1.什么是JWT

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA
—[摘自官網]

1.翻譯

官網地址: https://jwt.io/introduction/
翻譯: jsonwebtoken（JWT）是一個開放標準（rfc7519），它定義了一種緊湊的、自包含的方式，用于在各方之間以JSON對象安全地傳輸信息。此信息可以驗證和信任，因為它是數字簽名的。jwt可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公鑰/私鑰對進行簽名

2.通俗解釋

JWT簡稱JSON Web Token,也就是通過JSON形式作為Web應用中的令牌,用于在各方之間安全地將信息作為JSON對象傳輸。在數據傳輸過程中還可以完成數據加密、簽名等相關處理。

2.JWT能做什么

1.授權

這是使用JWT的最常見方案。一旦用戶登錄，每個后續請求將包括JWT，從而允允許的路由，服務和資源。單點登錄是當今廣泛使用JWT的一項功能，因為它的開銷很小并且可以在不同的域中輕松使用。

2.信息交換

JSON Web Token是在各方之間安全地傳輸信息的好方法。因為可以對JWT進行簽名（例如，使用公鑰/私鑰對），所以您可以確保發件人是他們所說的人。此外，由于簽名是使用標頭和有效負載計算的，因此您還可以驗證內容是否遭到篡改。

注意：jwt跟session不一樣，jwt存儲在客戶端，session存儲在服務器端，服務器斷電后session就沒了，而jwt因為存儲在客戶端，所以就不會被影響，只要jwt不過期，就可以繼續使用。

3.為什么是JWT

3.1 基于傳統的Session認證

1.認證方式

我們知道，http協議本身是一種無狀態的協議，而這就意味著如果用戶向我們的應用提供了用戶名和密碼來進行用戶認證，那么下一次請求時，用戶還要再一次進行用戶認證才行，因為根據http協議，我們并不能知道是哪個用戶發出的請求，所以為了讓我們的應用能識別是哪個用戶發出的請求，我們只能在服務器存儲一份用戶登錄的信息，這份登錄信息會在響應時傳遞給瀏覽器，告訴其保存為cookie,以便下次請求時發送給我們的應用，這樣我們的應用就能識別請求來自哪個用戶了,這就是傳統的基于session認證。

2.認證流程

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-Y7ycQNpE-1621250075249)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517123118644.png)]

3.暴露問題

1.每個用戶經過我們的應用認證之后，我們的應用都要在服務端做一次記錄，以方便用戶下次請求的鑒別，通常而言session都是保存在內存中，而隨著認證用戶的增多，服務端的開銷會明顯增大

2.用戶認證之后，服務端做認證記錄，如果認證的記錄被保存在內存中的話，這意味著用戶下次請求還必須要請求在這臺服務器上,這樣才能拿到授權的資源，這樣在分布式的應用上，相應的限制了負載均衡器的能力。這也意味著限制了應用的擴展能力。

3.因為是基于cookie來進行用戶識別的, cookie如果被截獲，用戶就會很容易受到跨站請求偽造的攻擊。

4.在前后端分離系統中就更加痛苦:如下圖所示
也就是說前后端分離在應用解耦后增加了部署的復雜性。通常用戶一次請求就要轉發多次。如果用session 每次攜帶sessionid 到服務 器，服務器還要查詢用戶信息。同時如果用戶很多。這些信息存儲在服務器內存中，給服務器增加負擔。還有就是CSRF（跨站偽造請求攻 擊）攻擊，session是基于cookie進行用戶識別的, cookie如果被截獲，用戶就會很容易受到跨站請求偽造的攻擊。還有就是 sessionid就是一個特征值，表達的信息不夠豐富。不容易擴展。而且如果你后端應用是多節點部署。那么就需要實現session共享機制。 不方便集群應用。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-rWMW6ei3-1621250075252)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517123132784.png)]

3.2 基于JWT認證

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-RDhSDZFA-1621250075257)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517123144086.png)]

1.認證流程

首先，前端通過Web表單將自己的用戶名和密碼發送到后端的接口。這一過程一般是一個HTTP POST請求。建議的方式是通過SSL加密的傳輸（https協議），從而避免敏感信息被嗅探。

后端核對用戶名和密碼成功后，將用戶的id等其他信息作為JWT Payload（負載），將其與頭部分別進行Base64編碼拼接后簽名，形成一個JWT(Token)。形成的JWT就是一個形同lll.zzz.xxx的字符串。 token head.payload.singurater

后端將JWT字符串作為登錄成功的返回結果返回給前端。前端可以將返回的結果保存在localStorage或sessionStorage上，退出登錄時前端刪除保存的JWT即可。

前端在每次請求時將JWT放入HTTP Header中的Authorization位。(解決XSS和XSRF問題) HEADER

后端檢查是否存在，如存在驗證JWT的有效性。例如，檢查簽名是否正確；檢查Token是否過期；檢查Token的接收方是否是自己（可選）。

驗證通過后后端使用JWT中包含的用戶信息進行其他邏輯操作，返回相應結果。

2.jwt優勢

簡潔(Compact): 可以通過URL，POST參數或者在HTTP header發送，因為數據量小，傳輸速度也很快

自包含(Self-contained)：負載中包含了所有用戶所需要的信息，避免了多次查詢數據庫

因為Token是以JSON加密的形式保存在客戶端的，所以JWT是跨語言的，原則上任何web形式都支持。

不需要在服務端保存會話信息，特別適用于分布式微服務。

4.JWT的結構是什么?

token string ====> header.payload.singnature token

1.令牌組成

• 1.標頭(Header)
• 2.有效載荷(Payload)
• 3.簽名(Signature)
• 因此，JWT通常如下所示:xxxxx.yyyyy.zzzzz Header.Payload.Signature

2.Header

• 標頭通常由兩部分組成：令牌的類型（即JWT）和所使用的簽名算法，例如HMAC SHA256或RSA。它會使用 Base64 編碼組成 JWT 結構的第一部分。

• 注意:Base64是一種編碼，也就是說，它是可以被翻譯回原來的樣子來的。它并不是一種加密過程。

  { "alg": "HS256", "typ": "JWT" }

3.Payload

• 令牌的第二部分是有效負載，其中包含聲明。聲明是有關實體（通常是用戶）和其他數據的聲明。同樣的，它會使用 Base64 編碼組成 JWT 結構的第二部分

  {
  “sub”: “1234567890”,
  “name”: “John Doe”,
  “admin”: true
  }

4.Signature

• 前面兩部分都是使用 Base64 進行編碼的，即前端可以解開知道里面的信息。Signature 需要使用編碼后的 header 和 payload 以及我們提供的一個密鑰，然后使用 header 中指定的簽名算法（HS256）進行簽名。簽名的作用是保證 JWT 沒有被篡改過
• 如:
  HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret);

簽名目的

• 最后一步簽名的過程，實際上是對頭部以及負載內容進行簽名，防止內容被竄改。如果有人對頭部以及負載的內容解碼之后進行修改，再進行編碼，最后加上之前的簽名組合形成新的JWT的話，那么服務器端會判斷出新的頭部和負載形成的簽名和JWT附帶上的簽名是不一樣的。如果要對新的頭部和負載進行簽名，在不知道服務器加密時用的密鑰的話，得出來的簽名也是不一樣的。

信息安全問題

• 在這里大家一定會問一個問題：Base64是一種編碼，是可逆的，那么我的信息不就被暴露了嗎？

• 是的。所以，在JWT中，不應該在負載里面加入任何敏感的數據。在上面的例子中，我們傳輸的是用戶的User ID。這個值實際上不是什么敏 感內容，一般情況下被知道也是安全的。但是像密碼這樣的內容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中，那么懷有惡意的第 三方通過Base64解碼就能很快地知道你的密碼了。因此JWT適合用于向Web應用傳遞一些非敏感信息。JWT還經常用于設計用戶認證和授權系 統，甚至實現Web應用的單點登錄。
  [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-eUsd1ufU-1621250075259)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517124718908.png)]

5.放在一起

• 輸出是三個由點分隔的Base64-URL字符串，可以在HTML和HTTP環境中輕松傳遞這些字符串，與基于XML的標準（例如SAML）相比，它更緊湊。
• 簡潔(Compact)
  可以通過URL, POST 參數或者在 HTTP header 發送，因為數據量小，傳輸速度快
• 自包含(Self-contained)
  負載中包含了所有用戶所需要的信息，避免了多次查詢數據庫
  [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-KqBOnvdb-1621250075260)(C:\Users\王東梁\AppData\Roaming\Typora\typora-user-images\image-20210517124748768.png)]

5.使用JWT

1.引入依賴

<!--引入jwt--> <dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version> </dependency>

2.生成token

Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND, 90); //生成令牌 String token = JWT.create()//head可以省略.withClaim("username", "張三")//設置自定義用戶名.withExpiresAt(instance.getTime())//設置過期時間.sign(Algorithm.HMAC256("token!Q2W#E$RW"));//設置簽名 保密 復雜 //輸出令牌 System.out.println(token);

生成結果
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg

3.根據令牌和簽名解析數據

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build(); DecodedJWT decodedJWT = jwtVerifier.verify(token); System.out.println("用戶名: " + decodedJWT.getClaim("username").asString());// 存的是時候是什么類型，取得時候就是什么類型，否則取不到值。 System.out.println("過期時間: "+decodedJWT.getExpiresAt());

4.常見異常信息

SignatureVerificationException: 簽名不一致異常
TokenExpiredException: 令牌過期異常
AlgorithmMismatchException: 算法不匹配異常
InvalidClaimException: 失效的payload異常

6.封裝工具類

public class JWTUtils {private static String TOKEN = "token!Q@W3e4r";/*** 生成token* @param map //傳入payload* @return 返回token*/public static String getToken(Map<String,String> map){JWTCreator.Builder builder = JWT.create();map.forEach((k,v)->{builder.withClaim(k,v);});Calendar instance = Calendar.getInstance();instance.add(Calendar.DATE,7);//默認7天過期builder.withExpiresAt(instance.getTime());return builder.sign(Algorithm.HMAC256(TOKEN));}/*** 驗證token* @param token* @return*/public static void verify(String token){JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token); // 如果驗證通過，則不會把報錯，否則會報錯}/*** 獲取token中payload* @param token* @return*/public static DecodedJWT getToken(String token){return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);} }

7.整合springboot

0.搭建springboot+mybatis+jwt環境

• 引入依賴

• 編寫配置

  - <!--引入jwt--><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version></dependency><!--引入mybatis--> <dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>2.1.3</version> </dependency><!--引入lombok--> <dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><version>1.18.12</version> </dependency><!--引入druid--> <dependency><groupId>com.alibaba</groupId><artifactId>druid</artifactId><version>1.1.19</version> </dependency><!--引入mysql--> <dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>5.1.38</version> </dependency> server.port=8888 spring.application.name=jwtspring.datasource.type=com.alibaba.druid.pool.DruidDataSource spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8 spring.datasource.username=root spring.datasource.password=123456mybatis.type-aliases-package=com.baizhi.entity mybatis.mapper-locations=classpath:com/baizhi/mapper/*.xmllogging.level.com.baizhi.dao=debug

1.開發數據庫

• 這里采用最簡單的表結構驗證JWT使用

  DROP TABLE IF EXISTS `user`; CREATE TABLE `user` (`id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主鍵',`name` varchar(80) DEFAULT NULL COMMENT '用戶名',`password` varchar(40) DEFAULT NULL COMMENT '用戶密碼',PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

2.開發entity

@Data @Accessors(chain=true) public class User {private String id;private String name;private String password; }

3.開發DAO接口和mapper.xml

@Mapper//省去了在啟動類上加mapperscan public interface UserDAO {User login(User user); } <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"><mapper namespace="com.baizhi.dao.UserDAO"><!--這里就寫的簡單點了畢竟不是重點--><select id="login" parameterType="User" resultType="User">select * from user where name=#{name} and password = #{password}</select> </mapper>

4.開發Service 接口以及實現類

public interface UserService {User login(User user);//登錄接口 } @Service @Transactional public class UserServiceImpl implements UserService {@Autowiredprivate UserDAO userDAO;@Override@Transactional(propagation = Propagation.SUPPORTS)public User login(User user) {User userDB = userDAO.login(user);if(userDB!=null){return userDB;}throw new RuntimeException("登錄失敗~~");} }

5.開發controller

@RestController @Slf4j public class UserController {@Autowiredprivate UserService userService;@GetMapping("/user/login")public Map<String,Object> login(User user) {Map<String,Object> result = new HashMap<>();log.info("用戶名: [{}]", user.getName());log.info("密碼: [{}]", user.getPassword());try {User userDB = userService.login(user);Map<String, String> map = new HashMap<>();//用來存放payloadmap.put("id",userDB.getId());map.put("username", userDB.getName());String token = JWTUtils.getToken(map);result.put("state",true);result.put("msg","登錄成功!!!");result.put("token",token); //成功返回token信息} catch (Exception e) {e.printStackTrace();result.put("state","false");result.put("msg",e.getMessage());}return result;} }

6.數據庫添加測試數據啟動項目

7.通過postman模擬登錄失敗

8.通過postman模擬登錄成功

9.編寫測試接口

@PostMapping("/test/test") public Map<String, Object> test(String token) {Map<String, Object> map = new HashMap<>();try {JWTUtils.verify(token);map.put("msg", "驗證通過~~~");map.put("state", true);} catch (TokenExpiredException e) {map.put("state", false);map.put("msg", "Token已經過期!!!");} catch (SignatureVerificationException e){map.put("state", false);map.put("msg", "簽名錯誤!!!");} catch (AlgorithmMismatchException e){map.put("state", false);map.put("msg", "加密算法不匹配!!!");} catch (Exception e) {e.printStackTrace();map.put("state", false);map.put("msg", "無效token~~");}return map; }

10.通過postman請求接口

11.問題?

• 使用上述方式每次都要傳遞token數據,每個方法都需要驗證token代碼冗余,不夠靈活? 如何優化
• 使用攔截器進行優化

public class JWTInterceptor implements HandlerInterceptor{@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String token = request.getHeader("token");Map<String,Object> map = new HashMap<>();try {JWTUtils.verify(token);return true;} catch (TokenExpiredException e) {map.put("state", false);map.put("msg", "Token已經過期!!!");} catch (SignatureVerificationException e){map.put("state", false);map.put("msg", "簽名錯誤!!!");} catch (AlgorithmMismatchException e){map.put("state", false);map.put("msg", "加密算法不匹配!!!");} catch (Exception e) {e.printStackTrace();map.put("state", false);map.put("msg", "無效token~~");}String json = new ObjectMapper().writeValueAsString(map);response.setContentType("application/json;charset=UTF-8");response.getWriter().println(json);return false; }} @Configuration public class InterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new JWTInterceptor()).excludePathPatterns("/user/**") // 放行.addPathPatterns("/**"); // 攔截除了"/user/**的所有請求路徑} }

總結

以上是生活随笔為你收集整理的JWT(JSON web token)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。