Token详解

文章目录

  • 一、token是什么?
  • 二、jwt
    • 2.1 Header 标头
    • 2.2 Payload 负载
    • 2.3 Signature 签名
  • 三、Java中使用jwt
    • 3.1 使用步骤
      • 3.1.1 生成jwt
      • 3.1.2 验证jwt

一、token是什么?

Token是用户进行一些权限操作时的许可凭证。token本质是字符串,里面包含了用户信息,过期时间,加密方式等。token是在前端进行登录之后,由服务器分发给前端,然后前端进行权限操作时,再将token发送给服务器,由服务器来验证。token是有过期时间的,一但token过期,用户就要重新登陆让服务器生成新的token。

token的验证流程如下

  • 客户端使用用户名和密码请求登录
  • 服务端收到请求,验证用户名和密码
  • 验证成功后,服务端会签发一个token,再把这个token返回给客户端
  • 客户端收到token后可以把它存储起来,比如放到cookie中
  • 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
  • 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据

二、jwt

JWT全名json web token, JWT就是上述流程当中token的一种具体实现方式,它由三个部分组成,并每个部分由.来连接。

  • 头部(head)
  • 负载(payload)
  • 签名(Signature)

因此jwt会是这个样子xxxxx.yyyyy.zzzzz

2.1 Header 标头

标头通常由两部分组成:令牌的类型,即JWT,以及正在使用的签名算法,如HMAC SHA256或RSA。如下所示

{
  "alg": "HS256",
  "typ": "JWT"
}

之后这段代表会用base64url进行编码来形成jwt的第一部分。

2.2 Payload 负载

jwt的第二部分是负载,负载里面包含了许多声明(例如用户信息)。一共有三种类型的声明(registered,public,private)

  • registered 该声明是预定义的,不是强制性的,但是是推荐的。其中一些是:iss(发行者)、exp(过期时间)、sub(主题)、aud (用户)、iat(发布时间)、jti(JWT ID用于标识该JWT)等。(注意:jwt中json声明的名字都是三个字母)

  • public 这部分是用户自己定义的。注意不要跟registerd的冲突。

  • private 这些是为在同意使用它们的各方之间共享信息而创建的定制声明,它们既不是registered的,也不是public声明。

    注意:不要将未加密的秘密信息放在头部或者负载。因为他们是可读的。
    

之后负载会用Base64rul进行编码作为jwt的第二部分。

2.3 Signature 签名

签名是拿到被base64编码的标头和负载后,用标头里的加密算法对拿到的标头和负载进行加密,然后作为jwt的第三部分。签名是用来验证标头和负载中的信息有没有被篡改。如果标头和负载的信息被篡改,则这个jwt是失效的。反之验证通过。
流程如下。

首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
HMACSA256( base64UrlEncode(header) + " . " +base64UrlEncode(payload) , secret )
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.分隔,就构成整个JWT对象。

三、Java中使用jwt

java中最常用的库是java-jwt。pom坐标如下。


    com.auth0
    java-jwt
    4.0.0

3.1 使用步骤

3.1.1 生成jwt

  1. 指定算法。
//HMAC
Algorithm algorithmHS = Algorithm.HMAC256("secret"); //use more secure key

//RSA
RSAPublicKey publicKey = //Get the key instance
RSAPrivateKey privateKey = //Get the key instance
Algorithm algorithmRS = Algorithm.RSA256(publicKey, privateKey);
//Rsa是一种非对称算法 验证时候需要公钥和私钥,私钥一般是存放在服务器里。
  1. 创建 jwt 并添加指定 payload
Map <String, Object> map =  Map<String,String> map = new HashMap<>(); //自定义payload
map.put("age",11);
JWT.create().withPayload(map).withKeyId(String.valueOf(123)).withIssuer("Tom").withExpiresAt(calendar.getTime()).sign(algorithmRS);

最后一定要调用sign传入第一步的算法对象,签署电子签名。

上述代码生成的jwt转成json后如下。

head
{
  "kid": "123",
  "typ": "JWT",
  "alg": "RS256"
}
payload
{
  "iss": "Tom",
  "exp": 1663816787
  "age":11
}

3.1.2 验证jwt

 try {
 	    //要验证的jwt
 		String token = "eyJraWQiOiI4IiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiLnrb7lj5HogIUiLCJleHAiOjE2NjM4MTY3ODd9.U3PyZobW2KwZ4a_kQ3soZzEQtAj0sh8vKDR5ZC916BE-tRUM8RaoeWfw6Y40REjbUCGIp6fqRPsxUf7LDGmo1okfkfzkXBnfKTF93UNiqmFLfNWp5tXwCeUmoN0a3S_9Fu6v8nOp8M38eTIoz2Z719LGU92Fbht-PtHpqB_WZ1Q""
 		//指定解析的算法
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey()); 
        //生成解析器
        JWTVerifier verifier = JWT.require(algorithm).build();
        //如果验证失败会抛出异常
        DecodedJWT jwt = verifier.verify(token);  
        //获取jwt的keyid
        String userID = jwt.getKeyId();  
      }
    catch (TokenExpiredException e ){
           ...
      }

你可能感兴趣的:(Java后端,前端,json,服务器)