欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

如何利用jwt來保護你的接口服務(wù)

 更新時間:2021年08月12日 11:47:13   作者:Java旅途  
項目軟件要對外提供部分定制接口,為了保證軟件數(shù)據(jù)的安全性,這篇文章主要給大家介紹了關(guān)于如何利用jwt來保護你的接口服務(wù)的相關(guān)資料,需要的朋友可以參考下

前言

以前寫過一篇關(guān)于接口服務(wù)規(guī)范的文章,原文在此,里面關(guān)于安全性問題重點講述了通過appid,appkey,timestamp,nonce以及sign來獲取token,使用token來保障接口服務(wù)的安全。今天我們來講述一種更加便捷的方式,使用jwt來生成token。

一、JWT是什么

JSON Web Token(JWT) 定義了一種緊湊且自包含的方式,用于在各方之間作為 JSON 對象安全地傳輸信息。該信息可以被驗證和信任,因為它是經(jīng)過數(shù)字簽名的。JWT可以設(shè)置有效期。

JWT是一個很長的字符串,包含了Header,Playload和Signature三部分內(nèi)容,中間用.進行分隔。

Headers

Headers部分描述的是JWT的基本信息,一般會包含簽名算法和令牌類型,數(shù)據(jù)如下:

{
    "alg": "RS256",
    "typ": "JWT"
}

Playload

Playload就是存放有效信息的地方,JWT規(guī)定了以下7個字段,建議但不強制使用:

iss: jwt簽發(fā)者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大于簽發(fā)時間
nbf: 定義在什么時間之前,該jwt都是不可用的
iat: jwt的簽發(fā)時間
jti: jwt的唯一身份標識,主要用來作為一次性token

除此之外,我們還可以自定義內(nèi)容

{
    "name":"Java旅途",
    "age":18
}

Signature

Signature是將JWT的前面兩部分進行加密后的字符串,將Headers和Playload進行base64編碼后使用Headers中規(guī)定的加密算法和密鑰進行加密,得到JWT的第三部分。

二、JWT生成和解析token

在應(yīng)用服務(wù)中引入JWT的依賴

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

根據(jù)JWT的定義生成一個使用RSA算法加密的,有效期為30分鐘的token

public static String createToken(User user) throws Exception{

    return Jwts.builder()
        .claim("name",user.getName())
        .claim("age",user.getAge())
        // rsa加密
        .signWith(SignatureAlgorithm.RS256, RsaUtil.getPrivateKey(PRIVATE_KEY))
        // 有效期30分鐘
        .setExpiration(DateTime.now().plusSeconds(30 * 60).toDate())
        .compact();
}

登錄接口驗證通過后,調(diào)用JWT生成帶有用戶標識的token響應(yīng)給用戶,在接下來的請求中,頭部攜帶token進行驗簽,驗簽通過后,正常訪問應(yīng)用服務(wù)。

public static Claims parseToken(String token) throws Exception{
    return Jwts
        .parser()
        .setSigningKey(RsaUtil.getPublicKey(PUBLIC_KEY))
        .parseClaimsJws(token)
        .getBody();
}

三、token續(xù)簽問題

上面講述了關(guān)于JWT驗證的過程,現(xiàn)在我們考慮這樣一個問題,客戶端攜帶token訪問下單接口,token驗簽通過,客戶端下單成功,返回下單結(jié)果,然后客戶端帶著token調(diào)用支付接口進行支付,驗簽的時候發(fā)現(xiàn)token失效了,這時候應(yīng)該怎么辦?只能告訴用戶token失效,然后讓用戶重新登錄獲取token?這種體驗是非常不好的,oauth2在這方面做的比較好,除了簽發(fā)token,還會簽發(fā)refresh_token,當(dāng)token過期后,會去調(diào)用refresh_token重新獲取token,如果refresh_token也過期了,那么再提示用戶去登錄。現(xiàn)在我們模擬oauth2的實現(xiàn)方式來完成JWT的refresh_token。

思路大概就是用戶登錄成功后,簽發(fā)token的同時,生成一個加密串作為refresh_token,refresh_token存放在redis中,設(shè)置合理的過期時間(一般會將refresh_token的過期時間設(shè)置的比較久一點)。然后將token和refresh_token響應(yīng)給客戶端。偽代碼如下:

@PostMapping("getToken")
public ResultBean getToken(@RequestBody LoingUser user){

    ResultBean resultBean = new ResultBean();
    // 用戶信息校驗失敗,響應(yīng)錯誤
    if(!user){
        resultBean.fillCode(401,"賬戶密碼不正確");
        return resultBean;
    }
    String token = null;
    String refresh_token = null;
    try {
        // jwt 生成的token
        token = JwtUtil.createToken(user);
        // 刷新token
        refresh_token = Md5Utils.hash(System.currentTimeMillis()+"");
        // refresh_token過期時間為24小時
        redisUtils.set("refresh_token:"+refresh_token,token,30*24*60*60);
    } catch (Exception e) {
        e.printStackTrace();
    }

    Map<String,Object> map = new HashMap<>();
    map.put("access_token",token);
    map.put("refresh_token",refresh_token);
    map.put("expires_in",2*60*60);
    resultBean.fillInfo(map);
    return resultBean;
}

客戶端調(diào)用接口時,在請求頭中攜帶token,在攔截器中攔截請求,驗證token的有效性,如果驗證token失敗,則去redis中判斷是否是refresh_token的請求,如果refresh_token驗證也失敗,則給客戶端響應(yīng)鑒權(quán)異常,提示客戶端重新登錄,偽代碼如下:

HttpHeaders headers = request.getHeaders();
// 請求頭中獲取令牌
String token = headers.getFirst("Authorization");
// 判斷請求頭中是否有令牌
if (StringUtils.isEmpty(token)) {
    resultBean.fillCode(401,"鑒權(quán)失敗,請攜帶有效token");
    return resultBean;
}
if(!token.contains("Bearer")){
    resultBean.fillCode(401,"鑒權(quán)失敗,請攜帶有效token");
    return resultBean;
}

token = token.replace("Bearer ","");
// 如果請求頭中有令牌則解析令牌
try {
    Claims claims = TokenUtil.parseToken(token).getBody();
} catch (Exception e) {
    e.printStackTrace();
    String refreshToken = redisUtils.get("refresh_token:" + token)+"";
    if(StringUtils.isBlank(refreshToken) || "null".equals(refreshToken)){
        resultBean.fillCode(403,"refresh_token已過期,請重新獲取token");
        return resultbean;
    }
}

refresh_token來換取token的偽代碼如下:

@PostMapping("refreshToken")
public Result refreshToken(String token){

    ResultBean resultBean = new ResultBean();
    String refreshToken = redisUtils.get(TokenConstants.REFRESHTOKEN + token)+"";
    String access_token = null;
    try {
        Claims claims = JwtUtil.parseToken(refreshToken);
        String username = claims.get("username")+"";
        String password = claims.get("password")+"";
        LoginUser loginUser = new LoginUser();
        loginUser.setUsername(username);
        loginUser.setPassword(password);
        access_token = JwtUtil.createToken(loginUser);
    } catch (Exception e) {
        e.printStackTrace();
    }
    Map<String,Object> map = new HashMap<>();
    map.put("access_token",access_token);
    map.put("refresh_token",token);
    map.put("expires_in",30*60);
    resultBean.fillInfo(map);
    return resultBean;
}

通過上面的分析,我們簡單的實現(xiàn)了token的簽發(fā),驗簽以及續(xù)簽問題,JWT作為一個輕量級的鑒權(quán)框架,使用起來非常方便,但是也會存在一些問題,

  • JWT的Playload部分只是經(jīng)過base64編碼,這樣我們的信息其實就完全暴露了,一般不要將敏感信息存放在JWT中。
  • JWT生成的token比較長,每次在請求頭中攜帶token,導(dǎo)致請求偷會比較大,有一定的性能問題。
  • JWT生成后,服務(wù)端無法廢棄,只能等待JWT主動過期。

下面這段是我網(wǎng)上看到的一段關(guān)于JWT比較適用的場景:

  • 有效期短
  • 只希望被使用一次

比如,用戶注冊后發(fā)一封郵件讓其激活賬戶,通常郵件中需要有一個鏈接,這個鏈接需要具備以下的特性:能夠標識用戶,該鏈接具有時效性(通常只允許幾小時之內(nèi)激活),不能被篡改以激活其他可能的賬戶,一次性的。這種場景就適合使用JWT。

總結(jié)

到此這篇關(guān)于如何利用jwt來保護你的接口服務(wù)的文章就介紹到這了,更多相關(guān)jwt保護接口服務(wù)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • idea如何修改文件的file is read-only問題

    idea如何修改文件的file is read-only問題

    這篇文章主要介紹了idea如何修改文件的file is read-only問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-12-12
  • 借助Maven搭建Hadoop開發(fā)環(huán)境的最詳細教程分享

    借助Maven搭建Hadoop開發(fā)環(huán)境的最詳細教程分享

    在Maven插件的幫助下,VSCode寫Java其實非常方便,所以本文就來和大家詳細講講如何借助maven用VScode搭建Hadoop開發(fā)環(huán)境,需要的可以參考下
    2023-05-05
  • Spring Boot+Shiro實現(xiàn)一個Http請求的Basic認證

    Spring Boot+Shiro實現(xiàn)一個Http請求的Basic認證

    本文向向大家仔細的介紹了如何使用Shiro實現(xiàn)一個Http請求的Basic認證,有此需求的朋友可以參考下本文
    2021-06-06
  • Jmeter接口登錄獲取參數(shù)token報錯問題解決方案

    Jmeter接口登錄獲取參數(shù)token報錯問題解決方案

    這篇文章主要介紹了Jmeter接口登錄獲取參數(shù)token報錯問題解決方案,文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
    2020-07-07
  • 詳解Java包裝類及自動裝箱拆箱

    詳解Java包裝類及自動裝箱拆箱

    這篇文章主要介紹了Java包裝類及自動裝箱拆箱,文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-03-03
  • Java實現(xiàn)指定目錄下的文件查找詳解

    Java實現(xiàn)指定目錄下的文件查找詳解

    這篇文章主要介紹了利用Java實現(xiàn)指定目錄下的文件查找的方法,能做到給出文件名,查找目錄及其子目錄中是否存在或者給出后綴名,查找目錄及其子目錄中相關(guān)的文件,感興趣的可以學(xué)習(xí)一下
    2022-03-03
  • SpringMVC異常處理的三種方式小結(jié)

    SpringMVC異常處理的三種方式小結(jié)

    本文主要介紹了SpringMVC異常處理的三種方式小結(jié),文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-09-09
  • Java實現(xiàn)AES加密算法的簡單示例分享

    Java實現(xiàn)AES加密算法的簡單示例分享

    這篇文章主要介紹了Java實現(xiàn)AES加密算法的簡單示例分享,AES算法是基于對密碼值的置換和替代,需要的朋友可以參考下
    2016-04-04
  • SpringBoot注解梳理(小結(jié))

    SpringBoot注解梳理(小結(jié))

    這篇文章主要介紹了SpringBoot注解梳理(小結(jié)),文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-10-10
  • SpringBoot整合SpringSecurity和JWT和Redis實現(xiàn)統(tǒng)一鑒權(quán)認證

    SpringBoot整合SpringSecurity和JWT和Redis實現(xiàn)統(tǒng)一鑒權(quán)認證

    Spring Security是一個可以為Java應(yīng)用程序提供全面安全服務(wù)的框架,同時它也可以輕松擴展以滿足自定義需求,本文主要介紹了SpringBoot整合SpringSecurity和JWT和Redis實現(xiàn)統(tǒng)一鑒權(quán)認證,感興趣的可以了解一下
    2023-11-11

最新評論