java jwt登录_JWT实现登录认证实例
JWT全称JSON Web Token,是一个紧凑的,自包含的,安全的信息交换协议。JWT有很多方面的应用,例如权限认证,信息交换等。本文将简单介绍JWT登录权限认证的一个实例操作。
JWT组成
JWT由头部(Header),负载(Payload)和签名(Signature)三部分组成。其中头部包含了JWT的声明信息,例如签名所用的算法等。
{
"alg": "HS256",
"typ": "JWT"
}
负载部分是负责信息的承载,在通信过程中,我们将要交换的信息放置于负载部分。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
签名部分是JWT安全的保障,在传输过程中,头部和负载部分会经过Base64编码在网络中明文传输,既然是明文,为了保障信息在传输过程中不被篡改。JWT会对编码之后的头部和负载进行一个消息签名。
Signature = HMACSHA256(header + "." + payload + secret)
经过签名之后的JWT保证了数据不会被劫持并篡改。其中secret极为重要,即使有人劫持了消息,在不知道secret的情况下,无法签名出一个有效的JWT。
JWT的形式
JWT由三部分组成:头部,负载和签名。最终的JWT字串可以呈现出这三部分,在JWT中,.为分割各部分的分隔符,按照顺序依次为头部,负载和签名。不过这时你已经看不到JSON的形式,头部和负载会经过Base64编码,最终得到一个字符串。不过Base64并不是加密算法,它是一种编码格式,你可以通过一定的工具解码之后就会得到相应的JSON字串。
JWT实现权限认证
在互联网Web应用开发中,最为常见的一项工作就是认证用户,状态化HTTP请求和授予资源访问权限。
其中认证用户通过用户名、密码的登录操作实现,但是HTTP请求是无状态的,为了标记已经登录成功的用户,我们可以通过设置SESSION_ID,COOKIE来标记认证过的请求。但是它们都需要在服务端额外的存储这些SESSION_ID和COOKIE。在最初的单体应用架构中,存储可以在服务端中开辟一块内存,以键值对的形式存储SESSION_ID,COOKIE与用户的映射关系。分布式架构中可以使用REDIS等中间件来实现SESSION共享。
为什要存储映射关系?通过SESSION_ID和COOKIE我们不能够直接得到用户信息吗?其实并不是不可以,而是不安全,SESSION_ID和COOKIE是可以供用户自由操作的。如果直接明文形式的将用户信息写入其中,那么这些信息极有可能会被篡改。所以通常我们会在服务端生成随机字串,写入到SESSION_ID或COOKIE中,再将随机字串与用户之间建立一个映射。这样,客户端的用户并不能随意篡改这些信息了。因为并不知道其他用户的随机字串是什么。
JWT也是字串,只不过是编码之后的字串,而且这个字串是安全的。因为它是被服务端签名认证的。如果有用户修改的痕迹,那么服务端在检验时会发现字串被修改。正是这一特性保障了认证的安全性。
在业务中,JWT可以实现双向校验,即通信双方都可以校验JWT有无被篡改。实现方式是通过非对称加密技术。
Java-JWT权限认证Demo
登陆成功之后,服务端签发JWT代码:
final long expireTime = 1000 * 60 * 60 * 4; //JWT有效期为4小时
final String loginWebToken = JWT.create()
.withIssuer(configurationProperties.getJwtLoginIssuer())
.withClaim("username", vo.getUsername()) // 负载部分
.withClaim("user_id", admin.getId())
.withExpiresAt(new Date(System.currentTimeMillis() + expireTime)) // 设置有效期
.sign(Algorithm.HMAC256(configurationProperties.getJwtSignKey())); // 进行签名
签发的JWT可以直接返回给客户端,有客户端JS代码写入下次请求的指定位置,也可以由服务端写入SESSION_ID或COOKIE中。
校验JWT代码,拦截未认证的请求:
try
{
final String loginWebToken = request.getHeader("Authorization");
// final DecodedJWT decodeToken = JWT.decode(loginWebToken);
// String username = decodeToken.getClaim("username").asString();
// JWT验证
JWT.require(Algorithm.HMAC256(configurationProperties.getJwtSignKey()))
.withIssuer(configurationProperties.getJwtLoginIssuer())
.build().verify(loginWebToken);
return true;
}catch (Exception ex)
{
Response re = new Response()
.setMsg("权限受限,请登陆")
.setData(null)
.setSuccess(false);
response.reset();
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json;charset=UTF-8");
response.getWriter().print(JSON.toJSONString(re));
return false;
}
业务中使用JWT实现HTTP状态化,服务不同认证用户:
@GetMapping("/user/info")
public Response getUserInfo(HttpServletRequest req)
{
final String loginWebToken = request.getHeader("Authorization");
final DecodedJWT jwt = JWT.decode(loginWebToken);
log.info("欢迎{}使用系统", jwt.getClaim("username");
return userService.getUserInfo(jwt.getClaim("user_id"));
}