摘要:有效載荷的第二部分是有效載荷���,其中包含聲明�。這些是自定義聲明��,用于在同意使用這些聲明的各方之間共享信息�����,這些信息既沒有注冊也沒有公開聲明����。由于令牌是憑證����,因此必須非常小心以防止出現(xiàn)安全問題�����。授予授權(quán)后���,授權(quán)服務(wù)器會向應(yīng)用程序返回����。
先給出JWT的官方文檔
什么是JWT�����?
JSON Web Token(JWT)是一個開放標(biāo)準(zhǔn)(RFC 7519)�����,它定義了一種緊湊且獨立的方式�����,用于在各方之間作為JSON對象安全地傳輸信息�����。
什么時候應(yīng)該使用JWT�?
授權(quán):這是使用JWT的最常見方式。一旦用戶登錄��,每個后續(xù)請求將包括JWT�����,允許用戶訪問該令牌允許的路由����,服務(wù)和資源。Single Sign On是一種現(xiàn)在廣泛使用JWT的功能����,因為它的開銷很小,并且能夠在不同的域中輕松使用�。
信息交換:JSON Web令牌是在各方之間安全傳輸信息的好方法。因為JWT可以通過簽名(使用公鑰/私鑰對 )核實發(fā)送人的身份����。此外����,由于使用標(biāo)頭和有效負載計算簽名�����,您還可以驗證內(nèi)容是否未被篡改��。
JWT令牌結(jié)構(gòu)
JWT令牌由Header�、Payload、Signature三部分組成�����,每部分之間用點號分隔�����,通常的形式為xxxxx.yyyyy.zzzzz���,下面分別對每部分做詳細介紹�����。
Header(頭)
Header通常由兩部分組成:令牌的類型����,即JWT��,以及使用的簽名算法�,例如HMAC SHA256或RSA。
{
"alg": "HS256",
"typ": "JWT"
}
這個JSON被編碼為Base64Url��,形成JWT的第一部分��。
Payload(有效載荷)
JWT的第二部分是有效載荷���,其中包含聲明( claims)���。聲明包含實體(通常是用戶)和其他自定義信息。聲明有三種類型:registered, public和private claims ��。
registered claims :這是一組預(yù)定義聲明����,不是強制性的,但建議使用��,以提供一組有用的,可互操作的聲明��。其中包括: iss(發(fā)行人)����, exp(到期時間),sub(主題)��, aud(受眾)����。
請注意:聲明名稱只有三個字符,因為JWT需要保持簡潔�����。
public claims:這些可以由使用JWT的人隨意定義�。但為避免沖突,應(yīng)在 IANA JSON Web Token Register中定義它們��,或者將其定義為包含防沖突命名空間的URI����。
private claims:這些是自定義聲明,用于在同意使用這些聲明的各方之間共享信息���,這些信息既沒有注冊也沒有公開聲明�����。
Payload經(jīng)過Base64Url編碼��,形成JWT的第二部分�����。
請注意:對于JWT令牌���,雖然可以防止被篡改,但任何人都可以讀取�����。除非加密�,否則不要將秘密信息放在JWT的有效載荷或頭元素中。
Signature(簽名)
Signature由Base64Url加密的Header��、Payload再使用Header中指定的算法加密之后再和secret組成�。
如果要使用HMACSHA256算法,將按以下方式創(chuàng)建簽名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
Signature用于驗證消息在此過程中未被更改����,并且����,在使用私鑰簽名的令牌的情況下��,它還可以驗證JWT的發(fā)件人的身份��。
總結(jié)
最后將JWT的三部分由點號分隔作為一個字符串����,其可以在HTML和HTTP環(huán)境中輕松傳遞,并且比基于XML的標(biāo)準(zhǔn)的Token(如SAML)更加簡潔��。
JWT工作流程
在身份驗證中����,當(dāng)用戶使用其憑據(jù)成功登錄時,將返回JSON Web Token��。由于令牌是憑證���,因此必須非常小心以防止出現(xiàn)安全問題�����。一般情況下�����,您不應(yīng)該將令牌保留的時間超過要求。
每當(dāng)用戶想要訪問受保護的路由或資源時���,用戶發(fā)送JWT到相應(yīng)的地址�,通常在Authorization標(biāo)頭中。請求頭的的內(nèi)容應(yīng)如下所示:
Authorization: Bearer
在某些情況下��,這可以是無狀態(tài)授權(quán)機制��。服務(wù)器的受保護路由將檢查Authorization標(biāo)頭中的有效JWT �����,如果存在,則允許用戶訪問受保護資源��。如果JWT包含必要的數(shù)據(jù),則可以減少查詢數(shù)據(jù)庫以進行某些操作的需要�,盡管可能并非總是如此�。
如果在標(biāo)Authorization頭中發(fā)送Token����,則跨域資源共享(CORS)將不會成為問題���,因為它不使用cookie。
下圖顯示了如何獲取JWT并用于訪問API或資源:
應(yīng)用程序或客戶端向授權(quán)服務(wù)器發(fā)送授權(quán)請求。
授予授權(quán)后,授權(quán)服務(wù)器會向應(yīng)用程序返回JWT�。
應(yīng)用程序使用JWT來訪問受保護資源(如API)。
請注意:使用JWT時����,Token中包含的所有信息都會向用戶或其他方公開�����,即使他們無法更改�����。所以您不應(yīng)該在令牌中放置秘密信息�。
JWT中的JAVA實現(xiàn)
JWT的java實現(xiàn)非常多,詳細何以查看官方文檔����。
其中常用的有com.auth0.java-jwt和io.jsonwebtoken.jjwt
這里我采用 jjwt 作為演示���,因為他的Github中的Star比較多���。
Maven依賴
io.jsonwebtoken
jjwt-api
0.10.5
io.jsonwebtoken
jjwt-impl
0.10.5
runtime
io.jsonwebtoken
jjwt-jackson
0.10.5
runtime
創(chuàng)建Token
//Sample method to construct a JWT
public static String createJWT(String id, String issuer, String subject, long ttlMillis) {
//The JWT signature algorithm we will be using to sign the token
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//We will sign our JWT with our ApiKey secret
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary( APP_ID + APP_SECRET);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
//Let"s set the JWT Claims
JwtBuilder builder = Jwts.builder().setId(id)
.setIssuedAt(now)
.setSubject(subject)
.setIssuer(issuer)
.signWith(signatureAlgorithm, signingKey);
//if it has been specified, let"s add the expiration
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp);
}
//Builds the JWT and serializes it to a compact, URL-safe string
return builder.compact();
}
解析Token
//Sample method to validate and read the JWT
public static Claims parseJWT(String jwt) {
//This line will throw an exception if it is not a signed JWS (as expected)
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(APP_ID + APP_SECRET))
.parseClaimsJws(jwt).getBody();
// System.out.println("ID: " + claims.getId());
// System.out.println("Subject: " + claims.getSubject());
// System.out.println("Issuer: " + claims.getIssuer());
// System.out.println("Expiration: " + claims.getExpiration());
return claims;
}
其中APP_ID和APP_SECRET可以自定義為你想要的任何值,但是不能過于簡單�。
你會發(fā)現(xiàn)我們再使用的時候沒有設(shè)置Header的值,因為jjwt為了我們使用方便會根據(jù)使用的簽名算法或壓縮算法自動設(shè)置它們����。
使用
@Test
public void createJWT(){
String jwt = JWTUtil.createJWT("1", "111", "admin", JWTUtil.DAY_TTL);
System.out.println(jwt);
}
@Test
public void parseJWT(){
Claims claims = JWTUtil.parseJWT("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwiaWF0IjoxNTQ4Mjk1NjQ0LCJzdWIiOiJhZG1pbiIsImlzcyI6IjExMSIsImV4cCI6MTU0ODMzODg0NH0.WRkyeG3MfVor02Ya4732fgGydXhtkkKSDwbxOIZ2i9Y");
System.out.println(claims);
}
如果想使用jjwt更復(fù)雜的功能或者其他的Java實現(xiàn)可以去他們相應(yīng)的Github上學(xué)習(xí)。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/73195.html
