JWT是包含三个部分json数据类型
-
header
alg:设置算法
cty:内容的类型
typ:类型
kid:密钥id
通常只使用alg和typ,alg默认的是HS256加密 最后,使用Base64 URL算法将上述JSON对象转换为字符串保存,就是完整的Header
-
payload
iss:发布人
sub:主题
exp:到期时间
nbf:之前不可用
iat:发布时间
jti:jwt的id,用来标识此JWT
aud:用户
这些字段是可以自定义的,后面的例子会有具体说明 负载部分也使用Base64 URL算法转换为字符串保存
-
signatue
1.先将第一段和第二段的base64拼接起来
2.对拼接起来的字符串做上边指定的HS256编码(含有指定密钥)
3.再做base64加密返回
生成 JWT token示例
java
import java.util.Date;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
public class JwtTokenGenerator {
public static String generateToken(String userId, String issuer, String secretKey) {
Date now = new Date();
Date expiryDate = new Date(now.getTime() + 3600000); // 设置过期时间为1个小时后
Algorithm algorithm = Algorithm.HMAC256(secretKey);//设置算法及密钥
String token = JWT.create()
.withIssuer(issuer)//发布人
.withClaim("userId", userId)//数据 "usrid:xxxxx"
.withIssuedAt(now)//发布时间
.withExpiresAt(expiryDate)//到期时间
.sign(algorithm);//
return token;
}
}在上面的代码中,我们使用JWT.create()方法创建了一个JwtBuilder对象,并通过调用它的一系列方法(例如,withIssuer、withClaim、withIssuedAt和withExpiresAt)将需要保存在JWT令牌中的信息添加进去。最后,我们使用sign(algorithm)方法将JwtBuilder对象编码为一个JWT字符串
运行结果示例
java
public class Main {
public static void main(String[] args) {
String userId = "123456789";
String issuer = "myapp";
String secretKey = "mySecretKey";
String token = JwtTokenGenerator.generateToken(userId, issuer, secretKey);
System.out.println("Generated Token: " + token);
}
}运行上述代码,将会输出类似以下内容的生成的JWT令牌
Generated Token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ.8FSN3Iaa1-1W2CooZTd5q95K7uzJiOqjnpa7TzTg46A
在这个token 中前两个字段可通过base64解码
第一个字段
eyJhbGciOiJIUzI1NiJ9
{"alg":"HS256"}
第二个字段eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ
{"sub":"32147889","iss":"myapp","userId":"1234567890","iat":1633412213,"exp":1633415013}
第三个字段
但第三个字段为上面的两个数据的HMAC256加密 没有密钥无法解出数据的。功能也很明显,用来验证上述数据的完整性,就是传输的过程中没有被篡改。
由于这条token是服务端生成的,保存在客户端,验证也是服务端来的。所以只要密钥没有泄露 理论上这样的设计是安全的。
但是好死不死,web开发人员的开始作妖了。
漏洞产生的原因就是没有对第三个字段进行验证处理。只用前两个数据,那直接base64就好了,为什么还用JWT呢。
还有就是虽然做了验证处理但是存在逻辑缺陷。
还需要注意的是密钥千万不能泄露而且要复杂,密钥一旦泄露,怎么处理都是不安全的。
若密钥太简单存在被爆破的可能,防御也很简单会话结束或过期更换密钥就好了;