SpringBoot+JWT完成token验证

一、JWT是什么
JWT的全称为json web token。是一种生成token的方式。一般我们访问一个系统的流程就是:请求登录接口,该接口会返回一个token,为了防止对象数据被篡改,生成JSON时会加上签名,请求其他接口都要带上token,token验证通过才能访问成功,而JWT就是生成token的一种机制。广义上讲JWT是一个标准的名称;狭义上讲JWT指的就是用来传递的那个token字符串。
二、JWT的组成
JWT含有三个部分:

  • 头部(header)
  • 载荷(payload)
  • 签证(signature)

2.1 头部(header)
头部一般有两部分信息:类型、加密的算法(通常使用HMAC SHA256)
头部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
解密后:

{
    "typ":"JWT",
    "alg":"HS256"
}

2.2 载荷(payload)
该部分一般存放一些有效的信息。JWT的标准定义包含五个字段:

  • iss:该JWT的签发者
  • sub:该JWT所面向的用户
  • aud:接收该JWT的一方
  • exp(expires):什么时候过期,这里是一个Unit的时间戳
  • iat(issued at):在什么时候签发的

2.3签证(signature)
JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:

  • header(base64后的)
  • payload(base64后的)
  • secret 私钥,secret是保存在服务器端的,JWT的签发生成也是在服务器端的,secret就是用来进行JWT的签发和JWT的验证,所以,它就是你服务端的秘钥,在任何场景都不应该流露出去。一旦客户端得知这个secret,那就意味着客户端可以自我签发JWT了。

2.4 解密调试器
官网的加密串解密调试器:https://jwt.io/#debugger-io

三、如何使用JWT?
3.1 工作原理
在身份鉴定的实现中,传统的方法是在服务端存储一个 session,但是如果是大并发系统服务器内存占用将不可控,给客户端返回一个 cookie。而使用JWT之后,当用户使用它的认证信息登录系统之后,会返回给用户一个JWT, 用户只需要本地保存该 token(通常使用localStorage,也可以使用cookie)即可。当用户希望访问一个受保护的路由或者资源的时候,通常应该在Authorization头部使用Bearer模式添加JWT,其内容格式:

Authorization: Bearer <token>

请求header形如:

fetch('api/users', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

Postman发起JWT请求Header的key为Authorization,Header的value为Bearer <token>,示意

因为用户的状态在服务端内容中是不存储的,所以这是一种无状态的认证机制。服务端的保护路由将会检查请求头 Authorization 中的JWT信息,如果合法,则允许用户的行为。由于JWT是自包含的,因此减少了需要查询数据库的需要。JWT的这些特征使得我们可以完全依赖无状态的特性提供数据API服务。因为JWT并不使用Cookie的,所以你可以在任何域名提供你的API服务而不需要担心跨域资源共享问题(CORS)。
3.2 流程介绍:

  • 用户使用账号和密码发出POST登录请求;
  • 服务器使用私钥创建一个JWT;
  • 服务器返回这个JWT给浏览器;
  • 浏览器将该JWT串放在请求头中向服务器发送请求;
  • 服务器验证该JWT

参考博客:https://www.jianshu.com/p/161fbab47a49,https://blog.csdn.net/tang_seven/article/details/127498184

 

posted @ 2023-03-06 17:55  郭慕荣  阅读(408)  评论(0编辑  收藏  举报