您好,登錄后才能下訂單哦!
這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)JWT怎么用,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
JWT簡(jiǎn)稱JSON Web Token,通過(guò)JSON形式作為Web應(yīng)用中的令牌,將信息作為JSON對(duì)象在各方之間安全傳輸,在數(shù)據(jù)傳輸過(guò)程中還可以完成數(shù)據(jù)加密、簽名等相關(guān)處理。
JWT的最常見(jiàn)方案,一旦用戶登錄,每個(gè)后續(xù)請(qǐng)求將包括JWT,從而允許訪問(wèn)系統(tǒng)的資源,一般適用于單點(diǎn)登錄系統(tǒng),因?yàn)殚_(kāi)銷很小并且可以在不同的域中輕松使用。
JWT是在各方之間安全地傳輸信息的好方法,因?yàn)榭梢詫?duì)JWT進(jìn)行簽名,例如使用公鑰或者私鑰對(duì),由于簽名是使用標(biāo)頭和有效負(fù)載計(jì)算的,還可以驗(yàn)證內(nèi)容是否遭到篡改。
JWT跟Session不一樣,JWT存儲(chǔ)在客戶端,Session存儲(chǔ)在服務(wù)器端,服務(wù)器斷電后Session就會(huì)被銷毀,而JWT因?yàn)榇鎯?chǔ)在客戶端,所以就不會(huì)被影響,只要JWT不過(guò)期,就可以繼續(xù)使用。
Session都是保存在內(nèi)存中,而隨著認(rèn)證用戶的增多,服務(wù)端的開(kāi)銷會(huì)明顯增大。
用戶認(rèn)證之后,服務(wù)端做認(rèn)證記錄,如果認(rèn)證的記錄被保存在內(nèi)存中的話,這意味著用戶下次請(qǐng)求還必須要請(qǐng)求在這臺(tái)服務(wù)器上,這樣才能拿到授權(quán)的資源,在分布式系統(tǒng)中,限制了負(fù)載均衡器的能力,也限制了應(yīng)用的擴(kuò)展能力。
CSRF跨站偽造請(qǐng)求攻擊攻擊,Session是基于Cookie進(jìn)行用戶識(shí)別的,如果Cookie被截獲,用戶會(huì)很容易受到跨站請(qǐng)求偽造的攻擊。
Sessionid就是一個(gè)特征值,表達(dá)的信息不夠豐富,不容易擴(kuò)展,而且如果后端應(yīng)用是多節(jié)點(diǎn)部署,需要實(shí)現(xiàn)session共享機(jī)制,不方便集群應(yīng)用。
前端通過(guò)Web表單將自己的用戶名和密碼發(fā)送到后端的接口,一般是為http post請(qǐng)求,盡量通過(guò)SSL加密的傳輸,避免泄漏敏感信息。
后端核對(duì)用戶名和密碼成功后,將用戶的id等其他信息作為JWT負(fù)載,將其與頭部分別進(jìn)行Base64編碼拼接后簽名,形成的JWT就是一個(gè)形同lll.zzz.xxx的字符串,格式為head.payload.signature。
后端將JWT字符串作為登錄成功的返回結(jié)果返回給前端,前端可以將返回的結(jié)果保存在localStorage或sessionStorage上,退出登錄時(shí)前端刪除保存的JWT。
前端為了解決XSS和XSRF問(wèn)題,在每次請(qǐng)求時(shí)將JWT放入http head中的authorization位置。
后端檢查是否存在,如存在驗(yàn)證JWT的有效性,檢查簽名是否正確,檢查Token是否過(guò)期,檢查Token的接收方是否是自己。
驗(yàn)證通過(guò)后,后端使用JWT中包含的用戶信息進(jìn)行其他邏輯操作,返回相應(yīng)結(jié)果。
簡(jiǎn)潔,可以通過(guò)Url和Http參數(shù)或者在Http請(qǐng)求頭發(fā)送,因?yàn)閿?shù)據(jù)量小,傳輸速度也很快。
自包含,負(fù)載中包含了所有用戶所需要的信息,避免了多次查詢數(shù)據(jù)庫(kù)。
Token是以JSON加密的形式保存在客戶端的,所以JWT是跨語(yǔ)言的,原則上任何Web形式都支持。
不需要在服務(wù)端保存會(huì)話信息,特別適用于分布式微服務(wù)。
token string ====> header.payload.singnature token
標(biāo)頭(Header)
有效載荷(Payload)
簽名(Signature)
因此,JWT通常如下所示:xxxxx.yyyyy.zzzzz Header.Payload.Signature
標(biāo)頭通常由兩部分組成:令牌的類型和所使用的簽名算法,例如HMAC SHA256或RSA,它會(huì)使用 Base64 編碼組成 JWT 結(jié)構(gòu)的第一部分。
Base64是一種編碼,是可以被翻譯回原來(lái)的樣子,它并不是一種加密過(guò)程。
{ "alg": "HS256", "typ": "JWT" }
令牌的第二部分是有效負(fù)載,其中包含聲明。聲明是有關(guān)實(shí)體和其他數(shù)據(jù)的聲明,也使用 Base64 編碼組成 JWT 結(jié)構(gòu)的第二部分。
{ "sub": "1234567890", "name": "John Doe", "admin": true }
前面兩部分都是使用 Base64 進(jìn)行編碼的,即前端可以獲得里面的信息。Signature 需要使用編碼后的 header 和 payload 以及我們提供的一個(gè)密鑰,然后使用 header 中指定的簽名算法(HS256)進(jìn)行簽名。
簽名的作用是保證 JWT 沒(méi)有被篡改過(guò),例如HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)。
如果對(duì)頭部以及負(fù)載的內(nèi)容解碼之后進(jìn)行修改,再進(jìn)行編碼,最后加上之前的簽名組合形成新的JWT的話,那么服務(wù)器端會(huì)判斷出新的頭部和負(fù)載形成的簽名和JWT附帶上的簽名是不一樣的,如果要對(duì)新的頭部和負(fù)載進(jìn)行簽名,在不知道服務(wù)器加密時(shí)用的密鑰的話,得出來(lái)的簽名也是不一樣的。
在JWT中,不應(yīng)該在負(fù)載里面加入任何敏感的數(shù)據(jù)。
pom.xml
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.3.3.RELEASE</version> <relativePath/> <!-- lookup parent from repository --> </parent> <groupId>org.example</groupId> <artifactId>springboot-jwt-token</artifactId> <version>1.0-SNAPSHOT</version> <properties> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!--引入jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.3</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> <!--引入mybatis--> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.3</version> </dependency> <!--引入mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.18</version> </dependency> <!--引入druid--> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.23</version> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>
application.properties
spring.application.name=jwt spring.datasource.type=com.alibaba.druid.pool.DruidDataSource spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/db1?useUnicode=true&characterEncoding=utf8&useSSL=true&serverTimezone=UTC&useSSL=false spring.datasource.username=root mybatis.type-aliases-package=com.alfred.bean mybatis.mapper-locations=classpath:com/alfred/mapper/*.xml logging.level.com.alfred.dao=debug
mybatis xml映射文件
<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.alfred.dao.UserDao"> <select id="login" parameterType="com.alfred.bean.User" resultType="com.alfred.bean.User"> select * from tb_user where name = #{name} and password = #{password} </select> </mapper>
實(shí)體類
@Data @Accessors(chain = true) public class User { private String id; private String name; private String password; }
dao 層
@Mapper public interface UserDao { /** * 登錄 * * @param user User對(duì)象 * @return User對(duì)象 */ User login(User user); }
service層
public interface UserService { /** * 登錄接口 * * @param user 表單中的user * @return 數(shù)據(jù)庫(kù)中查詢到的User */ User login(User user); }
@Service public class UserServiceImpl implements UserService { @Resource private UserDao userDAO; @Transactional(propagation = Propagation.SUPPORTS) @Override public User login(User user) { User userDb = userDAO.login(user); if (userDb != null) { return userDb; } throw new RuntimeException("認(rèn)證失敗"); } }
jwt工具類
public class JwtUtil { private static String SECRET = "hell world"; /** * 生成token * * @param map map集合 * @return token */ public static String getToken(Map<String, String> map) { JWTCreator.Builder builder = JWT.create(); map.forEach(builder::withClaim); Calendar calendar = Calendar.getInstance(); calendar.add(Calendar.HOUR, 12); return builder.sign(Algorithm.HMAC256(SECRET)); } /** * 驗(yàn)證token * * @param token token字符串 * @return 驗(yàn)證接口 */ public static DecodedJWT verify(String token) { return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token); } }
攔截器
@Slf4j public class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 獲取請(qǐng)求頭中的令牌 String token = request.getHeader("token"); log.info("當(dāng)前token為:{}", token); Map<String, Object> map = new HashMap<>(); try { JwtUtil.verify(token); return true; } catch (SignatureVerificationException e) { e.printStackTrace(); map.put("msg", "簽名不一致"); } catch (TokenExpiredException e) { e.printStackTrace(); map.put("msg", "令牌過(guò)期"); } catch (AlgorithmMismatchException e) { e.printStackTrace(); map.put("msg", "算法不匹配"); } catch (InvalidClaimException e) { e.printStackTrace(); map.put("msg", "失效的payload"); } catch (Exception e) { e.printStackTrace(); map.put("msg", "token無(wú)效"); } map.put("state", false); //響應(yīng)到前臺(tái): 將map轉(zhuǎn)為json String json = new ObjectMapper().writeValueAsString(map); response.setContentType("application/json;charset=UTF-8"); response.getWriter().println(json); return false; } }
@Configuration public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JwtInterceptor()) .addPathPatterns("/user/test") .excludePathPatterns("/user/login"); } }
controller層
@RestController @Slf4j public class UserController { @Resource private UserService userService; @GetMapping("/user/login") public Map<String, Object> login(User user) { log.info("用戶名:{}", user.getName()); log.info("密碼: {}", user.getPassword()); Map<String, Object> map = new HashMap<>(); try { User userDb = userService.login(user); Map<String, String> payload = new HashMap<>(); payload.put("id", userDb.getId()); payload.put("name", userDb.getName()); String token = JwtUtil.getToken(payload); map.put("state", true); map.put("msg", "登錄成功"); map.put("token", token); return map; } catch (Exception e) { e.printStackTrace(); map.put("state", false); map.put("msg", e.getMessage()); map.put("token", ""); } return map; } @PostMapping("/user/test") public Map<String, Object> test(HttpServletRequest request) { String token = request.getHeader("token"); DecodedJWT verify = JwtUtil.verify(token); String id = verify.getClaim("id").asString(); String name = verify.getClaim("name").asString(); log.info("id:{}", id); log.info("用戶名: {}", name); // TODO 業(yè)務(wù)邏輯 Map<String, Object> map = new HashMap<>(); map.put("state", true); map.put("msg", "請(qǐng)求成功"); return map; } }
上述就是小編為大家分享的JWT怎么用了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。