关于令牌的概念推荐看令牌技术实现登录的思路
前言
令牌本质就是⼀个字符串,它的实现⽅式有很多,我们采⽤⼀个 JWT 令牌来实现.
介绍
JWT全称:JSON Web Token
官⽹: https://jwt.io/
JSON Web Token(JWT)是⼀个开放的⾏业标准(RFC 7519),⽤于客户端和服务器之间传递安全可靠的信息.
其本质是⼀个 token(令牌),是⼀种紧凑的 URL 安全⽅法.
JWT 组成
JWT由三部分组成,每部分中间使⽤点 (.) 分隔,⽐如:aaaaa.bbbbb.cccc
• **Header(头部)**头部包括令牌的类型(即JWT)及使⽤的哈希算法(如 HMAC SHA256 或RSA )
•Payload(负载) 负载部分是存放有效信息的地⽅,⾥⾯是⼀些⾃定义内容.⽐如: {"userId":"123","userName":"zhangsan"} ,也可以存 jwt 提供的现场字段,⽐如 exp(过期时间戳)等.此部分不建议存放敏感信息,因为此部分可以解码还原原始内容.
• Signature(签名) 此部分⽤于防⽌ jwt 内容被篡改,确保安全性
防⽌被篡改,⽽不是防⽌被解析. JWT 之所以安全,就是因为最后的签名. jwt 当中任何⼀个字符被篡改,整个令牌都会校验失败.就好⽐我们的⾝份证,之所以能标识⼀个⼈的⾝份,是因为他不能被篡改,⽽不是因为内容加密.(任何⼈都可以看到⾝份证的信息, jwt 也是)
如下图:
当我们将正确的令牌进行解码时,就能得到令牌中的信息
对左边部分的信息, 使⽤Base64Url 进⾏编码,合并在⼀起就是 jwt 令牌Base64 是编码⽅式,⽽不是加密⽅式
JWT令牌生成和校验
1. 引⼊ JWT 令牌的依赖
java
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is
preferred -->
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>2. 使⽤ Jar 包中提供的 API 来完成 JWT 令牌的⽣成和校验
⽣成令牌:
java
@SpringBootTest
public class JwtUtilTest {
//使用 Jwt 令牌最关键的是生成令牌和校验令牌
//令牌的过期时间 单位(毫秒)1小时
private static final long expiration=60*60*1000;
//密钥
private static final String secretString="sfo9tYSzXYjGIzAbhFBs6wHhxiWZZsA5QFCHV2yLsg0=";
/**
* 安全密钥
* Keys 调用 hmacShaKeyFor() 方法来创建,参数是根据 BASE64 解码后的密钥
* */
private static final SecretKey SECRET_KEY=Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretString));
/**
* 1.生成令牌
* */
@Test
public void genJwt(){
Map<String,Object> claim=new HashMap<>();
claim.put("id",1);
claim.put("userName","张三");
String jwt= Jwts.builder()
.setClaims(claim) //设置自定义内容(负载)
.setIssuedAt(new Date()) //设置签发时间
.setExpiration(new Date(System.currentTimeMillis()+expiration)) //设置过期时间
.signWith(SECRET_KEY) //设置签名算法
.compact();
System.out.println(jwt);
}
}输出创建的令牌为:eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlck5hbWUiOiLlvKDkuIkiLCJpYXQiOjE3MDY3NjkyMTYsImV4cCI6MTcwNjc3MjgxNn0.7vkw8ee6qcYaQzBwAbWb-Yon8bOt8PH8Xad83gJv2LY
创建令牌的大致流程;
1.先自己写或者生成一个密钥(密钥的长度必须大于256个字节)
2.调用多个方法根据密钥生成一个安全密钥(详情看 SECRET_KEY 的创建过程)
3.调用接口设置令牌的相关属性,安全密钥需要用来设置签名算法(详情看 jwt 的创建)
生成密钥
对密钥有⻓度和内容的要求,建议使⽤io.jsonwebtoken.security.Keys#secretKeyFor(signaturealgalgorithm)⽅法来创建⼀个密钥
详细创建过程如下:
java
/**
* 生成密钥
* 对于密钥有⻓度和内容的要求,建议使⽤
* io.jsonwebtoken.security.Keys#secretKeyFor(signatureAlgorithm)⽅法来创建⼀个密钥
* */
@Test
public void genSecret(){
//创建了一个密钥生成器
//参数是一个枚举类型,表示加密算法
Key key=Keys.secretKeyFor(SignatureAlgorithm.HS256);
String secretString=Encoders.BASE64.encode(key.getEncoded());
System.out.println(secretString);
}校验令牌
完成了令牌的⽣成,我们需要根据令牌,来校验令牌的合法性(以防客户端伪造)
我们把⽣成的令牌通过官⽹进⾏解析,就可以看到我们存储的信息了
-
HEADER 部分可以看到,使⽤的算法为 HS256
-
PAYLOAD 部分是我们⾃定义的内容, iat 表示创建时间,exp 表⽰过期时间
-
VERIFY SIGNATURE 部分是签名,通过签名算法计算出来,所以不会解析
我们当然也可以通过代码来校验令牌的合法性,代码如下:
java
/**
* 解析令牌
* 需要根据令牌,来校验令牌的合法性(以防客户端伪造)
* */
@Test
public void parseJwt(){
String token="eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlck5hbWUiOiLlvKDkuIkiLCJpYXQiOjE3MDY3NjkyMTYsImV4cCI6MTcwNjc3MjgxNn0.7vkw8ee6qcYaQzBwAbWb-Yon8bOt8PH8Xad83gJv2LY";
//创建解析器,设置签名所用的安全密钥
JwtParserBuilder jwtParserBuilder=Jwts.parserBuilder().setSigningKey(SECRET_KEY);
//解析 token
Claims claims = jwtParserBuilder.build().parseClaimsJws(token).getBody();
System.out.println(claims);
}运⾏结果:
令牌解析后,我们可以看到⾥⾯存储的信息,如果在解析的过程当中没有报错,就说明解析成功了.
令牌解析时,也会进⾏时间有效性的校验,如果令牌过期了,解析也会失败.修改令牌中的任何⼀个字符,都会校验失败,所以令牌⽆法篡改