到的结果一定和 signatureA 不同(相同的概率几乎没有)
因此 JWT 非常适合用于身份认证,授权系统等
java 中使用 JWT
java 后台中可以引入 java-jwt 这个包。
我们可以在 login controller 下调用颁发 JWT 的 service, 如下:
// Controller
@RequestMapping(value = "/login", method = RequestMethod.POST)
public String login(@RequestParam(value = "username") String username,
@RequestParam(value = "password") String passwd) {
return authService.loginValidation(username, passwd);
}
// Service
public String loginValidation(String username, String passwd) {
if (...) { // username 和 password 都合法
String token = getToken();
....
}
}
public String getToken() {
String token = "";
try {
Algorithm algorithm = Algorithm.ECDSA512("your secret");
token = JWT.create()
.withAudience(Config.aud)
.sign(algorithm);
} catch (UnsupportedEncodingException exception) {
} catch (JWTCreationException exception) {
}
return token;
}
验证 JWT,如下:
// 某方法
{
if (token == null) {
throw new RuntimeException(Config.errLogin);
}
// 假设只有 audience
String audience;
try {
audience = JWT.decode(token).getAudience().get(0);
} catch (JWTDecodeException e) {
throw new RuntimeException(Config.errLogin);
}
if (!audience.equals(Config.aud)) {
throw new RuntimeException(Config.errLogin);
}
try {
JWTVerifier verifier = JWT.require(Algorithm.ECDSA512(Config.username + Config.passwd)).build();
try {
verifier.verify(token);
} catch (JWTVerificationException e) {
throw new RuntimeException(Config.errLogin);
}
} catch (UnsupportedEncodingException e) {
}
}
如果使用的是 spring 系列的框架
为了实现指定的请求,在业务处理前先进行身份验证,我们可以自定义一个注解,然后用 AOP 的方式实现。
// 自定义注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginRequired {
}
// aop
@Aspect
@Component
public class LoginAspect {
@Pointcut(value = "@annotation(***.***.LoginRequired)")
public void loginPoint() {
}
@Before("loginPoint()")
public void before() throws Exception{
// 此处放入验证代码即可
}
Target METHOD 表示这个注解是用在方法上的。
Retention Runtime 运行时刻读取使用
Pointcut 指定哪里切入,后面定义,从有 LoginRequired 注解的方法切入,annotation里面是这个注解定义的路径
Before 先执行 aop 的代码,结束后,再执行原函数代码。