分布式认证JWT

JWT解释

JWT是一种加密后的数据载体,可在各应用间进行数据传输。

JWT的组成

包含3部分。header(头)、payload(有效载荷)、signature(签名)。格式是header.payload.signature

Header组成

JWT的头部承载两部分信息

声明类型,默认是JWT

声明加密的算法 常用的算法:HMAC、RSA、ECDSA等

bash 复制代码
{
	"alg":"HS256"
	"typ":"JWT"
}

alg:表示签名的算法,默认是 HMAC SHA256(写成 HS256);

typ:表示令牌(token)的类型,JWT 令牌统一写为 JwT。使用Base64加密,构成了JT第一部分-header

Payload组成

Payload 部分也是一个JSON 对象,用来存放实际需要传递的有效信息。

标准载荷:有很多,建议使用,但不强制,对T信息作补充。

标准载荷 介绍
iss (issuer) 签发人(谁签发的)
exp (expiration time) 过期时间,必须要大于签发时间
sub (subject) 主题(用来做什么)
aud (audience) 受众(给谁用的)比如:http://www.xxx.com
nbf (Not Before) 生效时间
iat (lssued At) 签发时间
jti (JWT ID) 编号,JWT的唯一身份标识

自定义载荷:可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。

bash 复制代码
{
	#自定义载荷
	"user_info":[
		{"id": "1"},
		{"name": "lili"},
		{"age": "18"}
	]
	#标准载荷
	"iat": 1681571257.
	"exp":1682783999
	"aud":"xiaofei",
	"iss":"dafei"
	"sub": "alluser'
}

使用Base64加密,构成了JT第二部分payload

signature组成

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

java 复制代码
signature =HMACSHA256(base64urlEncode(header)+""+ base64UrlEncode(payload),secret)

算出签名以后,把 Header、Pavload、signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

因为有这个密钥的存在,所以即便调用方偷偷的修改了前两部分的内容,在验证环节就会出现签名不一致的情况,所以保证了安全性。

使用Base64加密,构成了JT第三部分-signature

实践

xml 复制代码
 <dependencies>
            <!--JWT(Json Web Token)登录支持-->
            <dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt-api</artifactId>
                <version>0.11.5</version>
            </dependency>
            <dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt-impl</artifactId>
                <version>0.11.5</version>
                <scope>runtime</scope>
            </dependency>
            <dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt-jackson</artifactId>
                <version>0.11.5</version>
                <scope>runtime</scope>
            </dependency>
        </dependencies>
java 复制代码
public class JwtUtil {
    static String USER_INFO_USERNAME = "username";
    static int JWT_EXPIRATION = 24 * 60 * 60 * 1000;
    static String JWT_SECRET = "jwtsecretfdghfghfdfgdfgdfsgdfgdfgfdgdfgdfgdfgdfg";
    static String JWT_CREATE_TIME = "jwtCreateTime";
    static String USER_INFO_ID = "id";

    public static String createToken(Map<String, Object> claims) {
        String token = Jwts.builder()
//                .setHeader(new HashMap<>())
                .setAudience("Audience")
                .setIssuer("Issuer")
                .setSubject("Subject")
                .setNotBefore(new Date())
                .setIssuedAt(new Date())
                .setId("jwt id")
                .setClaims(claims)//载荷
                .setExpiration(generateExpirationDate())
                .signWith(Keys.hmacShaKeyFor(Decoders.BASE64.decode(JWT_SECRET)))
                .compact();
        return token;
    }

    private static Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + JWT_EXPIRATION);
    }

    public static Claims parseToken(String token) {
        Claims claims = Jwts.parserBuilder()
                .setSigningKey(Decoders.BASE64.decode(JWT_SECRET))
                .build()
                .parseClaimsJws(token)
                .getBody();
        return claims;
    }

    public static String getUsername(String token) {
        Claims claims = parseToken(token);
        return getValue(claims, USER_INFO_USERNAME);
    }

    public static boolean validateToken(String token) {
        Claims claims = parseToken(token);
        return claims != null && !isTokenExpired(token);
    }

    private static boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDate(token);
        return expiredDate.before(new Date());
    }

    private static Date getExpiredDate(String token) {
        Claims claims = parseToken(token);
        return claims.getExpiration();
    }

    private static String refreshToken(String token) {
        Claims claims = parseToken(token);
        claims.put(JWT_CREATE_TIME, new Date());
        return createToken(claims);
    }

    private static String getValue(Claims claims, String key) {
        return claims.get(key) != null ? claims.get(key).toString() : null;
    }
}
java 复制代码
@RestController
public class UserController {

    private static Map<String, User> map = new HashMap();

    @GetMapping("/register")
    public String register(User user) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(USER_INFO_ID, user.getId());
        claims.put(USER_INFO_USERNAME, user.getUsername());
        claims.put(JWT_CREATE_TIME, new Date());
        String token = JwtUtil.createToken(claims);
        map.put(token, user);
        return "/active?jwt= " + token;
    }

    public void active(String jwt) {
        User user = map.get(jwt);
        if (user != null && JwtUtil.validateToken(jwt)) {
            map.remove(jwt);
            System.out.println("active");
        } else {
            System.out.println("param 不合法 ");
        }
    }
}
相关推荐
Wx-bishekaifayuan8 小时前
PHP动物收容所管理系统-计算机设计毕业源码94164
java·css·spring boot·spring·spring cloud·servlet·php
customer0818 小时前
【开源免费】基于SpringBoot+Vue.JS医疗病历交互系统(JAVA毕业设计)
java·jvm·vue.js·spring boot·后端·spring cloud·kafka
customer0821 小时前
【开源免费】基于SpringBoot+Vue.JS美发门店管理系统(JAVA毕业设计)
java·vue.js·spring boot·后端·spring cloud·kafka·开源
wclass-zhengge1 天前
SpringCloud篇(服务拆分 / 远程调用 - 入门案例)
后端·spring·spring cloud
白总Server1 天前
JVM 处理多线程并发执行
jvm·后端·spring cloud·微服务·ribbon·架构·数据库架构
涔溪1 天前
Docker简介
spring cloud·docker·eureka
荆州克莱2 天前
Mysql学习笔记(一):Mysql的架构
spring boot·spring·spring cloud·css3·技术
白总Server2 天前
Swagger UI
后端·ui·spring cloud·ribbon·架构·scala·1024程序员节
Yweir2 天前
SpringCloud 微服务消息队列灰度方案 (RocketMQ 4.x)
spring cloud·微服务·rocketmq
杨荧3 天前
【JAVA毕业设计】基于Vue和SpringBoot的大学生就业招聘系统
java·开发语言·jvm·vue.js·spring boot·spring cloud·开源