基于JWT的Token认证
1、什么是JWT
JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的认证和数据交换方面。
2、JWT结构
JWT 由三个部分依次组成
- Header(头部)
- Payload(载荷)
- Signature(签名)
2.1、Header
Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。
需要对json进行base64url加密
{
"alg": "HS256",
"typ": "JWT"
}
2.2、Payload
用来存放实际需要传递的数据。
需要json进行base64url加密
里面的前五个字段都是由JWT的标准所定义的,并且也支持自定义字段
iss: 该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳
iat(issued at): 在什么时候签发的
#自定义字段
name:hello
2.3、Signature
把前两段的base密文通过·拼接起来,使用HS256加密
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
例如
eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE2MTQ2Puk_fv6cyfk0B1j7vbIqw_Q
3、JWT认证流程
- 客户端发送(用户名、密码)身份信息至服务器端;
- 服务器端对客户端发送身份信息进行校验,校验通过后,生成token字符串;
- 服务器端将生成的token字符串发送给客户端(服务器端不保存token);
- 客户端接收到token后,将token保存到cookie或者localstorage;
- 客户端每次向服务器端发送请求,携带token(通过header、cookie等方式);
- 服务器端收到请求,首先验证token是否合法过期(可通过拦截器方式),返回对应信息;
4、JWT认证和传统session认证区别
4.1、基于session的认证
http协议是一种无状态的协议,本身是无法对访问的客户端进行识别。
采用session机制,客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessionID到服务端,服务端会缓存该session(会话),当客户端请求到来的时候,服务端就知道是哪个用户的请求,并将处理的结果返回给客户端。
存在问题:
- session保存在服务端,当客户访问量增加时,服务端就需要存储大量的session会话,对内存压力增大
- 分布式集群环境存在session共享问题
- CSRF攻击: 基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
4.2、基于token的鉴权机制
基于token的鉴权机制类似于http协议也是无状态的,服务端不需要保存认证信息或者会话信息
5、JWT特点
跨域访问:基于Token的访问策略可以克服cookies的跨域问题
无状态token:token无状态,session有状态的
使用前后端分离、移动端:Cookie手机端不支持
跨平台:语言无关性,标准规范
避免了CSRF 攻击
JWT撤销问题:无法在服务器端撤销,只能辅助逻辑判断处理
6、JWT续约
jwt受自身机制原因,payload具有过期时间,参与签名过程,过期时间改动,签名发生改变,因此jwt本身是不支持续签的。但是结合一些方案来辅助实现。
- 每次请求刷新token。每次请求都返回一个新的 jwt 给客户端,但产生性能上问题;
- 要过期token预刷新。服务器端判断token是否将要过期(如10min内过期),则更新token,返回最新token客户端,但触发刷新时间无法判断,可能后10min内没有请求发送,则token无法更新;
- 第三方组件redis 等保存过期时间。结合redis保存token,改变了token的无状态性;
- refreshToken机制。1个 acessToken 设置过期时间 ,如半个小时,另一个是 refreshToken 过期时间如为1天。客户端登录后,将 accessToken和refreshToken 保存在本地,每次访问将 accessToken 传给服务端。服务端校验 accessToken 的有效性,如果过期,就将 refreshToken 传给服务端。如果有效,服务端就生成新的 accessToken 给客户端。否则,客户端就重新登录即可。但存在问题是:1、客户端操作更复杂;2、用户注销的时候需要同时保证两个 token 都无效;3、重新请求获取 token 的过程中会有短暂 token 不可用的情况(可以通过在客户端设置定时器,当accessToken 快过期的时候,提前去通过 refreshToken 获取新的accessToken)
7、项目实战
package com.spring.util;
import cn.hutool.core.date.DateUnit;
import cn.hutool.core.date.DateUtil;
import com.alibaba.fastjson.JSON;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* 测试
*
* @author yilei
* @className DemoController
* @date 2021/3/1 20:33
**/
@Controller
public class DemoController {
/**
* 获取access_token
*
* @param clientId 客户端ID
* @param clientSecret 客户端secret
* @return java.lang.String
* @author yilei
* @date 2021-03-01 21:32
*/
@RequestMapping(value = "tokens")
@ResponseBody
public String tokens(String clientId, String clientSecret) {
Map map = new HashMap<>(16);
// 验证客户端ID,密钥是否匹配
if (StringUtils.equals("ddddd", clientId) && StringUtils.equals("sssss", clientSecret)) {
// 生成access_token
String token = JwtTokenUtil.generateToken(clientId);
map.put("code", 1);
map.put("access_token", token);
Date expiration = JwtTokenUtil.getClaimsFromToken(token).getExpiration();
map.put("expires_in", DateUtil.between(expiration, new Date(), DateUnit.MS));
} else {
map.put("code", -1);
map.put("msg", "授权信息不正确!");
}
return JSON.toJSONString(map);
}
/**
* 校验token
*
* @param token
* @param clientId 客户端ID
* @return java.lang.String
* @author yilei
* @date 2021-03-01 21:33
*/
@RequestMapping(value = "tokens/check")
@ResponseBody
public String tokensCheck(@RequestHeader String token, @RequestParam String clientId) {
Map map = new HashMap<>(16);
boolean flag = JwtTokenUtil.validateToken(token, clientId);
if (flag) {
map.put("code", 1);
map.put("client_id", clientId);
Date expiration = JwtTokenUtil.getClaimsFromToken(token).getExpiration();
map.put("expires_in", DateUtil.between(expiration, new Date(), DateUnit.MS));
} else {
map.put("code", -1);
map.put("msg", "非法token或token已过期!");
}
return JSON.toJSONString(map);
}
}
package com.spring.util;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.PropertySource;
import org.springframework.stereotype.Component;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* JwtToken生成的工具类
*
* @author yilei
* @className JwtTokenUtil
* @date 2021/3/1 20:33
**/
@Component
@PropertySource("classpath:conf/jwt.properties")
public class JwtTokenUtil implements InitializingBean {
private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
private static final String CLAIM_KEY_CLIENT_ID = "client";
private static final String CLAIM_KEY_CREATED = "created";
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expire}")
private Long expire;
private static String JWT_SECRET;
private static Long JWT_EXPIRE;
@Override
public void afterPropertiesSet() {
JWT_SECRET = secret;
JWT_EXPIRE = expire;
}
/**
* 生成token
*
* @param clientId
* @return java.lang.String
* @author yilei
* @date 2021-03-01 20:04
*/
public static String generateToken(String clientId) {
Map claims = new HashMap<>(3);
claims.put(CLAIM_KEY_CLIENT_ID, clientId);
claims.put(CLAIM_KEY_CREATED, new Date());
return generateToken(claims);
}
/**
* 根据claims生成token
*
* @param claims
* @return java.lang.String
* @author yilei
* @date 2021-03-01 20:04
*/
public static String generateToken(Map claims) {
return Jwts.builder()
.setClaims(claims)
.setExpiration(new Date(System.currentTimeMillis() + JWT_EXPIRE * 1000))
.signWith(SignatureAlgorithm.HS512, JWT_SECRET)
.compact();
}
/**
* 根据token获取claims
*
* @param token
* @return io.jsonwebtoken.Claims
* @author yilei
* @date 2021-03-01 20:04
*/
public static Claims getClaimsFromToken(String token) {
Claims claims = null;
try {
claims = Jwts.parser()
.setSigningKey(JWT_SECRET)
.parseClaimsJws(token)
.getBody();
} catch (Exception e) {
LOGGER.info("JWT格式验证失败:{}", token);
}
return claims;
}
/**
* 验证token是否合法
* 1、client_id是否匹配
* 2、expire是否过期
*
* @param token
* @param clientId
* @return boolean
* @author yilei
* @date 2021-03-01 20:04
*/
public static boolean validateToken(String token, String clientId) {
Claims claims = getClaimsFromToken(token);
if (null == claims) {
return false;
}
Object cId = claims.get(CLAIM_KEY_CLIENT_ID);
if (null == cId) {
return false;
}
return StringUtils.equals(clientId, cId.toString()) && !isTokenExpired(token);
}
/**
* 判断token是否已经失效
*
* @param token
* @return boolean
* @author yilei
* @date 2021-03-01 20:04
*/
public static boolean isTokenExpired(String token) {
Claims claims = getClaimsFromToken(token);
Date expiredDate = claims.getExpiration();
return expiredDate.before(new Date());
}
public static void main(String[] args) {
String token = JwtTokenUtil.generateToken("123456");
System.out.println(token);
System.out.println("============");
String aa = "eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE2MTQ2MDg3NjgsImNsaWVudCI6IjEyMzQ1NiIsImNyZWF0ZWQiOjE2MTQ2MDg3MDg2MDV9.DyVpgKZ_2_8fP1gQdNYzdH5pI5JM7diw1ivXTHGtl1ayH6KQn3K3pRxGn1xrQRVzJyz6flLooY2_611XE8RNZA";
Claims claimsFromToken = JwtTokenUtil.getClaimsFromToken(aa);
System.out.println(claimsFromToken);
}
}
获取access_token
var settings = {
"url": "http://localhost:8080/spring_jwt/tokens.do?clientId=ddddd&clientSecret=sssss",
"method": "GET",
"timeout": 0,
};
$.ajax(settings).done(function (response) {
console.log(response);
});
{“access_token”:“eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE2MTQ2NDk3OTUsImNsaWVudCI6ImRkZGRkIiwiY3JlYXRlZCI6MTYxNDY0OTczNTI5OH0.EsKmthI44vBXdrl3ZkOb2tQGdds2T90LJ1CKXsjj4dge2JCW4Rw1c5MbMwwzwaGoDbaGE09Fwav6KTnFGqI-qg”,“code”:1,“expires_in”:59193}
校验token
var settings = {
"url": "http://localhost:8080/spring_jwt/tokens/check.do?clientId=ddddd",
"method": "GET",
"timeout": 0,
"headers": {
"token": "eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE2MTQ2NDk3OTUsImNsaWVudCI6ImRkZGRkIiwiY3JlYXRlZCI6MTYxNDY0OTczNTI5OH0.EsKmthI44vBXdrl3ZkOb2tQGdds2T90LJ1CKXsjj4dge2JCW4Rw1c5MbMwwzwaGoDbaGE09Fwav6KTnFGqI-qg"
},
};
$.ajax(settings).done(function (response) {
console.log(response);
});
{“code”:1,“expires_in”:5206,“client_id”:“ddddd”}
源码spring-jwt