一、JWT是什么
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
优点
- 支持跨语言,比如JAVA,JavaScript,NodeJS,PHP...。
- 可以在payload中存储一些其他业务逻辑所必要的非敏感信息。
- 便于传输,jwt的构成非常简单,字节占用很小
- 易于应用的扩展,不需要在服务端保存会话信息
缺点
- 如果一旦生成好一个jwt之后,数据无法修改
- jwt playload数据多,占据服务器端带宽资源
- jwt不是很安全,playload中不能存放敏感的信息,必要须加密
注意点:
- payload部分不应该存放敏感信息
- 保护好secret私钥,它是用来进行jwt的签发和jwt的验证
二、JWT的构成
第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)
1、header
jwt的头部承载两部分信息:
声明类型,这里是jwt,声明加密的算法 通常直接使用 HMAC SHA256,如下:
{
'typ': 'JWT',
'alg': 'HS256'
}
2、playload
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
(1)标准中注册的声明
iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
(2)公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密
(3)私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
3.signature
signature需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合进行MD5加密,然后就构成了jwt的第三部分。
三、java中使用jwt
1.导入相关包
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.10.7</version>
</dependency>
2.用户登录jwt管理工具类
package com.sxkj.jwt.utils;
import cn.hutool.core.date.DateUtil;
import com.sxkj.jwt.model.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.tomcat.util.ExceptionUtils;
import org.apache.tomcat.util.http.parser.Authorization;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.Objects;
@Component
public class JwtTokenUtil {
private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
private static final String CLAIM_KEY_USERNAME = "sub";
private static final String CLAIM_KEY_CREATED = "created";
/**
* 存放token的请求头对应的key的名字
*/
private static String headerKey = "Bearer";
private static String tokenHeader = "Authorization";
/**
* 加密的secret
*/
private static String secret = "lss0555";
/**
* 过期时间,单位为秒
*/
private static long expire = 1800L;
static {
// TODO 上面变量的值应该从配置文件中读取,方便测试这里就不从配置文件中读取
// 利用配置文件中的值覆盖静态变量初始化的值
}
/**
* 根据负责生成JWT的token
*/
public static String generateToken(Map<String, Object> userInfoMap) {
if (Objects.isNull(userInfoMap)) {
userInfoMap = new HashMap<>();
}
// 过期时间
Date expireDate = new Date(System.currentTimeMillis() + expire * 1000);
return Jwts.builder()
.setHeaderParam("typ", "JWT") // 设置头部信息
.setClaims(userInfoMap) // 装入自定义的用户信息
.setExpiration(expireDate) // token过期时间
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
/**
* 校验token并解析token 从token中获取JWT中的负载
*
* 如果过期或者是被篡改,则会抛异常.
* 注意点:只有在生成token设置了过期时间(setExpiration(expireDate))才会校验是否过期,
* 可以参考源码io.jsonwebtoken.impl.DefaultJwtParser的299行。
* 拓展:利用不设置过期时间就不校验token是否过期的这一特性,我们不设置Expiration;
* 而采用自定义的字段来存放过期时间放在Claims(可以简单的理解为map)中;
* 通过token获取到Claims后自己写代码校验是否过期。
* 通过这思路,可以去实现对过期token的手动刷新
* @param token
* @return Claims:它继承了Map,而且里面存放了生成token时放入的用户信息
*/
public static Claims getClaimsFromToken(String token) {
try {
return Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
} catch (Exception e) {
LOGGER.info("JWT格式验证失败:{}", token);
return null;
}
}
/**
* 从token中获取登录用户名
*/
public static String getUserNameFromToken(String token) {
String username;
try {
Claims claims = getClaimsFromToken(token);
username = claims.getSubject();
} catch (Exception e) {
username = null;
}
return username;
}
/**
* 验证token是否还有效
*
* @param token 客户端传入的token
* @param user 从数据库中查询出来的用户信息
*/
public boolean validateToken(String token, User user) {
String username = getUserNameFromToken(token);
return username.equals(user.getUsername()) && !isTokenExpired(token);
}
/**
* 判断token是否已经失效
*/
private static boolean isTokenExpired(String token) {
Date expiredDate = getExpiredDateFromToken(token);
return expiredDate.before(new Date());
}
/**
* 从token中获取过期时间
*/
private static Date getExpiredDateFromToken(String token) {
Claims claims = getClaimsFromToken(token);
return claims.getExpiration();
}
/**
* 根据用户信息生成token
*/
public static String generateToken(User user) {
Map<String, Object> claims = new HashMap<>();
claims.put(CLAIM_KEY_USERNAME, user.getUsername());
claims.put(CLAIM_KEY_CREATED, new Date());
return generateToken(claims);
}
/**
* 当原来的token没过期时是可以刷新的
*
* @param oldToken 带tokenHead的token
*/
public static String refreshHeadToken(String oldToken) {
if(StringUtils.isEmpty(oldToken)){
return null;
}
String token = oldToken.substring(headerKey.length());
if(StringUtils.isEmpty(token)){
return null;
}
//token校验不通过
Claims claims = getClaimsFromToken(token);
if(claims==null){
return null;
}
//如果token已经过期,不支持刷新
if(isTokenExpired(token)){
return null;
}
//如果token在30分钟之内刚刷新过,返回原token
if(tokenRefreshJustBefore(token,30*60)){
return token;
}else{
claims.put(CLAIM_KEY_CREATED, new Date());
return generateToken(claims);
}
}
/**
* 判断token在指定时间内是否刚刚刷新过
* @param token 原token
* @param time 指定时间(秒)
*/
private static boolean tokenRefreshJustBefore(String token, int time) {
Claims claims = getClaimsFromToken(token);
Date created = claims.get(CLAIM_KEY_CREATED, Date.class);
Date refreshDate = new Date();
//刷新时间在创建时间的指定时间内
if(refreshDate.after(created)&&refreshDate.before(DateUtil.offsetSecond(created,time))){
return true;
}
return false;
}
/**
* 获取token的头部key
* @return
*/
public static String getHeaderKey(){
return headerKey;
}
/**
* 获取token的头部key
* @return
*/
public static String getTokenHeader(){
return tokenHeader;
}
}
控制器