JWT

以下内容 翻译、择抄、适当修改自 JWT官网，当了一次大自然的搬运工

打开官网你就会看到这么一个介绍：

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties. JWT.IO allows you to decode, verify and generate JWT

翻译过来就是：

JWT是一个开源的、行业标准的RFC 7519方法，用于安全地声明双方。JWT.IO允许你解码，验证，生成JWT（JWT.IO是官网网页内嵌的一个JWT生成器）

1. 什么是 JSON Web Token(JWT)

JWT是一个开源标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间安全地传递信息（此信息是一个JSON对象）。此信息是经过数字签名的，因此可以被验证和信任。JWT可以使用密匙签名（兼用HMAC算法）或使用RSA或ECDSA的公用/专用密钥对来进行签名

尽管JWT可以进行加密以便在各方之间提供保密性，但是我们将重点关注已签名的令牌（指JWT）。已签名的令牌可以验证其中声明的完整性，而加密的令牌的这些声明则对其他各方隐藏。当使用公钥/私钥对来对令牌进行签名时，签名还证明只有持有私钥的一方才是对令牌进行签名的一方（即身份认证）

2. 我们什么时候应该使用JWT

• 授权：这是JWT的最常见用法。一旦用户登录，每个后续请求将包括JWT，从而允许用户访问该令牌允许的路由，服务和资源。单点登录是当今广泛使用的一项功能，因为它的开销很小并且轻松跨域

• 信息交换：JWT是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名（例如，使用公钥/私钥对），所以您可以确定发件人是他们所说的人。此外，由于签名是使用头部和有效负载计算的，因此您还可以验证内容是否遭到篡改

3. JWT的结构

JWT以紧凑的形式由三部分组成，这些部分由点 . 分隔，分别是：

• Header
• Payload
• Signature

因此，JWT通常如下所示

xxxxx.yyyyy.zzzzz

让我们来分解不同的部分：

3.1 Header（头部）

头部通常由两部分组成：令牌的类型和所使用的签名算法（如HMAC SHA256或RSA）

例如：

{
  "alg": "HS256",
  "typ": "JWT"
}

然后，上面的JSON被Base64Url编码以形成JWT的第一部分

3.2 Payload（有效负载）

令牌的第二部分是有效负载，其中包含声明，而声明是有关实体的（通常是用户）和其他数据的声明，声明有三种类型：注册的、公共的、私有的

• 注册声明（建议但不强制使用）
  • iss: 签发者
  • exp: 到期时间
  • sub: 主题
  • aud: 受众群众
  • jti: 身份标识（用于回避重放攻击）
  • others

请注意，声明名称仅是三个字符，因为JWT是紧凑的

• 公开声明（可以添加任何信息，不建议添加敏感信息）

• 私有声明（为共享信息而创建的自定义声明）

有效负载的事例：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后，对有效负载进行Base64Url编码，以形成JSON Web令牌的第二部分

请注意，对于已签名的令牌，此信息尽管可以防止篡改，但任何人都可以读取。除非将其加密，否则请勿将机密信息放入JWT的有效负载或头部中

3.3 Signature（签名）

要创建签名部分，你必须获取编码后的头部，编码后的有效负载、密匙以及头部声明的加密算法，并对他们进行签名

例如：若要用HMAC SHA256算法，则将通过以下方式创建签名：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

签名用于验证消息在此过程中没有更改，并且对于使用私钥进行签名的令牌，它还可以验证JWT的发送者是它所说的真实身份

3.4 放在一起组成JWT

输出是三个由点分隔的Base64-URL字符串，可以在HTML和HTTP环境中轻松传递这些字符串，与基于XML的标准（例如SAML）相比，它更紧凑

下面显示了一个JWT，它已对先前的标头和有效负载进行了编码，并用一个秘密进行了签名

base64UrlEncode(header) + . + base64UrlEncode(payload) + . + Signature

如果您想使用JWT并将这些概念付诸实践，则可以使用jwt.io Debugger解码（官网的JWT编辑器），验证和生成JWT

4. JWT如何工作？

在身份验证中，当用户使用其凭据成功登录时，将返回 JWT。由于令牌是凭据，因此必须格外小心以防止安全问题。通常，令牌的保留时间不应超过要求的时间

由于缺乏安全性，你也不应该将敏感的会话数据存储在浏览器中

每当用户想要访问受保护的路由或资源时，用户代理通常应使用持有者模式，在HTTP请求头中设Authorization为JWT，请求头内容应如下所示：

Authorization: Bearer <token>

在某些情况下，这可以是无状态授权机制。服务器的受保护路由将在Authorization标头中检查有效的JWT ，如果存在，则将允许用户访问受保护的资源。如果JWT包含必要的数据，则可以减少查询数据库中某些操作的需求（比如用户名），尽管这种情况并非总是如此

如果令牌是在Authorization请求头中发送的，则跨域资源共享（CORS）不会成为问题，因为它不使用cookie

可将JWT存于LocalStoage（个人补充）

请注意，使用签名的令牌，令牌中包含的所有信息都会暴露给用户或其他方，即使他们无法更改它。这意味着您不应将机密信息放入令牌中

5. 为什么要使用JWT

由于JSON没有XML冗长，因此在编码时JSON也较小，从而使JWT比SAML更为紧凑。这使得JWT是在HTML和HTTP环境中传递的不错的选择

JSON解析器在大多数编程语言中都很常见，因为它们直接映射到对象。相反，XML没有自然的文档到对象映射。与SAML断言相比，这使使用JWT更加容易

关于用法，JWT是在Internet规模上使用的。这强调了在多个平台（尤其是移动平台）上对JSON Web令牌进行客户端处理的简便性

cookie+session这种模式通常是保存在服务器内存中，而且服务从单服务到多服务会面临的session共享问题，随着用户量的增多，开销就会越大。而JWT不是这样的，只需要服务端生成token，客户端保存这个token，每次请求携带这个token，服务端认证解析即可（个人补充）

6. 缺点（个人补充）

• 注销后JWT还有效，由于JWT存放于客户端，用户点击注销后无法操作客户端的JWT，导致在JWT的过期时间前还是有效，笔者的解决方法是在服务器端建立一个黑名单，在用户点击注销后将该用户放入黑名单，下次进入先去查看黑名单中是否存在该用户，这又和JWT背道而驰，在服务器端存储数据
• 续签，若每次发现快过了有效期，则服务器端生成一个新的JWT发送给客户端，客户端检查新旧JWT不一致则替换

7. 简单事例

笔者就使用JWT官网排名靠前的java-jwt来举例说明了，以为就一个包而没有使用maven和Springboot管理，一个个依赖独自去仓库下载，血的教训，那么列出所需的包

• java-jwt-3.9.0
• commons-codec-1.12
• jackson-databind-2.10.0.pr3
• jackson-annotations-2.10.0.pr3
• jackson-core-2.10.0.pr3

定义JWT工具类

public class JWTUtil {
	
	// 密匙，本应从配置文件读取
	private static String secret = "1234567890";
	
	
	/**
	 * 创建一个JWT
	 * @param username
	 * @return token
	 */
	public static String createJWT(String username){
		
		// 过期多少秒
		long expSecond = 60 * 60;	// 一小时
		
		// 单纯为了使用1.8新时间API
		LocalDateTime nowLocalDateTime = LocalDateTime.now();
		LocalDateTime expLocalDateTime = nowLocalDateTime.plusSeconds(expSecond);
		
		// 时间戳
		Instant nowInstant = nowLocalDateTime.atZone(ZoneId.systemDefault()).toInstant();
		Instant expInstant = expLocalDateTime.atZone(ZoneId.systemDefault()).toInstant();
		
		// 转成jwt的date类型
		Date nowDate = Date.from(nowInstant);
		Date expDate = Date.from(expInstant);
		
		// 变量提升
		String token = null;
		try {
			token = JWT.create()
					.withIssuer("Howl")			// 签发者
					.withIssuedAt(nowDate)		// 签发时间
					.withExpiresAt(expDate)		// 到期时间
					.withClaim("username", username)	// 自定义声明
					.sign(Algorithm.HMAC256(secret));	// 签名
		} catch (JWTVerificationException  e) {
			System.out.println("Claim不能转成json或密匙无效将抛出JWTCreationException");
		}
		return token;
	}
	
	
	/**
	 * 验证token是否正确
	 * @param token
	 * @return T/F
	 */
	public static boolean verifyJWT(String token){
		
		JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret))
				.withIssuer("Howl")
				.build();		// 匹配指定的token发布者 Howl
		try {
			verifier.verify(token);		// 通过验证
		} catch (Exception e) {
			return false;				// 验证失败
		}
		return true;
	}
	
	
	/**
	 * 返回声明的集合，用来获取值
	 * @param token
	 * @return Claims集合
	 */
	public static Map getClaim(String token){
		
		// 解密
		JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret))
				.withIssuer("Howl")
				.build();
				
		// 解密后的JWT
		 DecodedJWT decodedJWT = verifier.verify(token);	
		
		return decodedJWT.getClaims();
	}
}

简单使用

public static void main(String[] args) {
		
		// 根据传入的username生成token
		String token = JWTUtil.createJWT("Howl");
		
		// 验证token是否正确
		if(JWTUtil.verifyJWT(token)){
			System.out.println("验证正确");
		}else{
			System.out.println("验证失败");
		}
		
		// 获取声明的集合
		Map<String,Claim> map = JWTUtil.getClaim(token);
		
		// 获取声明
		System.out.println(map.get("username").asString());		// 获取用户名
		System.out.println(map.get("exp").asDate());			//获取过期时间
		
}

验证正确
Howl
Tue Feb 11 11:06:56 GMT+08:00 2020