基于JWT的Token认证机制(一)

简介

          JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。

JWT的组成

      一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature)。
      拼接形式为:  Header.Payload.Signature

头部(Header)

     JWT的头部用户描述关于该JWT的最基本信息,例如其类型以及签名所使用的算法等。这个可以被表示成一个JSON对象,比如下面类型就是JWT,使用的算法是HS256。
[plain] view plain copy
  1. {  
  2.   "typ": "JWT",  
  3.   "alg": "HS256"  
  4. }  

   上面的内容用Base64进行编码,编码后的字符串如下:
[plain] view plain copy
  1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9  

载荷(Payload)

  Payload里面是Token的具体内容,也就是Token的数据声明(Claim),这些内容里面有一些是标准字段,也可以添加其他需要添加的内容,如userId,email等。
   
[plain] view plain copy
  1. {  
  2.   "iss": "why",   
  3.   "iat": 1416797419,   
  4.   "exp": 1448333419,   
  5.   "aud": "www.example.com",   
  6.   "sub": "taobao.com",   
  7.   
  8. }  
  • iss: 该JWT的签发者,是否使用是可选的;
  • sub: 该JWT所面向的用户,是否使用是可选的;
  • aud: 接收该JWT的一方,是否使用是可选的;
  • exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;
  • iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;
  • nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟;,是否使用是可选的;
 上面的json内容,经过Base64编码后就成为如下内容:
[plain] view plain copy
  1. ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd  
  2. 3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9  

签名(Signature)

     签名就是对头部及载荷内容进行签名,如果有人截取了Token信息并对Token信息进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密时用的密钥的话,得出来的签名也一定是不一样的。
     签名的过程是这样的:采用header中声明的算法,接受三个参数:base64编码的header、base64编码的payload和秘钥(secret)进行运算。签名这一部分如果你愿意的话,可以采用RSASHA256的方式进行公钥、私钥对的方式进行。在下面的代码中,我们将介绍使用的签名方式。
   将上面的两个编码后的字符串都用句号连接在一起(头部在前),就形成了:
[plain] view plain copy
  1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd  
  2. 3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9  
  我们将上面拼接完的字符串用HS256算法进行加密,在加密的时候,提供一个密钥(secret),然后对上面的字符串进行加密后得到签名
[plain] view plain copy
  1. 6OcLdX38eKWn1gCyJ6RNwsAvIvXxYq1CGBkFWgiTsyc  
最后,将将这一部分也用句号拼接在字符串后面,就形成了
[plain] view plain copy
  1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.ewogICJpc3MiOiAid2h5IiwgCiAgImlhdCI6IDE0MTY3OTc0MTksIAogICJleHAiOiAxNDQ4MzMzNDE5LCAKICAiYXVkIjogInd  
  2. 3dy5leGFtcGxlLmNvbSIsIAogICJzdWIiOiAidGFvYmFvLmNvbSIsIAp9.6OcLdX38eKWn1gCyJ6RNwsAvIvXxYq1CGBkFWgiTsyc  
 

JWT的工作流程


    
 如上图所示:
     1. 用户导航到登录页,输入用户名和密码,进行登录
     2. 服务器对登录用户进行认证,如果认证通过,根据用户的信息和JWT的生成规则生成JWT Token
     3. 服务器将该Token字符串返回
     4. 客户端得到Token信息,将Token存储在localStorage、sessionStorage或cookie等存储形式中。
     5. 当用户请求服务器API时,在请求的Header中加入 Authorization:Token。
     6. 服务端对此Token进行校验,如果合法就解析其中内容,根据其拥有的权限和自己的业务逻辑给出响应结果,如果不通过,返回HTTP 401。
     7. 用户进入系统,获得请求资源

JWT的JAVA实现

       1.JWT的组成已经在上面详细的介绍过了,所以如果自己写生成方法的话也是可以的,就是先将Header信息和Payload信息分别进行Base64编码,用英文句号隔开,然后用HMACSHA256算法进行签名,再把签名组合起来的过程。
       2. 这里我们重点说下使用JJWT的开源库;JJWT实现了JWT、JWS、JWE和JWA RFC规范,下面将简单举例说明如何使用:

生成Token码
 
[java] view plain copy
  1. package why.test;  
  2.   
  3. import io.jsonwebtoken.Claims;  
  4. import io.jsonwebtoken.JwtBuilder;  
  5. import io.jsonwebtoken.Jwts;  
  6. import io.jsonwebtoken.SignatureAlgorithm;  
  7.   
  8. import javax.crypto.spec.SecretKeySpec;  
  9. import javax.xml.bind.DatatypeConverter;  
  10. import java.security.Key;  
  11. import java.util.Date;  
  12.   
  13. /** 
  14.  * @Author: 王洪玉 
  15.  * @Decsription: 生成Token的工具类 
  16.  * @Create: 2017/11/12 20:06 
  17.  * @Modified By: 
  18.  */  
  19. public class TokenUtil {  
  20.     private static final String APP_KEY = "why_key"//进行数字签名的私钥,一定要保管好,不能和我一样写到博客中。。。。。  
  21.   
  22.     private TokenUtil(){  
  23.   
  24.     }  
  25.   
  26.     /** 
  27.      * 一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature) 
  28.      * @param id 当前用户ID 
  29.      * @param issuer 该JWT的签发者,是否使用是可选的 
  30.      * @param subject 该JWT所面向的用户,是否使用是可选的 
  31.      * @param ttlMillis 什么时候过期,这里是一个Unix时间戳,是否使用是可选的 
  32.      * @param audience 接收该JWT的一方,是否使用是可选的 
  33.      * @return 
  34.      */  
  35.     public static String createJWT(String id,String issuer,String subject,long ttlMillis, String audience){  
  36.   
  37.   
  38.         SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;  
  39.   
  40.         long nowMillis = System.currentTimeMillis();  
  41.         Date now = new Date(nowMillis);  
  42.   
  43.         byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(APP_KEY);  
  44.   
  45.         Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());  
  46.   
  47.         JwtBuilder jwtBuilder = Jwts.builder()  
  48.                 .setId(id)  
  49.                 .setSubject(subject)  
  50.                 .setIssuedAt(now)  
  51.                 .setIssuer(issuer)  
  52.                 .setAudience(audience)  
  53.                 .signWith(signatureAlgorithm,signingKey);  
  54. "white-space:pre;"//设置Token的过期时间  
  55.         if(ttlMillis >=0){    
  56.             long expMillis = nowMillis + ttlMillis;  
  57.             Date exp = new Date(expMillis);  
  58.             jwtBuilder.setExpiration(exp);  
  59.         }  
  60.   
  61.         return jwtBuilder.compact();  
  62.   
  63.     }  
  64.   
  65.     //私钥解密token信息  
  66.     public static Claims getClaims(String jwt) {  
  67.         return Jwts.parser()  
  68.                 .setSigningKey(DatatypeConverter.parseBase64Binary(APP_KEY))  
  69.                 .parseClaimsJws(jwt).getBody();  
  70.     }  
  71.   
  72. }  

生成Token信息并解密
[java] view plain copy
  1.     @Test  
  2.     public void testCreateToken(){  
  3.         String userId = "WKSH121321KKsdfk";  
  4.         String issuer = "http://whytfjybj.com";  
  5.         String subject = "师范学院";  
  6.         long ttlMillis = 1000 * 60;  
  7.         String audience = "schoolNo";  
  8.         String token = TokenUtil.createJWT(userId,issuer,subject,ttlMillis,audience);  
  9.         //打印出token信息  
  10.         System.out.println(token);  
  11.   
  12.   
  13. //        解密token信息  
  14.         Claims claims = TokenUtil.getClaims(token);  
  15.         System.out.println("---------------------------解密的token信息----------------------------------");  
  16.         System.out.println("ID: " + claims.getId());  
  17.         System.out.println("Subject: " + claims.getSubject());  
  18.         System.out.println("Issuer: " + claims.getIssuer());  
  19.         System.out.println("Expiration: " + claims.getExpiration());  
  20.   
  21.     }  

总结: JWT本身的实现非常简单,虽然很高效的完成了用户认证,但网站的安全性问题是一个非常重要且关键的问题,通过上面的JWT生成过程我们可以很清楚的知道,JWT本身没有做加密处理,都是通过Base64进行编码后方便通过HTTP传输而已,Header和Payload信息都是可以通过Base64解码进行查看的。简单的安全措施是:
  1. 为保证用户密、密码验证过程的安全性,敏感信息需要在网络中传输,Token信息也会在Request请求信息中看到,因此,这个过程建议将网站进行SSL加密传输,采用HTTPS协议,以确保通道的安全性。
  2.在Payload中尽量少带敏感性信息,只带ID等无关网站安全的信息。
总之,网站安全又是另一个非常重要的话题了,涉及到的方方面面都很广,要防范的攻击也很多,我们就不做讨论了。


原文来自:https://blog.csdn.net/why15732625998/article/details/78534711

你可能感兴趣的:(初入架构)