JWT,即JSON Web Token,是目前最流行的跨域认证解决方案之一。
原理
1、用户发送账号密码到服务器,服务器进行认证并生成一个JSON对象返回给用户。
{
"姓名": "张三",
"角色": "管理员",
"到期时间": "2020年8月10日8点30分"
}
2、以后用户和服务器进行通信都要携带这个JSON对象,服务器通过这个对象来认定用户身份。为防止用户篡改数据,服务器生成对象时应加上签名。
3、服务器是无状态的,不保存任何session数据,以方便扩展。
数据结构
JWT是一串长字符串,结构分为以下三部分:
- 头部(Header)
- 负载(Payload)
- 签名(Signature)
每个部分之间都用.隔开。
Header
Header是一个JSON对象,用于描述JWT的元数据。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
Payload也是一个JSON对象,用于存放实际需要传递的数据,规定了7个官方字段:
- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题
- aud (audience):受众
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号
除此之外,也可以在这个部分定义私有字段,尽量不要将私密信息存放在这个部分。
{
"sub": "1234567890",
"name": "wunian",
"admin": true
}
上述官方字段,我们可以从Claims的实现类DefaultClaims的源码中找到对应的getter/setter方法。
public class DefaultClaims extends JwtMap implements Claims {
public DefaultClaims() {
}
public DefaultClaims(Map<String, Object> map) {
super(map);
}
public String getIssuer() {
return this.getString("iss");//iss (issuer):签发人
}
public Claims setIssuer(String iss) {
this.setValue("iss", iss);
return this;
}
public String getSubject() {
return this.getString("sub");//sub (subject):主题
}
public Claims setSubject(String sub) {
this.setValue("sub", sub);
return this;
}
public String getAudience() {
return this.getString("aud");//aud (audience):受众
}
public Claims setAudience(String aud) {
this.setValue("aud", aud);
return this;
}
public Date getExpiration() {
return (Date)this.get("exp", Date.class);//exp (expiration time):过期时间
}
public Claims setExpiration(Date exp) {
this.setDate("exp", exp);
return this;
}
public Date getNotBefore() {
return (Date)this.get("nbf", Date.class);//nbf (Not Before):生效时间
}
public Claims setNotBefore(Date nbf) {
this.setDate("nbf", nbf);
return this;
}
public Date getIssuedAt() {
return (Date)this.get("iat", Date.class);//iat (Issued At):签发时间
}
public Claims setIssuedAt(Date iat) {
this.setDate("iat", iat);
return this;
}
public String getId() {
return this.getString("jti");//jti (JWT ID):编号
}
public Claims setId(String jti) {
this.setValue("jti", jti);
return this;
}
//获取用户自己定义的claim主体信息字段
public <T> T get(String claimName, Class<T> requiredType) {
Object value = this.get(claimName);
if (value == null) {
return null;
} else {
if ("exp".equals(claimName) || "iat".equals(claimName) || "nbf".equals(claimName)) {
value = this.getDate(claimName);
}
return this.castClaimValue(value, requiredType);
}
}
//将claim参数的值转换为想转换的类型
private <T> T castClaimValue(Object value, Class<T> requiredType) {
if (requiredType == Date.class && value instanceof Long) {
value = new Date((Long)value);//Long类型转换为日期类型
}
//Integer类型转其他类型
if (value instanceof Integer) {
int intValue = (Integer)value;
if (requiredType == Long.class) {
value = (long)intValue;//转换为long类型
} else if (requiredType == Short.class && -32768 <= intValue && intValue <= 32767) {
value = (short)intValue;//转换为short类型
} else if (requiredType == Byte.class && -128 <= intValue && intValue <= 127) {
value = (byte)intValue;//转换为byte类型
}
}
if (!requiredType.isInstance(value)) {//未知的类型,直接报错
throw new RequiredTypeException("Expected value to be of type: " + requiredType + ", but was " + value.getClass());
} else {//其他类型转换
return requiredType.cast(value);
}
}
}
Signature
Signature是对前两个部分的签名,防止数据被篡改。这里需要指定一个密钥(secret),这个密钥只有服务器知道,不能透露给用户。然后,使用Header中指定的签名算法(默认是HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
计算得到签名后,将Header、Payload、Signature三部分拼成一个字符串,每个部分之间用.分隔,然后将其返回给用户。
JWT认证简单实现
生成token
1、引入JWT依赖。
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
2、编写token生成方法,传入主体信息和密钥,密钥用于校验时解密。
public static Map<String,Object> generateToken(String userId,String secret){
//过期时间
long EXPIRE=1000*60*60*24;
Map<String,Object> data = new HashMap<>(16);
Date expiration=new Date(System.currentTimeMillis() + EXPIRE);
String token = Jwts.builder()
.setHeaderParam("typ","JWT")//token的类型
.setHeaderParam("alg","HS256")//加密算法
.setExpiration(expiration)//过期时间
.setIssuedAt(new Date())//签名时间,时间戳
.claim("userId",userId)//主体信息
.signWith(SignatureAlgorithm.HS256,secret)//使用密钥进行签名加密
.compact();
//将token和过期时间返回给用户
data.put("token",token);
data.put("expire_time",new SimpleDateFormat("yyyy-MM-dd HH:ss:mm").format(expiration));
return data;
}
校验token
编写token校验方法,传入token和密钥进行解密,token解密后返回一个Claims对象,其本质上是一个Map对象,我们可以从Claims对象中获取主体信息(具体底层实现见前面DefaultClaims源码)。
public static Claims validateTokenAndGetClaims(String token, String secret){
Claims claims = Jwts.parser()
.setSigningKey(secret)//使用密钥对签名进行解密
.parseClaimsJws(token)//对token进行解析
.getBody();//获得主体信息
return claims;
}
这样,我们就实现了一个简单的JWT认证,是不是很简单呢!
