JWT介紹

JSON Web Token(JWT)是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。

一個(gè)JWT實(shí)際上就是一個(gè)字符串，它由三部分組成，頭部、載荷與簽名。

頭部(Header)

頭部用于描述關(guān)于該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對象。

{"typ":"JWT","alg":"HS256"}

在頭部指明了簽名算法是HS256算法。 我們進(jìn)行BASE64編碼

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

小知識：Base64是一種基于64個(gè)可打印字符來表示二進(jìn)制數(shù)據(jù)的表示方法。由于2的6次方等于64，所以每6個(gè)比特為一個(gè)單元，對應(yīng)某個(gè)可打印字符。三個(gè)字節(jié)有24個(gè)比特，對應(yīng)于4個(gè)Base64單元，即3個(gè)字節(jié)需要用4個(gè)可打印字符來表示。JDK 中提供了非常方便的?BASE64Encoder和?BASE64Decoder，用它們可以非常方便的完成基于 BASE64 的編碼和解碼

載荷(playload)

載荷就是存放有效信息的地方。這個(gè)名字像是特指飛機(jī)上承載的貨品，這些有效信息包含三個(gè)部分

(1)標(biāo)準(zhǔn)中注冊的聲明(建議但不強(qiáng)制使用)

iss: jwt簽發(fā)者

sub: jwt所面向的用戶

aud: 接收jwt的一方

exp: jwt的過期時(shí)間，這個(gè)過期時(shí)間必須要大于簽發(fā)時(shí)間

nbf: 定義在什么時(shí)間之前，該jwt都是不可用的.

iat: jwt的簽發(fā)時(shí)間

jti: jwt的唯一身份標(biāo)識，主要用來作為一次性token。

(2)公共的聲明

公共的聲明可以添加任何的信息，一般添加用戶的相關(guān)信息或其他業(yè)務(wù)需要的必要信息.但不建議添加敏感信息，因?yàn)樵摬糠衷诳蛻舳丝山饷?

(3)私有的聲明

私有聲明是提供者和消費(fèi)者所共同定義的聲明，一般不建議存放敏感信息，因?yàn)閎ase64是對稱解密的，意味著該部分信息可以歸類為明文信息。

這個(gè)指的就是自定義的claim。比如前面那個(gè)結(jié)構(gòu)舉例中的admin和name都屬于自定的claim。這些claim跟JWT標(biāo)準(zhǔn)規(guī)定的claim區(qū)別在于：JWT規(guī)定的claim，JWT的接收方在拿到JWT之后，都知道怎么對這些標(biāo)準(zhǔn)的claim進(jìn)行驗(yàn)證(還不知道是否能夠驗(yàn)證)；而private claims不會驗(yàn)證，除非明確告訴接收方要對這些claim進(jìn)行驗(yàn)證以及規(guī)則才行。

定義一個(gè)payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后將其進(jìn)行base64加密，得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

簽證(signature)

jwt的第三部分是一個(gè)簽證信息，這個(gè)簽證信息由三部分組成：

header (base64后的)

payload (base64后的)

secret

這個(gè)部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過header中聲明的加密方式進(jìn)行加鹽secret組合加密，然后就構(gòu)成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連接成一個(gè)完整的字符串,構(gòu)成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是保存在服務(wù)器端的，jwt的簽發(fā)生成也是在服務(wù)器端的，secret就是用來進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證，所以，它就是你服務(wù)端的私鑰，在任何場景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。

JJWT簽發(fā)與驗(yàn)證token

JJWT是一個(gè)提供端到端的JWT創(chuàng)建和驗(yàn)證的Java庫。永遠(yuǎn)免費(fèi)和開源(Apache License，版本2.0)，JJWT很容易使用和理解。它被設(shè)計(jì)成一個(gè)以建筑為中心的流暢界面，隱藏了它的大部分復(fù)雜性。

官方文檔：

JWT的快速入門：

1 創(chuàng)建token

(1)新建項(xiàng)目中的pom.xml中添加依賴：

io.jsonwebtoken

jjwt

0.9.0

(2) 創(chuàng)建測試類，代碼如下

public classTestJWT {//這是我們的密鑰，加密和解密都需要使用

private final static String keywords="itcast";

@Testpublic voidtestCreate(){long currentTimeMillis =System.currentTimeMillis();//創(chuàng)建jwt

JwtBuilder builder =Jwts.builder()

.setId(UUID.randomUUID().toString())//設(shè)置唯一編號

.setSubject("菜鳥攻城獅") //設(shè)置主題 可以是JSON數(shù)據(jù)

.setIssuedAt(new Date()) //設(shè)置簽發(fā)日期

.setExpiration(new Date(currentTimeMillis+50000)) //設(shè)置過期時(shí)間.claim("roles","管理員")//自定義claim，設(shè)置角色

.signWith(SignatureAlgorithm.HS256,keywords);//設(shè)置簽名 使用HS256算法，并設(shè)置SecretKey(字符串)

//構(gòu)建 并返回一個(gè)字符串

System.out.println(builder.compact());

}

運(yùn)行打印結(jié)果：

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y

再次運(yùn)行，會發(fā)現(xiàn)每次運(yùn)行的結(jié)果是不一樣的，因?yàn)槲覀兊妮d荷中包含了時(shí)間。

2 解析token

我們剛才已經(jīng)創(chuàng)建了token ，在web應(yīng)用中這個(gè)操作是由服務(wù)端進(jìn)行然后發(fā)給客戶端，客戶端在下次向服務(wù)端發(fā)送請求時(shí)需要攜帶這個(gè)token(這就好像是拿著一張門票一樣)，那服務(wù)端接到這個(gè)token 應(yīng)該解析出token中的信息(例如用戶id),根據(jù)這些信息查詢數(shù)據(jù)庫返回相應(yīng)的結(jié)果。

@Testpublic voidtestParser(){

String compactJwt= "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI5ODEwNjZkNS1kOTkwLTQ1NWQtOWJhNy0zNGYyZjlhNjA2ODYiLCJzdWIiOiLpu5HpqaznqIvluo_lkZgiLCJpYXQiOjE1NjU2ODM4MDcsImV4cCI6MTU2NTY4Mzg1NX0.efXeiB1EcXPjRO-ZkE7Xm2gvhY7EUd-uLiUFFZkJ0YE";

Claims claims=Jwts.parser().setSigningKey(keywords).parseClaimsJws(compactJwt).getBody();

System.out.println(claims);

}

運(yùn)行打印效果：

{jti=888, sub=小白, iat=1557904181}

試著將token或簽名秘鑰篡改一下，會發(fā)現(xiàn)運(yùn)行時(shí)就會報(bào)錯(cuò)，所以解析token也就是驗(yàn)證token.當(dāng)前時(shí)間超過過期時(shí)間，則會報(bào)錯(cuò)。

4 自定義claims

我們剛才的例子只是存儲了id和subject兩個(gè)信息，如果你想存儲更多的信息(例如角色)可以定義自定義claims。

創(chuàng)建測試類，并設(shè)置測試方法：

創(chuàng)建token:代碼都寫在上邊了，標(biāo)紅的claim就是。

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的java 鉴权_我爱java系列之---【JWT实现微服务鉴权（一）】的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。