您好,登錄后才能下訂單哦!
本篇內(nèi)容主要講解“怎么基于JWT實(shí)現(xiàn)接口的授權(quán)訪問(wèn)”,感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“怎么基于JWT實(shí)現(xiàn)接口的授權(quán)訪問(wèn)”吧!
JWT(JSON Web Token)是一個(gè)開(kāi)放標(biāo)準(zhǔn)(RFC 7519),它定義了一種緊湊且獨(dú)立的方式,可以在各個(gè)系統(tǒng)之間用JSON作為對(duì)象安全地傳輸信息,并且可以保證所傳輸?shù)男畔⒉粫?huì)被篡改。
JWT通常有兩種應(yīng)用場(chǎng)景:
授權(quán)。這是最常見(jiàn)的JWT使用場(chǎng)景。一旦用戶登錄,每個(gè)后續(xù)請(qǐng)求將包含一個(gè)JWT,作為該用戶訪問(wèn)資源的令牌。
信息交換??梢岳肑WT在各個(gè)系統(tǒng)之間安全地傳輸信息,JWT的特性使得接收方可以驗(yàn)證收到的內(nèi)容是否被篡改。
本文討論第一點(diǎn),如何利用JWT來(lái)實(shí)現(xiàn)對(duì)API的授權(quán)訪問(wèn)。這樣就只有經(jīng)過(guò)授權(quán)的用戶才可以調(diào)用API。
JWT由三部分組成,用.分割開(kāi)。
第一部分為Header,通常由兩部分組成:令牌的類型,即JWT,以及所使用的加密算法。
{ "alg": "HS256", "typ": "JWT" }
Base64加密后,就變成了:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
第二部分為Payload,里面可以放置自定義的信息,以及過(guò)期時(shí)間、發(fā)行人等。
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }
Base64加密后,就變成了:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
第三部分為Signature,計(jì)算此簽名需要四部分信息:
Header里的算法信息
Header
Payload
一個(gè)自定義的秘鑰
接受到JWT后,利用相同的信息再計(jì)算一次簽名,然年與JWT中的簽名對(duì)比,如果不相同則說(shuō)明JWT中的內(nèi)容被篡改。
將上面三部分都編碼后再合在一起就得到了JWT。
需要注意的是,JWT的內(nèi)容并不是加密的,只是簡(jiǎn)單的Base64編碼。 也就是說(shuō),JWT一旦泄露,里面的信息可以被輕松獲取,因此不應(yīng)該用JWT保存任何敏感信息。
應(yīng)用程序或客戶端向授權(quán)服務(wù)器請(qǐng)求授權(quán)。這里的授權(quán)服務(wù)器可以是單獨(dú)的一個(gè)應(yīng)用,也可以和API集成在同一個(gè)應(yīng)用里。
授權(quán)服務(wù)器向應(yīng)用程序返回一個(gè)JWT。
應(yīng)用程序?qū)WT放入到請(qǐng)求里(通常放在HTTP的Authorization頭里)
服務(wù)端接收到請(qǐng)求后,驗(yàn)證JWT并執(zhí)行對(duì)應(yīng)邏輯。
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency>
這里使用了一個(gè)叫JJWT(Java JWT)的庫(kù)。
public String generateToken(String payload) { return Jwts.builder() .setSubject(payload) .setExpiration(new Date(System.currentTimeMillis() + 10000)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); }
這里設(shè)置過(guò)期時(shí)間為10秒,因此生成的JWT只在10秒內(nèi)能通過(guò)驗(yàn)證。
需要提供一個(gè)自定義的秘鑰。
public String parseToken(String jwt) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(jwt) .getBody() .getSubject(); }
解碼時(shí)會(huì)檢查JWT的簽名,因此需要提供秘鑰。
public boolean isTokenValid(String jwt) { try { parseToken(jwt); } catch (Throwable e) { return false; } return true; }
JWT并沒(méi)有提供判斷JWT是否合法的方法,但是在解碼非法JWT時(shí)會(huì)拋出異常,因此可以通過(guò)捕獲異常的方式來(lái)判斷是否合法。
@GetMapping("/registration") public String register(@RequestParam String username, HttpServletResponse response) { String jwt = jwtService.generateToken(username); response.setHeader(JWT_HEADER_NAME, jwt); return String.format("JWT for %s :\n%s", username, jwt); }
需要為還沒(méi)有獲取到JWT的用戶提供一個(gè)這樣的注冊(cè)或者登錄入口,來(lái)獲取JWT。
獲取到響應(yīng)里的JWT后,要在后續(xù)的請(qǐng)求里包含JWT,這里放在請(qǐng)求的Authorization頭里。
@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpServletRequest = (HttpServletRequest) request; HttpServletResponse httpServletResponse = (HttpServletResponse) response; String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME); if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) { chain.doFilter(request, response); } else if (isTokenValid(jwt)) { updateToken(httpServletResponse, jwt); chain.doFilter(request, response); } else { httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED); } } private void updateToken(HttpServletResponse httpServletResponse, String jwt) { String payload = jwtService.parseToken(jwt); String newToken = jwtService.generateToken(payload); httpServletResponse.setHeader(JWT_HEADER_NAME, newToken); }
將驗(yàn)證操作放在Filter里,這樣除了登錄入口,其它的業(yè)務(wù)代碼將感覺(jué)不到JWT的存在。
將登錄入口放在WHITE_LIST里,跳過(guò)對(duì)這些入口的驗(yàn)證。
需要刷新JWT。如果JWT是合法的,那么應(yīng)該用同樣的Payload來(lái)生成一個(gè)新的JWT,這樣新的JWT就會(huì)有新的過(guò)期時(shí)間,用此操作來(lái)刷新JWT,以防過(guò)期。
如果使用Filter,那么刷新的操作要在調(diào)用doFilter()之前,因?yàn)檎{(diào)用之后就無(wú)法再修改response了。
private final static String JWT_HEADER_NAME = "Authorization"; @GetMapping("/api") public String testApi(HttpServletRequest request, HttpServletResponse response) { String oldJwt = request.getHeader(JWT_HEADER_NAME); String newJwt = response.getHeader(JWT_HEADER_NAME); return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt); }
這時(shí)候API就處于JWT的保護(hù)下了。API可以完全不用感知到JWT的存在,同時(shí)也可以主動(dòng)獲取JWT并解碼,以得到JWT里的信息。如上所示。
到此,相信大家對(duì)“怎么基于JWT實(shí)現(xiàn)接口的授權(quán)訪問(wèn)”有了更深的了解,不妨來(lái)實(shí)際操作一番吧!這里是億速云網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。