Token是用户进行一些权限操作时的许可凭证。token本质是字符串,里面包含了用户信息,过期时间,加密方式等。token是在前端进行登录之后,由服务器分发给前端,然后前端进行权限操作时,再将token发送给服务器,由服务器来验证。token是有过期时间的,一但token过期,用户就要重新登陆让服务器生成新的token。
token的验证流程如下
JWT全名json web token, JWT就是上述流程当中token的一种具体实现方式,它由三个部分组成,并每个部分由.
来连接。
因此jwt会是这个样子xxxxx.yyyyy.zzzzz
标头通常由两部分组成:令牌的类型,即JWT,以及正在使用的签名算法,如HMAC SHA256或RSA。如下所示
{
"alg": "HS256",
"typ": "JWT"
}
之后这段代表会用base64url进行编码来形成jwt的第一部分。
jwt的第二部分是负载,负载里面包含了许多声明(例如用户信息)。一共有三种类型的声明(registered,public,private)
registered 该声明是预定义的,不是强制性的,但是是推荐的。其中一些是:iss(发行者)、exp(过期时间)、sub(主题)、aud (用户)、iat(发布时间)、jti(JWT ID用于标识该JWT)等。(注意:jwt中json声明的名字都是三个字母)
public 这部分是用户自己定义的。注意不要跟registerd的冲突。
private 这些是为在同意使用它们的各方之间共享信息而创建的定制声明,它们既不是registered的,也不是public声明。
注意:不要将未加密的秘密信息放在头部或者负载。因为他们是可读的。
之后负载会用Base64rul进行编码作为jwt的第二部分。
签名是拿到被base64编码的标头和负载后,用标头里的加密算法对拿到的标头和负载进行加密,然后作为jwt的第三部分。签名是用来验证标头和负载中的信息有没有被篡改。如果标头和负载的信息被篡改,则这个jwt是失效的。反之验证通过。
流程如下。
首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
HMACSA256( base64UrlEncode(header) + " . " +base64UrlEncode(payload) , secret )
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.
分隔,就构成整个JWT对象。
java中最常用的库是java-jwt。pom坐标如下。
com.auth0
java-jwt
4.0.0
//HMAC
Algorithm algorithmHS = Algorithm.HMAC256("secret"); //use more secure key
//RSA
RSAPublicKey publicKey = //Get the key instance
RSAPrivateKey privateKey = //Get the key instance
Algorithm algorithmRS = Algorithm.RSA256(publicKey, privateKey);
//Rsa是一种非对称算法 验证时候需要公钥和私钥,私钥一般是存放在服务器里。
Map <String, Object> map = Map<String,String> map = new HashMap<>(); //自定义payload
map.put("age",11);
JWT.create().withPayload(map).withKeyId(String.valueOf(123)).withIssuer("Tom").withExpiresAt(calendar.getTime()).sign(algorithmRS);
最后一定要调用sign传入第一步的算法对象,签署电子签名。
上述代码生成的jwt转成json后如下。
head
{
"kid": "123",
"typ": "JWT",
"alg": "RS256"
}
payload
{
"iss": "Tom",
"exp": 1663816787
"age":11
}
try {
//要验证的jwt
String token = "eyJraWQiOiI4IiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiLnrb7lj5HogIUiLCJleHAiOjE2NjM4MTY3ODd9.U3PyZobW2KwZ4a_kQ3soZzEQtAj0sh8vKDR5ZC916BE-tRUM8RaoeWfw6Y40REjbUCGIp6fqRPsxUf7LDGmo1okfkfzkXBnfKTF93UNiqmFLfNWp5tXwCeUmoN0a3S_9Fu6v8nOp8M38eTIoz2Z719LGU92Fbht-PtHpqB_WZ1Q""
//指定解析的算法
Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey());
//生成解析器
JWTVerifier verifier = JWT.require(algorithm).build();
//如果验证失败会抛出异常
DecodedJWT jwt = verifier.verify(token);
//获取jwt的keyid
String userID = jwt.getKeyId();
}
catch (TokenExpiredException e ){
...
}