JWT簡(jiǎn)介

1.什么是JWT

在介紹JWT之前，我們先來回顧一下利用token進(jìn)行用戶身份驗(yàn)證的流程：

1. 客戶端使用用戶名和密碼請(qǐng)求登錄
2. 服務(wù)端收到請(qǐng)求，驗(yàn)證用戶名和密碼
3. 驗(yàn)證成功后，服務(wù)端會(huì)簽發(fā)一個(gè)token，再把這個(gè)token返回給客戶端
4. 客戶端收到token后可以把它存儲(chǔ)起來，比如放到cookie中
5. 客戶端每次向服務(wù)端請(qǐng)求資源時(shí)需要攜帶服務(wù)端簽發(fā)的token，可以在cookie或者header中攜帶
6. 服務(wù)端收到請(qǐng)求，然后去驗(yàn)證客戶端請(qǐng)求里面帶著的token，如果驗(yàn)證成功，就向客戶端返回請(qǐng)求數(shù)據(jù)

這種基于token的認(rèn)證方式相比傳統(tǒng)的session認(rèn)證方式更節(jié)約服務(wù)器資源，并且對(duì)移動(dòng)端和分布式更加友好。其優(yōu)點(diǎn)如下：

• 支持跨域訪問：cookie是無(wú)法跨域的，而token由于沒有用到cookie(前提是將token放到請(qǐng)求頭中)，所以跨域后不會(huì)存在信息丟失問題
• 無(wú)狀態(tài)：token機(jī)制在服務(wù)端不需要存儲(chǔ)session信息，因?yàn)閠oken自身包含了所有登錄用戶的信息，所以可以減輕服務(wù)端壓力
• 更適用CDN：可以通過內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求服務(wù)端的所有資料
• 更適用于移動(dòng)端：當(dāng)客戶端是非瀏覽器平臺(tái)時(shí)，cookie是不被支持的，此時(shí)采用token認(rèn)證方式會(huì)簡(jiǎn)單很多
• 無(wú)需考慮CSRF：由于不再依賴cookie，所以采用token認(rèn)證方式不會(huì)發(fā)生CSRF，所以也就無(wú)需考慮CSRF的防御

而JWT就是上述流程當(dāng)中token的一種具體實(shí)現(xiàn)方式，其全稱是JSON Web Token，官網(wǎng)地址：https://jwt.io/

通俗地說，JWT的本質(zhì)就是一個(gè)字符串，它是將用戶信息保存到一個(gè)Json字符串中，然后進(jìn)行編碼后得到一個(gè)JWT token，并且這個(gè)JWT token帶有簽名信息，接收后可以校驗(yàn)是否被篡改，所以可以用于在各方之間安全地將信息作為Json對(duì)象傳輸。JWT的認(rèn)證流程如下：

1. 首先，前端通過Web表單將自己的用戶名和密碼發(fā)送到后端的接口，這個(gè)過程一般是一個(gè)POST請(qǐng)求。建議的方式是通過SSL加密的傳輸(HTTPS)，從而避免敏感信息被嗅探
2. 后端核對(duì)用戶名和密碼成功后，將包含用戶信息的數(shù)據(jù)作為JWT的Payload，將其與JWT Header分別進(jìn)行Base64編碼拼接后簽名，形成一個(gè)JWT Token，形成的JWT Token就是一個(gè)如同lll.zzz.xxx的字符串
3. 后端將JWT Token字符串作為登錄成功的結(jié)果返回給前端。前端可以將返回的結(jié)果保存在瀏覽器中，退出登錄時(shí)刪除保存的JWT Token即可
4. 前端在每次請(qǐng)求時(shí)將JWT Token放入HTTP請(qǐng)求頭中的Authorization屬性中(解決XSS和XSRF問題)
5. 后端檢查前端傳過來的JWT Token，驗(yàn)證其有效性，比如檢查簽名是否正確、是否過期、token的接收方是否是自己等等
6. 驗(yàn)證通過后，后端解析出JWT Token中包含的用戶信息，進(jìn)行其他邏輯操作(一般是根據(jù)用戶信息得到權(quán)限等)，返回結(jié)果

2.為什么要用JWT

2.1 傳統(tǒng)Session認(rèn)證的弊端

我們知道HTTP本身是一種無(wú)狀態(tài)的協(xié)議，這就意味著如果用戶向我們的應(yīng)用提供了用戶名和密碼來進(jìn)行用戶認(rèn)證，認(rèn)證通過后HTTP協(xié)議不會(huì)記錄下認(rèn)證后的狀態(tài)，那么下一次請(qǐng)求時(shí)，用戶還要再一次進(jìn)行認(rèn)證，因?yàn)楦鶕?jù)HTTP協(xié)議，我們并不知道是哪個(gè)用戶發(fā)出的請(qǐng)求，所以為了讓我們的應(yīng)用能識(shí)別是哪個(gè)用戶發(fā)出的請(qǐng)求，我們只能在用戶首次登錄成功后，在服務(wù)器存儲(chǔ)一份用戶登錄的信息，這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器，告訴其保存為cookie，以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用，這樣我們的應(yīng)用就能識(shí)別請(qǐng)求來自哪個(gè)用戶了，這是傳統(tǒng)的基于session認(rèn)證的過程

然而，傳統(tǒng)的session認(rèn)證有如下的問題：

• 每個(gè)用戶的登錄信息都會(huì)保存到服務(wù)器的session中，隨著用戶的增多，服務(wù)器開銷會(huì)明顯增大
• 由于session是存在與服務(wù)器的物理內(nèi)存中，所以在分布式系統(tǒng)中，這種方式將會(huì)失效。雖然可以將session統(tǒng)一保存到Redis中，但是這樣做無(wú)疑增加了系統(tǒng)的復(fù)雜性，對(duì)于不需要redis的應(yīng)用也會(huì)白白多引入一個(gè)緩存中間件
• 對(duì)于非瀏覽器的客戶端、手機(jī)移動(dòng)端等不適用，因?yàn)?code>session依賴于cookie，而移動(dòng)端經(jīng)常沒有cookie
• 因?yàn)?code>session認(rèn)證本質(zhì)基于cookie，所以如果cookie被截獲，用戶很容易收到跨站請(qǐng)求偽造攻擊。并且如果瀏覽器禁用了cookie，這種方式也會(huì)失效
• 前后端分離系統(tǒng)中更加不適用，后端部署復(fù)雜，前端發(fā)送的請(qǐng)求往往經(jīng)過多個(gè)中間件到達(dá)后端，cookie中關(guān)于session的信息會(huì)轉(zhuǎn)發(fā)多次
• 由于基于Cookie，而cookie無(wú)法跨域，所以session的認(rèn)證也無(wú)法跨域，對(duì)單點(diǎn)登錄不適用

2.2 JWT認(rèn)證的優(yōu)勢(shì)

對(duì)比傳統(tǒng)的session認(rèn)證方式，JWT的優(yōu)勢(shì)是：

• 簡(jiǎn)潔：JWT Token數(shù)據(jù)量小，傳輸速度也很快
• 因?yàn)镴WT Token是以JSON加密形式保存在客戶端的，所以JWT是跨語(yǔ)言的，原則上任何web形式都支持
• 不需要在服務(wù)端保存會(huì)話信息，也就是說不依賴于cookie和session，所以沒有了傳統(tǒng)session認(rèn)證的弊端，特別適用于分布式微服務(wù)
• 單點(diǎn)登錄友好：使用Session進(jìn)行身份認(rèn)證的話，由于cookie無(wú)法跨域，難以實(shí)現(xiàn)單點(diǎn)登錄。但是，使用token進(jìn)行認(rèn)證的話， token可以被保存在客戶端的任意位置的內(nèi)存中，不一定是cookie，所以不依賴cookie，不會(huì)存在這些問題
• 適合移動(dòng)端應(yīng)用：使用Session進(jìn)行身份認(rèn)證的話，需要保存一份信息在服務(wù)器端，而且這種方式會(huì)依賴到Cookie（需要 Cookie 保存 SessionId），所以不適合移動(dòng)端

因?yàn)檫@些優(yōu)勢(shì)，目前無(wú)論單體應(yīng)用還是分布式應(yīng)用，都更加推薦用JWT token的方式進(jìn)行用戶認(rèn)證

JWT結(jié)構(gòu)

JWT由3部分組成：標(biāo)頭(Header)、有效載荷(Payload)和簽名(Signature)。在傳輸?shù)臅r(shí)候，會(huì)將JWT的3部分分別進(jìn)行Base64編碼后用.進(jìn)行連接形成最終傳輸?shù)淖址甁 W T S t r i n g = B a s e 64 ( H e a d e r ) . B a s e 64 ( P a y l o a d ) . H M A C S H A 256 ( b a s e 64 U r l E n c o d e ( h e a d e r ) + " . " + b a s e 64 U r l E n c o d e ( p a y l o a d ) , s e c r e t ) JWTString = Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

1.Header

JWT頭是一個(gè)描述JWT元數(shù)據(jù)的JSON對(duì)象，alg屬性表示簽名使用的算法，默認(rèn)為HMAC SHA256（寫為HS256）；typ屬性表示令牌的類型，JWT令牌統(tǒng)一寫為JWT。最后，使用Base64 URL算法將上述JSON對(duì)象轉(zhuǎn)換為字符串保存

{
  "alg": "HS256",
  "typ": "JWT"
}

2.Payload

有效載荷部分，是JWT的主體內(nèi)容部分，也是一個(gè)JSON對(duì)象，包含需要傳遞的數(shù)據(jù)。 JWT指定七個(gè)默認(rèn)字段供選擇

iss：發(fā)行人
exp：到期時(shí)間
sub：主題
aud：用戶
nbf：在此之前不可用
iat：發(fā)布時(shí)間
jti：JWT ID用于標(biāo)識(shí)該JWT

這些預(yù)定義的字段并不要求強(qiáng)制使用。除以上默認(rèn)字段外，我們還可以自定義私有字段，一般會(huì)把包含用戶信息的數(shù)據(jù)放到payload中，如下例：

{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

請(qǐng)注意，默認(rèn)情況下JWT是未加密的，因?yàn)橹皇遣捎胋ase64算法，拿到JWT字符串后可以轉(zhuǎn)換回原本的JSON數(shù)據(jù)，任何人都可以解讀其內(nèi)容，因此不要構(gòu)建隱私信息字段，比如用戶的密碼一定不能保存到JWT中，以防止信息泄露。JWT只是適合在網(wǎng)絡(luò)中傳輸一些非敏感的信息

3.Signature

簽名哈希部分是對(duì)上面兩部分?jǐn)?shù)據(jù)簽名，需要使用base64編碼后的header和payload數(shù)據(jù)，通過指定的算法生成哈希，以確保數(shù)據(jù)不會(huì)被篡改。首先，需要指定一個(gè)密鑰（secret）。該密碼僅僅為保存在服務(wù)器中，并且不能向用戶公開。然后，使用header中指定的簽名算法（默認(rèn)情況下為HMAC SHA256）根據(jù)以下公式生成簽名H M A C S H A 256 ( b a s e 64 U r l E n c o d e ( h e a d e r ) + " . " + b a s e 64 U r l E n c o d e ( p a y l o a d ) , s e c r e t ) HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)在計(jì)算出簽名哈希后，JWT頭，有效載荷和簽名哈希的三個(gè)部分組合成一個(gè)字符串，每個(gè)部分用.分隔，就構(gòu)成整個(gè)JWT對(duì)象

注意JWT每部分的作用，在服務(wù)端接收到客戶端發(fā)送過來的JWT token之后：

• header和payload可以直接利用base64解碼出原文，從header中獲取哈希簽名的算法，從payload中獲取有效數(shù)據(jù)
• signature由于使用了不可逆的加密算法，無(wú)法解碼出原文，它的作用是校驗(yàn)token有沒有被篡改。服務(wù)端獲取header中的加密算法之后，利用該算法加上secretKey對(duì)header、payload進(jìn)行加密，比對(duì)加密后的數(shù)據(jù)和客戶端發(fā)送過來的是否一致。注意secretKey只能保存在服務(wù)端，而且對(duì)于不同的加密算法其含義有所不同，一般對(duì)于MD5類型的摘要加密算法，secretKey實(shí)際上代表的是鹽值

JWT的種類

其實(shí)JWT(JSON Web Token)指的是一種規(guī)范，這種規(guī)范允許我們使用JWT在兩個(gè)組織之間傳遞安全可靠的信息，JWT的具體實(shí)現(xiàn)可以分為以下幾種：

• nonsecure JWT：未經(jīng)過簽名，不安全的JWT
• JWS：經(jīng)過簽名的JWT
• JWE：payload部分經(jīng)過加密的JWT

1.nonsecure JWT

未經(jīng)過簽名，不安全的JWT。其header部分沒有指定簽名算法

{
  "alg": "none",
  "typ": "JWT"
}

并且也沒有Signature部分

2.JWS

JWS ，也就是JWT Signature，其結(jié)構(gòu)就是在之前nonsecure JWT的基礎(chǔ)上，在頭部聲明簽名算法，并在最后添加上簽名。創(chuàng)建簽名，是保證jwt不能被他人隨意篡改。我們通常使用的JWT一般都是JWS

為了完成簽名，除了用到header信息和payload信息外，還需要算法的密鑰，也就是secretKey。加密的算法一般有2類：

• 對(duì)稱加密：secretKey指加密密鑰，可以生成簽名與驗(yàn)簽
• 非對(duì)稱加密：secretKey指私鑰，只用來生成簽名，不能用來驗(yàn)簽(驗(yàn)簽用的是公鑰)

JWT的密鑰或者密鑰對(duì)，一般統(tǒng)一稱為JSON Web Key，也就是JWK

到目前為止，jwt的簽名算法有三種：

• HMAC【哈希消息驗(yàn)證碼(對(duì)稱)】：HS256/HS384/HS512
• RSASSA【RSA簽名算法(非對(duì)稱)】（RS256/RS384/RS512）
• ECDSA【橢圓曲線數(shù)據(jù)簽名算法(非對(duì)稱)】（ES256/ES384/ES512）

Java中使用JWT

官網(wǎng)推薦了6個(gè)Java使用JWT的開源庫(kù)，其中比較推薦使用的是java-jwt和jjwt-root

1.java-jwt

1.1 對(duì)稱簽名

首先引入依賴

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

生成JWT的token

public class JWTTest {
    @Test
    public void testGenerateToken(){
        // 指定token過期時(shí)間為10秒
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.SECOND, 10);
        String token = JWT.create()
                .withHeader(new HashMap<>())  // Header
                .withClaim("userId", 21)  // Payload
                .withClaim("userName", "baobao")
                .withExpiresAt(calendar.getTime())  // 過期時(shí)間
                .sign(Algorithm.HMAC256("!34ADAS"));  // 簽名用的secret
        System.out.println(token);
    }
}

注意多次運(yùn)行方法生成的token字符串內(nèi)容是不一樣的，盡管我們的payload信息沒有變動(dòng)。因?yàn)?strong>JWT中攜帶了超時(shí)時(shí)間，所以每次生成的token會(huì)不一樣，我們利用base64解密工具可以發(fā)現(xiàn)payload確實(shí)攜帶了超時(shí)時(shí)間

解析JWT字符串

@Test
public void testResolveToken(){
    // 創(chuàng)建解析對(duì)象，使用的算法和secret要與創(chuàng)建token時(shí)保持一致
    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("!34ADAS")).build();
    // 解析指定的token
    DecodedJWT decodedJWT = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6ImJhb2JhbyIsImV4cCI6MTU5OTkyMjUyOCwidXNlcklkIjoyMX0.YhA3kh9KZOAb7om1C7o3vBhYp0f61mhQWWOoCrrhqvo");
    // 獲取解析后的token中的payload信息
    Claim userId = decodedJWT.getClaim("userId");
    Claim userName = decodedJWT.getClaim("userName");
    System.out.println(userId.asInt());
    System.out.println(userName.asString());
    // 輸出超時(shí)時(shí)間
    System.out.println(decodedJWT.getExpiresAt());
}

運(yùn)行后發(fā)現(xiàn)報(bào)異常，原因是之前生成的token已經(jīng)過期

再運(yùn)行一次生成token的方法，然后在過期時(shí)間10秒之內(nèi)將生成的字符串拷貝到解析方法中，運(yùn)行解析方法即可成功

我們可以將上述方法封裝成工具類

public class JWTUtils {
    // 簽名密鑰
    private static final String SECRET = "!DAR$";
    /**
     * 生成token
     * @param payload token攜帶的信息
     * @return token字符串
     */
    public static String getToken(Map<String,String> payload){
        // 指定token過期時(shí)間為7天
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE, 7);
        JWTCreator.Builder builder = JWT.create();
        // 構(gòu)建payload
        payload.forEach((k,v) -> builder.withClaim(k,v));
        // 指定過期時(shí)間和簽名算法
        String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SECRET));
        return token;
    }
    /**
     * 解析token
     * @param token token字符串
     * @return 解析后的token
     */
    public static DecodedJWT decode(String token){
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(token);
        return decodedJWT;
    }
}

1.2 非對(duì)稱簽名

生成jwt串的時(shí)候需要指定私鑰，解析jwt串的時(shí)候需要指定公鑰

private static final String RSA_PRIVATE_KEY = "...";
private static final String RSA_PUBLIC_KEY = "...";
/**
     * 生成token
     * @param payload token攜帶的信息
     * @return token字符串
     */
public static String getTokenRsa(Map<String,String> payload){
    // 指定token過期時(shí)間為7天
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.DATE, 7);
    JWTCreator.Builder builder = JWT.create();
    // 構(gòu)建payload
    payload.forEach((k,v) -> builder.withClaim(k,v));
    // 利用hutool創(chuàng)建RSA
    RSA rsa = new RSA(RSA_PRIVATE_KEY, null);
    // 獲取私鑰
    RSAPrivateKey privateKey = (RSAPrivateKey) rsa.getPrivateKey();
    // 簽名時(shí)傳入私鑰
    String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.RSA256(null, privateKey));
    return token;
}
/**
     * 解析token
     * @param token token字符串
     * @return 解析后的token
     */
public static DecodedJWT decodeRsa(String token){
    // 利用hutool創(chuàng)建RSA
    RSA rsa = new RSA(null, RSA_PUBLIC_KEY);
    // 獲取RSA公鑰
    RSAPublicKey publicKey = (RSAPublicKey) rsa.getPublicKey();
    // 驗(yàn)簽時(shí)傳入公鑰
    JWTVerifier jwtVerifier = JWT.require(Algorithm.RSA256(publicKey, null)).build();
    DecodedJWT decodedJWT = jwtVerifier.verify(token);
    return decodedJWT;
}

2.jjwt-root

2.1 對(duì)稱簽名

引入依賴

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

使用方法類似，可參考下列代碼

public class JwtUtils {
    // token時(shí)效：24小時(shí)
    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    // 簽名哈希的密鑰，對(duì)于不同的加密算法來說含義不同
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";
    /**
     * 根據(jù)用戶id和昵稱生成token
     * @param id  用戶id
     * @param nickname 用戶昵稱
     * @return JWT規(guī)則生成的token
     */
    public static String getJwtToken(String id, String nickname){
        String JwtToken = Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                .setSubject("baobao-user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
            	// HS256算法實(shí)際上就是MD5加鹽值，此時(shí)APP_SECRET就代表鹽值
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();
        return JwtToken;
    }
    /**
     * 判斷token是否存在與有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true，否則返回false
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) return false;
        try {
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }
    /**
     * 判斷token是否存在與有效
     * @param request Http請(qǐng)求對(duì)象
     * @return 如果token有效返回true，否則返回false
     */
    public static boolean checkToken(HttpServletRequest request) {
        try {
            // 從http請(qǐng)求頭中獲取token字符串
            String jwtToken = request.getHeader("token");
            if(StringUtils.isEmpty(jwtToken)) return false;
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }
    /**
     * 根據(jù)token獲取會(huì)員id
     * @param request Http請(qǐng)求對(duì)象
     * @return 解析token后獲得的用戶id
     */
    public static String getMemberIdByJwtToken(HttpServletRequest request) {
        String jwtToken = request.getHeader("token");
        if(StringUtils.isEmpty(jwtToken)) return "";
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        Claims claims = claimsJws.getBody();
        return (String)claims.get("id");
    }
}

注意：

• jjwt在0.10版本以后發(fā)生了較大變化，pom依賴要引入多個(gè)

  <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt-api</artifactId>
      <version>0.11.2</version>
  </dependency>
  <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt-impl</artifactId>
      <version>0.11.2</version>
      <scope>runtime</scope>
  </dependency>
  <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
      <version>0.11.2</version>
      <scope>runtime</scope>
  </dependency>

• 標(biāo)準(zhǔn)規(guī)范中對(duì)各種加密算法的secretKey的長(zhǎng)度有如下要求：

  • HS256：要求至少 256 bits (32 bytes)
  • HS384：要求至少384 bits (48 bytes)
  • HS512：要求至少512 bits (64 bytes)
  • RS256 and PS256：至少2048 bits
  • RS384 and PS384：至少3072 bits
  • RS512 and PS512：至少4096 bits
  • ES256：至少256 bits (32 bytes)
  • ES384：至少384 bits (48 bytes)
  • ES512：至少512 bits (64 bytes)

  在jjwt0.10版本之前，沒有強(qiáng)制要求，secretKey長(zhǎng)度不滿足要求時(shí)也可以簽名成功。但是0.10版本后強(qiáng)制要求secretKey滿足規(guī)范中的長(zhǎng)度要求，否則生成jws時(shí)會(huì)拋出異常

  

• 新版本的jjwt中，之前的簽名和驗(yàn)簽方法都是傳入密鑰的字符串，已經(jīng)過時(shí)。最新的方法需要傳入Key對(duì)象

public class JwtUtils {
    // token時(shí)效：24小時(shí)
    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    // 簽名哈希的密鑰，對(duì)于不同的加密算法來說含義不同
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHOsdadasdasfdssfeweee";
    /**
     * 根據(jù)用戶id和昵稱生成token
     * @param id  用戶id
     * @param nickname 用戶昵稱
     * @return JWT規(guī)則生成的token
     */
    public static String getJwtToken(String id, String nickname){
        String JwtToken = Jwts.builder()
                .setSubject("baobao-user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
                // 傳入Key對(duì)象
                .signWith(Keys.hmacShaKeyFor(APP_SECRET.getBytes(StandardCharsets.UTF_8)), SignatureAlgorithm.HS256)
                .compact();
        return JwtToken;
    }
    /**
     * 判斷token是否存在與有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true，否則返回false
     */
    public static Jws<Claims> decode(String jwtToken) {
        // 傳入Key對(duì)象
        Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(Keys.hmacShaKeyFor(APP_SECRET.getBytes(StandardCharsets.UTF_8))).build().parseClaimsJws(jwtToken);
        return claimsJws;
    }
}

2.2 非對(duì)稱簽名

生成jwt串的時(shí)候需要指定私鑰，解析jwt串的時(shí)候需要指定公鑰

private static final String RSA_PRIVATE_KEY = "...";
private static final String RSA_PUBLIC_KEY = "...";
/**
     * 根據(jù)用戶id和昵稱生成token
     * @param id  用戶id
     * @param nickname 用戶昵稱
     * @return JWT規(guī)則生成的token
     */
public static String getJwtTokenRsa(String id, String nickname){
    // 利用hutool創(chuàng)建RSA
    RSA rsa = new RSA(RSA_PRIVATE_KEY, null);
    RSAPrivateKey privateKey = (RSAPrivateKey) rsa.getPrivateKey();
    String JwtToken = Jwts.builder()
        .setSubject("baobao-user")
        .setIssuedAt(new Date())
        .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
        .claim("id", id)
        .claim("nickname", nickname)
        // 簽名指定私鑰
        .signWith(privateKey, SignatureAlgorithm.RS256)
        .compact();
    return JwtToken;
}
/**
     * 判斷token是否存在與有效
     * @param jwtToken token字符串
     * @return 如果token有效返回true，否則返回false
     */
public static Jws<Claims> decodeRsa(String jwtToken) {
    RSA rsa = new RSA(null, RSA_PUBLIC_KEY);
    RSAPublicKey publicKey = (RSAPublicKey) rsa.getPublicKey();
    // 驗(yàn)簽指定公鑰
    Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(publicKey).build().parseClaimsJws(jwtToken);
    return claimsJws;
}

實(shí)際開發(fā)中的應(yīng)用

在實(shí)際的SpringBoot項(xiàng)目中，一般我們可以用如下流程做登錄：

1. 在登錄驗(yàn)證通過后，給用戶生成一個(gè)對(duì)應(yīng)的隨機(jī)token(注意這個(gè)token不是指jwt，可以用uuid等算法生成)，然后將這個(gè)token作為key的一部分，用戶信息作為value存入Redis，并設(shè)置過期時(shí)間，這個(gè)過期時(shí)間就是登錄失效的時(shí)間
2. 將第1步中生成的隨機(jī)token作為JWT的payload生成JWT字符串返回給前端
3. 前端之后每次請(qǐng)求都在請(qǐng)求頭中的Authorization字段中攜帶JWT字符串
4. 后端定義一個(gè)攔截器，每次收到前端請(qǐng)求時(shí)，都先從請(qǐng)求頭中的Authorization字段中取出JWT字符串并進(jìn)行驗(yàn)證，驗(yàn)證通過后解析出payload中的隨機(jī)token，然后再用這個(gè)隨機(jī)token得到key，從Redis中獲取用戶信息，如果能獲取到就說明用戶已經(jīng)登錄

public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String JWT = request.getHeader("Authorization");
        try {
            // 1.校驗(yàn)JWT字符串
            DecodedJWT decodedJWT = JWTUtils.decode(JWT);
            // 2.取出JWT字符串載荷中的隨機(jī)token，從Redis中獲取用戶信息
            ...
            return true;
        }catch (SignatureVerificationException e){
            System.out.println("無(wú)效簽名");
            e.printStackTrace();
        }catch (TokenExpiredException e){
            System.out.println("token已經(jīng)過期");
            e.printStackTrace();
        }catch (AlgorithmMismatchException e){
            System.out.println("算法不一致");
            e.printStackTrace();
        }catch (Exception e){
            System.out.println("token無(wú)效");
            e.printStackTrace();
        }
        return false;
    }
}

在實(shí)際開發(fā)中需要用下列手段來增加JWT的安全性：

• 因?yàn)镴WT是在請(qǐng)求頭中傳遞的，所以為了避免網(wǎng)絡(luò)劫持，推薦使用HTTPS來傳輸，更加安全
• JWT的哈希簽名的密鑰是存放在服務(wù)端的，所以只要服務(wù)器不被攻破，理論上JWT是安全的。因此要保證服務(wù)器的安全
• JWT可以使用暴力窮舉來破解，所以為了應(yīng)對(duì)這種破解方式，可以定期更換服務(wù)端的哈希簽名密鑰(相當(dāng)于鹽值)。這樣可以保證等破解結(jié)果出來了，你的密鑰也已經(jīng)換了

最新評(píng)論