簡單實現(xiàn)一個JWT認證

JWT,即JSON Web Token,是目前最流行的跨域認證解決方案之一。

原理

1、用戶發(fā)送賬號密碼到服務器,服務器進行認證并生成一個JSON對象返回給用戶。

{
  "姓名": "張三",
  "角色": "管理員",
  "到期時間": "2020年8月10日8點30分"
}

2、以后用戶和服務器進行通信都要攜帶這個JSON對象,服務器通過這個對象來認定用戶身份。為防止用戶篡改數(shù)據(jù),服務器生成對象時應加上簽名
3、服務器是無狀態(tài)的,不保存任何session數(shù)據(jù),以方便擴展。

數(shù)據(jù)結構

JWT是一串長字符串,結構分為以下三部分:

  • 頭部(Header)
  • 負載(Payload)
  • 簽名(Signature)

每個部分之間都用.隔開。

Header

Header是一個JSON對象,用于描述JWT的元數(shù)據(jù)。

{
   "alg": "HS256",
  "typ": "JWT"
}

Payload

Payload也是一個JSON對象,用于存放實際需要傳遞的數(shù)據(jù),規(guī)定了7個官方字段:

  • iss (issuer):簽發(fā)人
  • exp (expiration time):過期時間
  • sub (subject):主題
  • aud (audience):受眾
  • nbf (Not Before):生效時間
  • iat (Issued At):簽發(fā)時間
  • jti (JWT ID):編號

除此之外,也可以在這個部分定義私有字段,盡量不要將私密信息存放在這個部分。

{
  "sub": "1234567890",
  "name": "wunian",
  "admin": true
}

上述官方字段,我們可以從Claims的實現(xiàn)類DefaultClaims的源碼中找到對應的getter/setter方法。

public class DefaultClaims extends JwtMap implements Claims {
    public DefaultClaims() {
    }

    public DefaultClaims(Map<String, Object> map) {
        super(map);
    }

    public String getIssuer() {
        return this.getString("iss");//iss (issuer):簽發(fā)人
    }

    public Claims setIssuer(String iss) {
        this.setValue("iss", iss);
        return this;
    }

    public String getSubject() {
        return this.getString("sub");//sub (subject):主題
    }

    public Claims setSubject(String sub) {
        this.setValue("sub", sub);
        return this;
    }

    public String getAudience() {
        return this.getString("aud");//aud (audience):受眾
    }

    public Claims setAudience(String aud) {
        this.setValue("aud", aud);
        return this;
    }

    public Date getExpiration() {
        return (Date)this.get("exp", Date.class);//exp (expiration time):過期時間
    }

    public Claims setExpiration(Date exp) {
        this.setDate("exp", exp);
        return this;
    }

    public Date getNotBefore() {
        return (Date)this.get("nbf", Date.class);//nbf (Not Before):生效時間
    }

    public Claims setNotBefore(Date nbf) {
        this.setDate("nbf", nbf);
        return this;
    }

    public Date getIssuedAt() {
        return (Date)this.get("iat", Date.class);//iat (Issued At):簽發(fā)時間
    }

    public Claims setIssuedAt(Date iat) {
        this.setDate("iat", iat);
        return this;
    }

    public String getId() {
        return this.getString("jti");//jti (JWT ID):編號
    }

    public Claims setId(String jti) {
        this.setValue("jti", jti);
        return this;
    }
    //獲取用戶自己定義的claim主體信息字段
    public <T> T get(String claimName, Class<T> requiredType) {
        Object value = this.get(claimName);
        if (value == null) {
            return null;
        } else {
            if ("exp".equals(claimName) || "iat".equals(claimName) || "nbf".equals(claimName)) {
                value = this.getDate(claimName);
            }

            return this.castClaimValue(value, requiredType);
        }
    }

    //將claim參數(shù)的值轉換為想轉換的類型
    private <T> T castClaimValue(Object value, Class<T> requiredType) {
        if (requiredType == Date.class && value instanceof Long) {
            value = new Date((Long)value);//Long類型轉換為日期類型
        }

        //Integer類型轉其他類型
        if (value instanceof Integer) {
            int intValue = (Integer)value;
            if (requiredType == Long.class) {
                value = (long)intValue;//轉換為long類型
            } else if (requiredType == Short.class && -32768 <= intValue && intValue <= 32767) {
                value = (short)intValue;//轉換為short類型
            } else if (requiredType == Byte.class && -128 <= intValue && intValue <= 127) {
                value = (byte)intValue;//轉換為byte類型
            }
        }

        if (!requiredType.isInstance(value)) {//未知的類型,直接報錯
            throw new RequiredTypeException("Expected value to be of type: " + requiredType + ", but was " + value.getClass());
        } else {//其他類型轉換
            return requiredType.cast(value);
        }
    }
}

Signature

Signature是對前兩個部分的簽名,防止數(shù)據(jù)被篡改。這里需要指定一個密鑰(secret),這個密鑰只有服務器知道,不能透露給用戶。然后,使用Header中指定的簽名算法(默認是HMAC SHA256),按照下面的公式產(chǎn)生簽名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

計算得到簽名后,將Header、Payload、Signature三部分拼成一個字符串,每個部分之間用.分隔,然后將其返回給用戶。

JWT認證簡單實現(xiàn)

生成token

1、引入JWT依賴。

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2、編寫token生成方法,傳入主體信息和密鑰,密鑰用于校驗時解密。

public static Map<String,Object> generateToken(String userId,String secret){
    //過期時間
    long EXPIRE=1000*60*60*24;
    Map<String,Object> data = new HashMap<>(16);
    Date expiration=new Date(System.currentTimeMillis() + EXPIRE);

    String token = Jwts.builder()
        .setHeaderParam("typ","JWT")//token的類型
        .setHeaderParam("alg","HS256")//加密算法
        .setExpiration(expiration)//過期時間
        .setIssuedAt(new Date())//簽名時間,時間戳
        .claim("userId",userId)//主體信息
        .signWith(SignatureAlgorithm.HS256,secret)//使用密鑰進行簽名加密
        .compact();
    //將token和過期時間返回給用戶
    data.put("token",token);
    data.put("expire_time",new SimpleDateFormat("yyyy-MM-dd HH:ss:mm").format(expiration));
    return data;
}

校驗token

編寫token校驗方法,傳入token和密鑰進行解密,token解密后返回一個Claims對象,其本質上是一個Map對象,我們可以從Claims對象中獲取主體信息(具體底層實現(xiàn)見前面DefaultClaims源碼)。

public static Claims validateTokenAndGetClaims(String token, String secret){
    Claims claims = Jwts.parser()
        .setSigningKey(secret)//使用密鑰對簽名進行解密
        .parseClaimsJws(token)//對token進行解析
        .getBody();//獲得主體信息
    return claims;
}

這樣,我們就實現(xiàn)了一個簡單的JWT認證,是不是很簡單呢!

?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

友情鏈接更多精彩內容