JWT全称JSON Web Token,是一个紧凑的,自包含的,安全的信息交换协议。JWT有很多方面的应用,例如权限认证,信息交换等。本文将简单介绍JWT登录权限认证的一个实例操作。
JWT组成JWT由头部(Header),负载(Payload)和签名(Signature)三部分组成。其中头部包含了JWT的声明信息,例如签名所用的算法等。
{ "alg": "HS256", "typ": "JWT" }负载部分是负责信息的承载,在通信过程中,我们将要交换的信息放置于负载部分。
{ "sub": "1234567890", "name": "John Doe", "admin": true }签名部分是JWT安全的保障,在传输过程中,头部和负载部分会经过Base64编码在网络中明文传输,既然是明文,为了保障信息在传输过程中不被篡改。JWT会对编码之后的头部和负载进行一个消息签名。
Signature = HMACSHA256(header + "." + payload + secret)经过签名之后的JWT保证了数据不会被劫持并篡改。其中secret极为重要,即使有人劫持了消息,在不知道secret的情况下,无法签名出一个有效的JWT。
JWT的形式JWT由三部分组成:头部,负载和签名。最终的JWT字串可以呈现出这三部分,在JWT中,.为分割各部分的分隔符,按照顺序依次为头部,负载和签名。不过这时你已经看不到JSON的形式,头部和负载会经过Base64编码,最终得到一个字符串。不过Base64并不是加密算法,它是一种编码格式,你可以通过一定的工具解码之后就会得到相应的JSON字串。
在互联网Web应用开发中,最为常见的一项工作就是认证用户,状态化HTTP请求和授予资源访问权限。
其中认证用户通过用户名、密码的登录操作实现,但是HTTP请求是无状态的,为了标记已经登录成功的用户,我们可以通过设置SESSION_ID,COOKIE来标记认证过的请求。但是它们都需要在服务端额外的存储这些SESSION_ID和COOKIE。在最初的单体引用架构中,存储可以在服务端中开辟一块内存,以键值对的形式存储SESSION_ID,COOKIE与用户的映射关系。分布式架构中可以使用REDIS等中间件来实现SESSION共享。
为什要存储映射关系?通过SESSION_ID和COOKIE我们不能够直接得到用户信息吗?其实并不是不可以,而是不安全,SESSION_ID和COOKIE是可以供用户自由操作的。如果直接明文形式的将用户信息写入其中,那么这些信息极有可能会被篡改。所以通常我们会在服务端生成随机字串,写入到SESSION_ID或COOKIE中,再将随机字串与用户之间建立一个映射。这样,客户端的用户并不能随意篡改这些信息了。因为并不知道其他用户的随机字串是什么。
JWT也是字串,只不过是编码之后的字串,但是这个字串是安全的。因为它是被服务端签名认证的。如果有用户修改的痕迹,那么服务端在检验时会发现字串被修改。正是这一特性保障了认证的安全性。
在业务中,JWT可以实现双向校验,即通信双方都可以校验JWT有无被篡改。实现方式是通过非对称加密技术。
Java-JWT权限认证Demo登陆成功之后,服务端签发JWT代码:
final long expireTime = 1000 * 60 * 60 * 4; //JWT有效期为一天 final String loginWebToken = JWT.create() .withIssuer(configurationProperties.getJwtLoginIssuer()) .withClaim("username", vo.getUsername()) // 负载部分 .withClaim("user_id", admin.getId()) .withExpiresAt(new Date(System.currentTimeMillis() + expireTime)) // 设置有效期 .sign(Algorithm.HMAC256(configurationProperties.getJwtSignKey())); // 进行签名签发的JWT可以直接返回给客户端,有客户端JS代码写入下次请求的指定位置,也可以由服务端写入SESSION_ID或COOKIE中。
校验JWT代码,拦截未认证的请求:
try { final String loginWebToken = request.getHeader("Authorization"); // final DecodedJWT decodeToken = JWT.decode(loginWebToken); // String username = decodeToken.getClaim("username").asString(); // JWT验证 JWT.require(Algorithm.HMAC256(configurationProperties.getJwtSignKey())) .withIssuer(configurationProperties.getJwtLoginIssuer()) .build().verify(loginWebToken); return true; }catch (Exception ex) { Response re = new Response() .setMsg("权限受限,请登陆") .setData(null) .setSuccess(false); response.reset(); response.setCharacterEncoding("UTF-8"); response.setContentType("application/json;charset=UTF-8"); response.getWriter().print(JSON.toJSONString(re)); return false; }业务中使用JWT实现HTTP状态化,服务不同认证用户:
@GetMapping("/user/info") public Response getUserInfo(HttpServletRequest req) { final String loginWebToken = request.getHeader("Authorization"); final DecodedJWT jwt = JWT.decode(loginWebToken); log.info("欢迎{}使用系统", jwt.getClaim("username"); return userService.getUserInfo(jwt.getClaim("user_id")); }