JWT
基本概念
一个token分3部分,按顺序为
- 头部(header)
- 其为载荷(payload)
- 签证(signature)
由三部分生成token
3部分之间用“.”号做分隔。例如eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTm8iOiJ1c2VyLTAwNmVmZWNlNzZjODQzM2Q4OTc0YzFhMmY5ODQyMmI2IiwiZXhwIjoxNTg5MjQ3NDk5fQ.YIEwajJvcR7MOkrZ0ZBdj9aXbD-G9LcS3TP7LCvtNTM
头部
Jwt的头部承载两部分信息:
- 声明类型,这里是jwt
- 声明加密的算法 通常直接使用 HMAC SHA256
JWT里验证和签名使用的算法,可选择下面的。
| JWS | 算法名称 | 描述 |
|---|---|---|
| HS256 | HMAC256 | HMAC with SHA-256 |
| HS384 | HMAC384 | HMAC with SHA-384 |
| HS512 | HMAC512 | HMAC with SHA-512 |
| RS256 | RSA256 | RSASSA-PKCS1-v1_5 with SHA-256 |
| RS384 | RSA384 | RSASSA-PKCS1-v1_5 with SHA-384 |
| RS512 | RSA512 | RSASSA-PKCS1-v1_5 with SHA-512 |
| ES256 | ECDSA256 | ECDSA with curve P-256 and SHA-256 |
| ES384 | ECDSA384 | ECDSA with curve P-384 and SHA-384 |
| ES512 | ECDSA512 | ECDSA with curve P-521 and SHA-512 |
使用代码如下
// header Map Map<String, Object> map = new HashMap<>(); map.put("alg", "HS256"); map.put("typ", "JWT");
playload
载荷就是存放有效信息的地方。基本上填2种类型数据
-标准中注册的声明的数据
-自定义数据
由这2部分内部做base64加密。最张数据进入JWT的chaims里存放。
标准中注册的声明 (建议但不强制使用)
iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
使用方法
JWT.create().withHeader(map) // header
.withClaim("iss", "Service") // payload
.withClaim("aud", "APP")
.withIssuedAt(iatDate) // sign time
.withExpiresAt(expiresDate) // expire time
自定义数据
这个就比较简单,存放我们想放在token中存放的key-value值
使用方法
JWT.create().withHeader(map) // header
.withClaim("name", "cy") // payload
.withClaim("user_id", "11222");
签名signature
jwt的第三部分是一个签证信息,这个签证信息算法如下:
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
基本上至此,JWT的API相关知识已经学完了,但是API不够有好,不停的用withClaim放数据。不够友好。下面推荐一款框架JJWT,相当于对JWT的实现框架
JJWT
它是为了更友好在JVM上使用JWT,是基于JWT, JWS, JWE, JWK框架的java实现。
参考git地址
引入Maven依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
新建JwtConstants 类,用于token的chaims保存有效信息字段名
public class JwtConstants { public static final String JWT_KEY_USER_ID = "uid"; }
新建JwtInfo 类,用于token的chaims保存有效信息
public class JwtInfo { private String uid; public JwtInfo(String uid) { this.uid = uid; } public String getUid() { return uid; } public void setUid(String uid) { this.uid = uid; } }
新建JwtTokenUtils 工具类,用于token的生成和解析
package com.yibo.user.utils; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.joda.time.DateTime; import javax.crypto.spec.SecretKeySpec; import javax.xml.bind.DatatypeConverter; import java.security.Key; /** * @author: huangyibo * @Date: 2019/1/13 22:37 * @Description: 生成token的工具类 */ public class JwtTokenUtils { private static Key getKeyInstance(){ SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; byte[] bytes = DatatypeConverter.parseBase64Binary("mall-user"); return new SecretKeySpec(bytes,signatureAlgorithm.getJcaName()); } /** * 生成token的方法 * @param jwtInfo * @param expire * @return */ public static String generatorToken(JwtInfo jwtInfo,int expire){ return Jwts.builder().claim(JwtConstants.JWT_KEY_USER_ID,jwtInfo.getUid()) .setExpiration(DateTime.now().plusSeconds(expire).toDate()) .signWith(SignatureAlgorithm.HS256,getKeyInstance()).compact(); } /** * 根据token获取token中的信息 * @param token * @return */ public static JwtInfo getTokenInfo(String token){ Jws<Claims> claimsJws = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(token); Claims claims = claimsJws.getBody(); return new JwtInfo(claims.get(JwtConstants.JWT_KEY_USER_ID).toString()); } }
新建JwtTokenService服务类,调用其方法即可进行认证和授权使用
@Component public class JwtTokenService { /** * token过期时间 */ private int expire = 6000; public String generatorToken(JwtInfo jwtInfo){ return JwtTokenUtils.generatorToken(jwtInfo,expire); } public JwtInfo stringInfoFromToken(String token){ return JwtTokenUtils.getTokenInfo(token); } }
至此JWT的具体使用详细介绍完毕,在项目中建议使用JJWT,因为其API友好。
上面将token中的载荷放在chaims中,其实chaims是JWT内部维持的一个存放有效信息的地方,不论使用任何API,最终都使用chaims保存信息。
setClaims有2个重载
- JwtBuilder setClaims(Claims claims);
- JwtBuilder setClaims(Map<String, Object> claims);
不能就是说,我们也可以直接传入map值对象。
扩展阅读 :
签发的用户认证token超时刷新策略:https://blog.csdn.net/sinat_25235033/article/details/80324006
讲真,别再使用JWT了:https://www.jianshu.com/p/af8360b83a9f
参考:
https://www.jianshu.com/p/d1644e281250