JWT令牌(JSON Web Token)
目录
1 前言
2 JWT令牌的组成
3 使用步骤举例
3.1 pom.xml中引入依赖
3.2 JWT生成
3.3 JWT验证
4 实践中的使用举例
4.1 拦截非法访问
4.1.1 编写为工具类
4.1.2 下发给用户
4.1.3 编写拦截器
4.1.4 注册拦截器
4.2 获取相关数据提升效率
1 前言
在我们编写的后端程序中,如果没有进行相关处理,那么就可能出现绕过登录,直接访问相关接口的情况。因此,我们引入了JWT令牌(一段特殊的字符串)。此外,使用JWT令牌,还要如下好处:
①减少查询数据库的次数,提高性能
②防止篡改,提高安全性
2 JWT令牌的组成
hdoj1u901jd.q0hd=kd.dhiwihdih(随便弄的,演示一下)
以.为分隔,我们可以将JWT令牌拆解成三部分
第一部分(Header/头):记录令牌类型和签名算法等
第二部分(Payload/有效载荷):携带一些自定义信息,如:id和用户名,不宜包含密码。因为JWT是依赖于Base64生成的,而Base64只是一种编码方式而非加密,携带密码就不安全
第三部分(Signature/签名):防止篡改,确保安全性,由前两部分+秘钥通过加密算法得到
3 使用步骤举例
3.1 pom.xml中引入依赖
com.auth0
java-jwt
4.4.0
3.2 JWT生成
public class JwtTest {
@Test
public void testGenerate() {
Map claims = new HashMap<>();
claims.put("id", 5);
claims.put("username", "zy");
//生成jwt的代码
String token = JWT.create()
.withClaim("user", claims)//添加载荷
.withExpiresAt(new Date(System.currentTimeMillis() + 1000*60*60*2))//添加过期时间
.sign(Algorithm.HMAC256("test"));//指定算法,配置秘钥
System.out.println(token);
}
}
3.3 JWT验证
public class JwtTest {
/**
* JWT校验报错(失败)的两种情况:
* 1.JWT被修改
* 2.token过期
*/
@Test
public void testParse() {
//testGenerate()生成的的字符串,模拟用户传递过来的token
String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9" +
".eyJ1c2VyIjp7ImlkIjo1LCJ1c2VybmFtZSI6Inp5In0sImV4cCI6MTcwNjE3NjYxMX0" +
".bTpMAeawJ3u9-d2PKL2JIhynwGjTPZlkp1RIREwMDVc";
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("test")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);//验证token,生成一个解析后的JWT对象
Map claims = decodedJWT.getClaims();//获得载荷
System.out.println(claims.get("user"));
}
}
4 实践中的使用举例
4.1 拦截非法访问
4.1.1 编写为工具类
public class JwtUtil {
//自定义秘钥
private static final String KEY = "XXXX";
//接收业务数据,生成token并返回
public static String genToken(Map claims) {
return JWT.create()
.withClaim("claims", claims)//添加载荷
.withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 ))//设置过期时间
.sign(Algorithm.HMAC256(KEY));//选择加密算法
}
//接收token,验证token,并返回业务数据
public static Map parseToken(String token) {
return JWT.require(Algorithm.HMAC256(KEY))
.build()
.verify(token)
.getClaim("claims")
.asMap();
}
} 4.1.2 下发给用户
@RestController
@RequestMapping("/user")
public class UserController {
@PostMapping("/login")
public Result login(String username, String password) {
//其它代码...
User loginUser = userService.findByUserName(username);
Map claims = new HashMap<>();
claims.put("id", loginUser.getId());
claims.put("username", loginUser.getUsername());
String token = JwtUtil.genToken(claims);
return Result.success(token);
}
//其它代码...
} 4.1.3 编写拦截器
@Component
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
try {
//xxx为约定好的请求头中携带的名称
Map claims = JwtUtil.parseToken(request.getHeader("xxx"));
//放行
return true;
} catch (Exception e) {
response.setStatus(401);//约定好的状态码,一般401表示未授权
//不放行
return false;
}
}
} 4.1.4 注册拦截器
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private LoginInterceptor loginInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//不拦截注册和登录接口
registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login", "/user/register");
}
}大功告成,如果未登录访问接口,就会401。
4.2 获取相关数据提升效率
我们可以在请求头中获取有效载荷中的有效信息。
//token中包含id和username
public Result func(@RequestHeader(name = "XXX") String token) {
Map map = JwtUtil.parseToken(token);
String username = (String)map.get("username");
User user = userService.findByUserName(username);
return Result.success(user);
}