JWT替换Session场景使用
什么是JWT
JWT(Json Web Token),是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
官网地址介绍:https://jwt.io/introduction/
传统Session认证
为什么我们需要网页认证?因为服务端很多接口都是需要我们登录之后才能使用,比如某一些界面,某一些资源等等。我们就需要为登录做一个认证,在传统用的最多的就是基于Session的认证方式。
我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
Session认证的缺点
1.每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大
2.用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
3.因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
4.如果后端要做分布式集群的话,那么还要去实现session共享来保证用户一致性。
JWT认证
那么JWT认证为什么能解决这些问题呢?
-
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
-
后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx的字符串。 token格式:
head.payload.singurater -
后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。
-
前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)
-
后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
-
验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。
优势
-
简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
-
自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库
-
因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
-
不需要在服务端保存会话信息,特别适用于分布式微服务。
-
而且可以和shiro、redis、springsecurity整合使用,实现丰富扩展功能。
结构
我们在上面也简单介绍到了JWT的结构,基本就是(xxxxx.yyyyy.zzzzz)。 分别也就是这三部分组成:Header.Payload.Signature。
- Header:标头
- Payload:负载
- Signature:签名
Header
标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分。(需要注意的是Base64虽然是一种加密过程,但是可以被解密,所以负载虽然可以放一些数据,但是千万别放一些重要的东西。)
{
"name": "CryFace",
"role": "admin"
}
Signature
前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。
关于签名算法,JWT提供了很多,这些在git仓库里介绍都有。
API测试
需要引入依赖使用,这里附上git地址,可以自己参考api使用。https://github.com/auth0/java-jwt(注意,关于JWT为Java提供了六个库,这里使用的是使用人数比较多的版本。)
定义一个密钥,用来加密,不能泄露。
private static String secret = "#hjk*!jkfsd:?/[]&^#kjhfd"; //随便定义,越复杂越好
生成token
@Test
public void generateToken() {
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.MINUTE,2); //设置一个两分钟后的日期
String token = JWT.create()
.withClaim("name","lin")
.withExpiresAt(calendar.getTime())
.sign(Algorithm.HMAC256(secret));
System.out.println(token);
}
检验token
我们对上述生成的token进行测试,并取出附在里面的name值。
@Test
public void verifyToken() {
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(secret)).build();
DecodedJWT verify = jwtVerifier.verify("图中token");
System.out.println(verify.getClaim("name").asString());
}
JWT封装工具类
根据JWT的几个api特性以及参数,我们就可以将它封装成我们开发过程中的工具类来使用。而且我们不可能对每个接口都进行使用工具类去校验,一般来说,在登录成功的时候会进行生成token调用,其他校验我们都是通过拦截器来实现的。如果是在微服务治理中,我们也可以使用网关来进行调用校验。
JWTUtil
public class JWTUtil {
private static String TOKEN = "#hjk*!jkfsd:?/[]&^#kjhfd"; //随便定义
/**
* 生成token
* @param map //传入payload
* @param expiresAt //传入过期时间 默认是s为单位
* @return 返回token
*/
// 如果与其他安全框架进行整合,也可以传入一个加盐salt值
public static String getToken(Map<String,String> map,int expiresAt){
JWTCreator.Builder builder = JWT.create();
map.forEach((k,v)->{
builder.withClaim(k,v);
});
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND,expiresAt);
builder.withExpiresAt(instance.getTime());
return builder.sign(Algorithm.HMAC256(TOKEN));
}
/**
* 验证token
* @param token
* @return
*/
public static void verify(String token){
JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token); // 如果验证通过,则不会把报错,否则会报错
}
/**
* 获取token中payload
* @param token
* @return
*/
public static DecodedJWT getToken(String token){
return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
}
}
拦截器校验
public class JWTInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader("token");
Map<String, Object> map = new HashMap<>();
try {
JWTUtil.verify(token);
return true;
} catch (TokenExpiredException e) {
map.put("state", false);
map.put("msg", "Token已经过期!!!");
} catch (SignatureVerificationException e) {
map.put("state", false);
map.put("msg", "签名错误!!!");
} catch (AlgorithmMismatchException e) {
map.put("state", false);
map.put("msg", "加密算法不匹配!!!");
} catch (Exception e) {
e.printStackTrace();
map.put("state", false);
map.put("msg", "无效token~~");
}
String json = new ObjectMapper().writeValueAsString(map);
response.setContentType("application/json;charset=UTF-8");
response.getWriter().println(json);
return false;
}
}
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new JWTInterceptor()).
excludePathPatterns("/user/**") // 放行
.addPathPatterns("/**"); // 拦截除了"/user/**的所有请求路径
}
}
