背景
Jwt
全称是:json web token
。它将用户信息加密到token
里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token
的正确性,只要正确即通过验证。
优点
- 简洁: 可以通过
URL
、POST
参数或者在HTTP header
发送,因为数据量小,传输速度也很快; - 自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库;
- 因为
Token
是以JSON
加密的形式保存在客户端的,所以JWT
是跨语言的,原则上任何web
形式都支持; - 不需要在服务端保存会话信息,特别适用于分布式微服务。
缺点
- 无法作废已颁布的令牌;
- 不易应对数据过期。
一、Jwt
消息构成
1.1 组成
一个token
分3部分,按顺序为
- 头部(
header
) - 载荷(
payload
) - 签证(
signature
)
三部分之间用.
号做分隔。例如:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8
1.2 header
Jwt
的头部承载两部分信息:
- 声明类型,这里是
Jwt
- 声明加密的算法 通常直接使用
HMAC SHA256
Jwt
里验证和签名使用的算法列表如下:
JWS | 算法名称 |
---|---|
HS256 | HMAC256 |
HS384 | HMAC384 |
HS512 | HMAC512 |
RS256 | RSA256 |
RS384 | RSA384 |
RS512 | RSA512 |
ES256 | ECDSA256 |
ES384 | ECDSA384 |
ES512 | ECDSA512 |
1.3 playload
载荷就是存放有效信息的地方。基本上填2
种类型数据
- 标准中注册的声明的数据;
- 自定义数据。
由这2部分内部做base64
加密。
- 标准中注册的声明 (建议但不强制使用)
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
- 自定义数据:存放我们想放在
token
中存放的key-value
值
1.4 signature
Jwt
的第三部分是一个签证信息,这个签证信息由三部分组成base64
加密后的header
和base64
加密后的payload
连接组成的字符串,然后通过header
中声明的加密方式进行加盐secret
组合加密,然后就构成了Jwt
的第三部分。
二、Spring Boot
和Jwt
集成示例
示例代码采用:
|
2.1 项目依赖
|
2.2 自定义注解@JwtToken
加上该注解的接口需要登录才能访问
@Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface JwtToken { boolean required() default true; } |
2.3 Jwt 认证工具类JwtUtil.java
主要用来生成签名、校验签名和通过签名获取信息
|
2.4 拦截器拦截带有注解的接口
JwtInterceptor.java
|
2.5 全局异常捕获
|
2.6 接口
JwtController.java
|
2.7 Postman
测试接口
2.7.1 在没token
的情况下访问jwt/getMessage
接口
- 请求方式:
GET
- 请求参数:无
- 请求地址:http://localhost:8080/jwt/getMessage
- 返回结果:
{
"message": "无token,请重新登录"
}
2.7.2 先登录,在访问jwt/getMessage
接口
- 登录请求及结果,详见下图:
登录后得到签名如箭头处
- 在请求头加上签名,然后再请求
jwt/getMessage
接口
请求通过,测试成功!
2.7.3 过期后再次访问
我们设置的签名过期时间是五分钟,五分钟后再次访问
jwt/getMessage
接口,结果如下:
通过结果,我们发现时间到了,签名失效,说明该方案通过。
三、总结
3.1 示例源码
2.2 自定义注解@JwtToken
加上该注解的接口需要登录才能访问
2.7 Postman
测试接口
2.7.1 在没token
的情况下访问jwt/getMessage
接口
- 请求方式:
GET
- 请求参数:无
- 请求地址:http://localhost:8080/jwt/getMessage
- 返回结果:
{
"message": "无token,请重新登录"
}
2.7.2 先登录,在访问jwt/getMessage
接口
- 登录请求及结果,详见下图:
登录后得到签名如箭头处
- 在请求头加上签名,然后再请求
jwt/getMessage
接口
请求通过,测试成功!
2.7.3 过期后再次访问
我们设置的签名过期时间是五分钟,五分钟后再次访问
jwt/getMessage
接口,结果如下:
通过结果,我们发现时间到了,签名失效,说明该方案通过。