JWT 介绍和使用,对称加密，非对称加密，RSA, Tocken？

 

1.引入jwt的概念：

 1.1有状态登录，无状态登录

　　有状态登录：服务器当中记录每一次的登录信息，从而根据客户端发送的数据来判断登录过来的用户是否合法。

　　缺点：

• • • 服务器当中需要保存大量的session信息，从而增加了服务器的压力。
    • 客户端请求依赖登录服务器，多个请求过来访问同一个服务器。
    • 服务器拓展困难，需要将session存储到其他服务器当中。

 

　　无状态登录：服务器当中不记录用户的登录信息，而是将登录成功后的合法用户信息以token方式保存到客户端当中，

　　　　　用户每次请求都携带token信息。

　　好处：

• • 减少服务器存储session信息的压力。
  • 客户端请求不依赖服务器。

 1.2如何实现无状态登录？

 　　流程：

1. 1. 客户端第一次请求服务器，服务器端对登录用户信息进行认证。
   2. 认证通过后，对客户信息进行加密处理形成token登录凭证，然后返回给客户端。
   3. 以后客户端每一次请求都携带这个jwt信息去请求服务器。
   4. 服务器端请求信息进行解密处理。判断登录用户是否有效。

 

      授权-鉴权流程图：

　　

2.加密技术的引入

　　2.1对称加密，非堆成加密，不可逆加密方式。

　　对称加密：将明文分成N个组，然后使用密钥对各个组进行加密，形成各自的密文，最后把所有的分组密文进行合并，形成最终的密文。

　　优势：加密速度快，加密效率高。

　　缺点：双方都使用同样的密钥，安全性得不到保证。

　　

　　非对称加密方式：同时生成两把密钥，公钥和私钥。私钥服务器自己保存，公钥下发到受信任的客户端

　　优势：安全性高，只要私钥不暴露出去，信息就不会泄露。

　　缺点：加密效率低。

 

　　不可逆加密方式：MD5

　　加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，无法根据密文推算出明文

　　严格意义上，这种不属于加密方式。因为加密算法要既能加密也能解密。

　　

3.JWT

　　概念:全称json wek token 是一种轻量级的身份认证 ，可实现无状态 ，分布式的web应用授权。

　　

　　3.1组成：

　　　　JWT由三部分组成分别是：header+payload+签名

　　　　header:头部，通常由两部分信息，　　

　　　　　　　　　　。声明类型：通常为jwt

　　　　　　　　　　。签名算法：签名部分使用的算法，需要在header中进行定义。

　　　　payload:负载。

　　　　　　　　　　这里保存着有效的数据部分。

　　　　　　　　　　jwt当中实际存储数据的部分。

　　　　　　　　　　官方规定了7个可以选择的数据。

　　　　签名部分：通常是整个数据的认证信息，一般根据前面两部的数据，再加上服务的密钥，通过加密算法生成，用于验证整个数据的完成性。

　　　　　　　　

　　如图所示，这是生成的jwt信息。

　　3.2jwt系统交互流程图：

　　　　　　　　　　

 

　　对上面的交互流程的分析：

　　通过交互图可以观察到：用户登陆微服务后，还需要拿着jwt到鉴权中心去验证用户的登陆权限，能不能让用户就在服务端就可以完成鉴权的工作，这样就可以减少一次网络请求，加快系统的响应时间。

　　结论：我们可以使用jwt+rsa的方式，由鉴权中心生成私钥，公钥。在授权中心通过私钥生成jwt信息，然后公钥下发给受信任的服务。再使用公钥再服务器端进行鉴权处理。

　　　　　如果通过公钥可以获取到jwt当中信息，说明该用户具有对应的权限。可以进行登陆操作。

 

　　3.3 使用jwt+rsa方式的授权+鉴权方式：

　　

 

4 JWT实例：

 

　　4.1使用jwt所依赖的maven依赖都有哪些：

　　　　

<!--json web token相关坐标-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.10.5</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.10.5</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.10.5</version>
            <scope>runtime</scope>
        </dependency>

   　4.2RSA工具类：用于生成私钥和公钥。

　

package com.mi.demo.author;

import java.io.File;
import java.io.IOException;
import java.nio.file.Files;
import java.security.*;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.util.Base64;

/**
 * Rsa工具类
 * @author 王杰
 */
public class RsaUtils {

    private static final int DEFAULT_KEY_SIZE = 2048;

    /**
     * 从文件中读取公钥
     *
     * @param filename 公钥保存路径，相对于classpath
     * @return  PublicKey 公钥对象
     * @throws Exception
     */
    public static PublicKey getPublicKey(String filename) throws Exception {
        byte[] bytes = readFile (filename);
        return getPublicKey (bytes);
    }

    /**
     * 从文件中读取密钥
     *
     * @param filename 私钥保存路径，相对于classpath
     * @return  PrivateKey 私钥对象
     * @throws Exception
     */
    public static PrivateKey getPrivateKey(String filename) throws Exception {
        byte[] bytes = readFile (filename);
        return getPrivateKey (bytes);
    }

    /**
     * 获取公钥
     * 公钥的字节形式。
     * @param bytes 公钥的字节形式
     * @return
     * @throws Exception
     */
    private static PublicKey getPublicKey(byte[] bytes) throws Exception {
        bytes = Base64.getDecoder ( ).decode (bytes);
        X509EncodedKeySpec spec = new X509EncodedKeySpec (bytes);
        KeyFactory factory = KeyFactory.getInstance ("RSA");
        return factory.generatePublic (spec);
    }

    /**
     * 获取密钥
     *
     * @param bytes 私钥的字节形式
     * @return
     * @throws Exception
     */
    private static PrivateKey getPrivateKey(byte[] bytes) throws NoSuchAlgorithmException, InvalidKeySpecException {
        bytes = Base64.getDecoder ( ).decode (bytes);
        PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec (bytes);
        KeyFactory factory = KeyFactory.getInstance ("RSA");
        return factory.generatePrivate (spec);
    }

    /**
     * 根据密文，生存rsa公钥和私钥,并写入指定文件
     *
     * @param publicKeyFilename  公钥文件路径
     * @param privateKeyFilename 私钥文件路径
     * @param secret             生成密钥的密文
     */
    public static void generateKey(String publicKeyFilename, String privateKeyFilename, String secret, int keySize) throws Exception {
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance ("RSA");
        SecureRandom secureRandom = new SecureRandom (secret.getBytes ( ));
        keyPairGenerator.initialize (Math.max (keySize, DEFAULT_KEY_SIZE), secureRandom);
        KeyPair keyPair = keyPairGenerator.genKeyPair ( );
        // 获取公钥并写出
        byte[] publicKeyBytes = keyPair.getPublic ( ).getEncoded ( );
        publicKeyBytes = Base64.getEncoder ( ).encode (publicKeyBytes);
        writeFile (publicKeyFilename, publicKeyBytes);
        // 获取私钥并写出
        byte[] privateKeyBytes = keyPair.getPrivate ( ).getEncoded ( );
        privateKeyBytes = Base64.getEncoder ( ).encode (privateKeyBytes);
        writeFile (privateKeyFilename, privateKeyBytes);
    }

    private static byte[] readFile(String fileName) throws Exception {
        return Files.readAllBytes (new File (fileName).toPath ( ));
    }

    private static void writeFile(String destPath, byte[] bytes) throws IOException {
        File dest = new File (destPath);
        if (!dest.exists ( )) {
            dest.createNewFile ( );
        }
        Files.write (dest.toPath ( ), bytes);
    }

}

 

package com.mi.demo.utils;

import com.mi.demo.author.JwtUtils;
import com.mi.demo.author.Payload;
import com.mi.demo.author.UserInfo;
import org.junit.Test;

import java.security.PrivateKey;
import java.security.PublicKey;

public class RsaUtilsTest {
    //生成私钥，公钥地址
    private String privateFilePath = "E:\\develop\\ssh\\id_rsa";
    private String publicFilePath = "E:\\develop\\ssh\\id_rsa_pub";

    @Test
    public void testRSA() throws Exception {
        // 生成密钥对
        RsaUtils.generateKey(publicFilePath, privateFilePath, "hello", 2048);

        // 获取私钥
        PrivateKey privateKey = RsaUtils.getPrivateKey(privateFilePath);
        System.out.println("privateKey = " + privateKey);
        // 获取公钥
        PublicKey publicKey = RsaUtils.getPublicKey(publicFilePath);
        System.out.println("publicKey = " + publicKey);
    }

 

　　 4.3 jwt当中的载荷信息部分。

　

package com.mi.demo.author;

import lombok.Data;

import java.util.Date;

@Data
public class Payload<T> {
//    jwt的id
    private String id;
//    用户信息
    private T userInfo;
//    过期时间
    private Date expiration;

}

 

package com.mi.demo.author;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

/**
 * @author 王杰
 */
@Data
@NoArgsConstructor
@AllArgsConstructor
/**
 * 载荷 ：UserInfo
 */
public class UserInfo {

    private Long id;

    private String username;

    private String role;
}

 

　　4.4 jwtutils工具类，用于生成jwt信息，解析jwt信息。

package com.mi.demo.author;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.joda.time.DateTime;


import java.security.PrivateKey;
import java.security.PublicKey;
import java.util.Base64;
import java.util.UUID;

public class JwtUtils {

    private static final String JWT_PAYLOAD_USER_KEY = "user";

    /**
     *
     * 私钥加密token
     *
     * @param userInfo   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间，单位分钟
     * @return JWT
     */
    public static String generateTokenExpireInMinutes(Object userInfo, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusMinutes(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 私钥加密token
     *
     * @param userInfo   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间，单位秒
     * @return JWT
     */
    public static String generateTokenExpireInSeconds(Object userInfo, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 公钥解析token
     *
     * @param token     用户请求中的token
     * @param publicKey 公钥
     * @return Jws<Claims>
     */
    private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
        return Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token);
    }

    private static String createJTI() {
        return new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes()));
    }

    /**
     * 获取token中的用户信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey, Class<T> userType) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setUserInfo(JsonUtils.toBean(body.get(JWT_PAYLOAD_USER_KEY).toString(), userType));
        claims.setExpiration(body.getExpiration());
        return claims;
    }

    /**
     * 获取token中的载荷信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setExpiration(body.getExpiration());
        return claims;
    }
}

 

4.5 测试类，使用jwt工具，生成Jwt信息。

package com.mi.demo.author;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.joda.time.DateTime;


import java.security.PrivateKey;
import java.security.PublicKey;
import java.util.Base64;
import java.util.UUID;

public class JwtUtils {

    private static final String JWT_PAYLOAD_USER_KEY = "user";

    /**
     *
     * 私钥加密token
     *
     * @param userInfo   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间，单位分钟
     * @return JWT
     */
    public static String generateTokenExpireInMinutes(Object userInfo, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusMinutes(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 私钥加密token
     *
     * @param userInfo   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间，单位秒
     * @return JWT
     */
    public static String generateTokenExpireInSeconds(Object userInfo, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 公钥解析token
     *
     * @param token     用户请求中的token
     * @param publicKey 公钥
     * @return Jws<Claims>
     */
    private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
        return Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token);
    }

    private static String createJTI() {
        return new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes()));
    }

    /**
     * 获取token中的用户信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey, Class<T> userType) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setUserInfo(JsonUtils.toBean(body.get(JWT_PAYLOAD_USER_KEY).toString(), userType));
        claims.setExpiration(body.getExpiration());
        return claims;
    }

    /**
     * 获取token中的载荷信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setExpiration(body.getExpiration());
        return claims;
    }
}

 

　　4.6 生成的公钥，私钥内容，位置，jwt内容。

 

---

 

 

　　　　　　　　　　　　　　　　　　　　

---