欢迎来到luckyzc的博客

JWT相关介绍

JWT(Json Web Token)

好,今天我们来学JWT

JWT简介

JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全的。

为什么我们要学习这个JWT呢?

我们从简介中可以知道

“JWT一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范”

所以这个东西可以用来跟踪会话。我们知道http协议是无状态的,应用jwt,我们可以完成基于token的登陆验证功能。(而不是使用传统的cookie和session)顺便可以完成实践作业中所需要的功能

HTTP协议

既然聊到会话跟踪,我们追根溯源,来了解一下http协议。

HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。

HTTP工作原理

HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。
客户端通过发送请求(request)到服务器中,服务器通过响应(response)来反馈客户端的请求

HTTP注意事项

HTTP是无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
HTTP是媒体独立的:这意味着,只要客户端和服务器知道如何处理的数据内容,任何类型的数据都可以通过HTTP发送。客户端以及服务器指定使用适合的MIME-type内容类型。
HTTP是无状态:HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。


我们不过多分析http的深层次内容,现在我们回到jwt上面来。

我们这里抛出一个问题:

用户验证过程:

  1. 用户向服务器发送用户名和密码。
  2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
  3. 服务器向用户返回session_id,session信息都会写入到用户的Cookie。
  4. 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
  5. 服务器收到session_id并对比之前保存的数据,确认用户的身份。
    如图所示:

这种模式最大的问题是,没有分布式架构,无法支持横向扩展。如果使用一个服务器,该模式完全没有问题。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。

jwt原则

JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示。

{

"UserName": "zc990306",

"Role": "Admin",

"token": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

}

服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。

jwt的数据结构

JWT头、有效载荷和签名

我们着重介绍一下签名哈希

签名哈希部分是对前面两部分(jwt头,有效载荷)数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256),在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。

jwt的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。
此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。


下面我们直接贴代码

public class TokenUtil {
    private static final long EXPIRE_TIME= 10*60*60*1000;
    private static final String TOKEN_SECRET="txdy";  //密钥盐

    public static String sign(String username){
        String token = null;
        try {
            Date expiresAt = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            token = JWT.create()
                    .withIssuer("auth0")
                    .withClaim("username", username)
                    .withExpiresAt(expiresAt)
                    // 使用了HMAC256加密算法。
                    .sign(Algorithm.HMAC256(TOKEN_SECRET));
        } catch (Exception e){
            e.printStackTrace();
        }
        return token;
    }

    public static boolean verify(String token){
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).withIssuer("auth0").build();
            DecodedJWT jwt = verifier.verify(token);
            System.out.println("认证通过:");
            System.out.println("username: " + jwt.getClaim("username").asString());
            System.out.println("过期时间:      " + jwt.getExpiresAt());
            return true;
        } catch (Exception e){
            return false;
        }
    }

    public static String getUsername(String token){
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getClaim("username").asString();
    }
}

当时在使用这段代码时,由于是依靠后端重新计算一遍token来进行验证的,但是在测试时发现,对同一个账号在不同时间计算出的token不同,因此verify进行验证的时候炸了好几次。由于不了解HMAC256算法,只能重新添加一个getUsername方法去直接通过jwt来获得解析过的数据。

总结

对于jwt,java官网已经有了相应的工具类的实现,我们只需要根据自身项目的需要进行封装即可。

参考文献

一文读懂JWT
jwt介绍
十分钟了解web令牌
http教程
《图解HTTP》(人民邮电出版社)

posted @ 2020-06-23 20:25  sezcccc  阅读(100)  评论(0编辑  收藏  举报