背景
相信很多人在使用 postman 调用接口时都遇到了这样的问题,就是请求的网站需要验证 JWT,而我们虽然可以一键生成,但每次生成后都要重新粘到 postman 的请求头中才会生效,这不免带来许多麻烦,更头疼的是,大部分 JWT 的有效时间只有 10 分钟,当我们进行其他工作,再回过神来调用接口时,又会抛出令人讨厌的 403 错误,迫使我们再次手动生成,我们需要解决这个问题。
什么是 JWT
JWT 全称 Json Web Token,字面意思就是 Json 对象在网络中传输用到的令牌,而令牌的作用就是确保传输过程中的安全性。
授权:这是使用 JWT 的最常见场景。用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销小,并且能够轻松地跨不同域使用。
信息交换:JSON Web 令牌是在各方之间安全地传输信息的好方法。由于 JWT 可以签名(例如,使用公钥/私钥对),因此您可以确保发件人是他们所声称的身份。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改。
可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对对 JWT 进行签名。
官网地址:https://jwt.io/introduction
JWT 结构
JWT 一般由三个部分组成:
- header
- payload
- signature
而由他们三个生成的JWT格式一般是xxxxx.yyyyy.zzzzz,中间由 . 进行分隔,下面是一个真实的 JWT:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhY2Nlc3NLZXlJZCI6ImlkYWFzbW5nXzAzMWYxMDc2OGE2ZjRhNGE5M2FiZWU2MDViYjgzNzg1IiwiZXhwIjoxNzMzNzkyMDkwfQ.AD_cguC8JPS9HIMHz0y0yWU--UYpgKnKRkd_SDpDSYU
header
header通常由两部分组成:令牌的类型(JWT)和正在使用的签名算法,例如 HMAC SHA256 或 RSA。
例如:
{
"alg": "HS256",
"typ": "JWT"
}
然后,此 JSON 经过 Base64Url 编码以形成 JWT 的第一部分。也就是xxxxx这一部分。
通常这一部分是保持不变的,因为这一部分信息并不涉及什么重要的安全信息,只是告知后台应当采用什么算法进行加密验签。
payload
JWT 的第二部分是payload,其中包含声明。声明是关于实体(通常是用户)和其他数据的声明。 有三种类型的声明:已注册、公共和私有声明。
- 已注册的声明 Register Claims:这些是一组预定义的声明,不是强制性的,但建议使用,以提供一组有用的、可互操作的声明。其中一些是:iss(颁发者)、exp(过期时间)、sub(主题)、aud(受众)等。
请注意,声明名称只有三个字符长,因为 JWT 是紧凑的。
我们一般会携带 exp,因为 exp 的值是当前时间加上有效期的一个时间类型值,所以每次经过Base64加密生成的结果都不一样。
-
公共声明 Public Claims:这些声明可以由使用 JWT 的用户随意定义。但为避免冲突,应在 IANA JSON Web 令牌注册表中定义它们,或将其定义为包含抗冲突命名空间的 URI。
-
私有声明 Private Claims:这些是自定义声明,用于在同意使用它们的各方之间共享信息,既不是注册声明,也不是公开声明。
一个有效的payload示例:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
然后,对该 JSON 进行 Base64Url 编码,以形成 JWT 的第二部分。也就是yyyyy这一部分。
请注意,对于签名令牌,此信息虽然可以防止篡改,但任何人都可以读取。除非 JWT 已加密,否则不要将机密信息放在 JWT 的 payload 或 header 元素中。
signature
要创建signature部分,您必须获取编码的header、编码的payload、密钥、标头中指定的算法,并对其进行签名。
例如,如果您想使用 HMAC SHA256 算法,将按以下方式创建signature:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
最后,再次对HMAC SHA256 算法加密后得到的byte数组进行base64加密,就得到了 JWT 的第三部分。也就是zzzzz这一部分。
signature用于验证消息在整个过程中没有被更改,并且在使用私钥secret签名的令牌的情况下,它还可以验证 JWT 的发件人是否是它所声称的身份。
我们要怎么做
postman 中有这样一个选项 Scripts ,可以在里面编写 JavaScript 代码,左边的 pre-request 和 post-response 则是指定在请求前的操作和接收到请求结果后的操作。( PS:旧版 postman 的 Scripts 应该是 pre-request )
我们要做的,就是在这里面生成所需的 JWT ,并且放入 postman 的环境变量中,这样,我们的接口在调用时,只需要使用双大括号{{}}的的方式,就可以自动从环境变量取到所需的 JWT 。
还记得上文提到的一个真实的 JWT 吗?让我们来分析一下。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhY2Nlc3NLZXlJZCI6ImlkYWFzbW5nXzAzMWYxMDc2OGE2ZjRhNGE5M2FiZWU2MDViYjgzNzg1IiwiZXhwIjoxNzMzNzkyMDkwfQ.AD_cguC8JPS9HIMHz0y0yWU--UYpgKnKRkd_SDpDSYU
第三部分AD_cguC8JPS9HIMHz0y0yWU--UYpgKnKRkd_SDpDSYU好像和前两个部分不太一样。
它携带了下划线 _ 和减号 - 这些字符,这是因为先经过HMAC SHA256加密再经过 base64 编码后可能会产生加号 + ,等于号 = ,斜杠 / 这些不安全符号,经过转义后就会产生第三部分的结果。
现在我们已经知道了原理,进入编码部分。
首先,引入我们所需的类。其中 btoa 是一个安全的 base64 算法。
const CryptoJS = require('crypto-js')
const btoa = require('btoa')
完成 JWT 第一部分xxxxx,得到eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
let headerJson = JSON.stringify({
"alg": "HS256",
"typ": "JWT"
})
let header = btoa(headerJson)
注意:JSON 内属性的顺序改变也会改变header
完成 JWT 第二部分yyyyy,得到eyJhY2Nlc3NLZXlJZCI6ImlkYWFzbW5nXzAzMWYxMDc2OGE2ZjRhNGE5M2FiZWU2MDViYjgzNzg1IiwiZXhwIjoxNzMzNzkyMDkwfQ
// 超时时间为10分钟
let exp = new Date().getTime() + 10*60*1000
let ak = pm.environment.get("ak")
let payloadJson = JSON.stringify({
"accessKeyId": ak,
"exp": exp,
})
let payload = btoa(payloadJson);
这边我使用到了aksk,其中公钥ak放在payload内,私钥sk放在第三部分用于HMAC SHA256加密
完成 JWT 第三部分zzzzz,得到AD_cguC8JPS9HIMHz0y0yWU--UYpgKnKRkd_SDpDSYU
function safeEncode(header,payload,sk) {
// HmacSHA256加密
let hash = CryptoJS.HmacSHA256(header+"."+payload,sk)
// base64加密
let base64 = CryptoJS.enc.Base64.stringify(hash);
let reg = new RegExp("/", "g");
// 手动替换为可以被校验的符号
base64 = base64.replace(/=+/,"").replace(/\+/g,"-").replace(reg,"_");
return base64;
}
let signature=safeEncode(header,payload,sk)
最后的最后,就是拼接起来,并放到环境变量中,就得到了每次都是随机生成的 JWT,大功告成!
let jwt=header + "." + payload+"."+signature
pm.environment.set("SSO-JWT-Authorization",jwt)
完整代码如下:
const CryptoJS = require('crypto-js')
const btoa = require('btoa') // 安全的base64加密算法
// 通过header,payload,sk生成签名signature
function safeEncode(header,payload,sk) {
// HmacSHA256加密
let hash = CryptoJS.HmacSHA256(header+"."+payload,sk)
// base64加密
let base64 = CryptoJS.enc.Base64.stringify(hash);
let reg = new RegExp("/", "g");
// 手动替换为可以被校验的符号,
base64 = base64.replace(/=+/,"").replace(/\+/g,"-").replace(reg,"_");
return base64;
}
function generateToken() {
let ak=pm.environment.get("ak")// 放在aksk环境变量里,可以自行调整
let sk=pm.environment.get("sk")
let iat = new Date().getTime()
// 超时时间为10分钟
let exp = iat + 10*60*1000
let headerJson = JSON.stringify({
"typ": "JWT",
"alg": "HS256"
})
let payloadJson=JSON.stringify({
"accessKeyId": ak,
"exp": exp,
})
let header=btoa(headerJson)
let payload=btoa(payloadJson)
let signature=safeEncode(header,payload,sk)
// 拼接得到jwt
let jwt=header + "." + payload+"."+signature
pm.environment.set("SSO-JWT-Authorization",jwt)
console.log(jwt)
}
generateToken()
