摘要:一旦用戶登錄,后續(xù)每個(gè)請(qǐng)求都將包含����,允許用戶訪問該令牌允許的路由服務(wù)和資源。單點(diǎn)登錄是現(xiàn)在廣泛使用的的一個(gè)特性�,因?yàn)樗拈_銷很小,并且可以輕松地跨域使用�����。用于在同意使用它們的各方之間共享信息����,并且不是注冊(cè)的或公開的聲明。
1.JSON Web Token是什么
? ? JSON Web Token (JWT)是一個(gè)開放標(biāo)準(zhǔn)(RFC 7519)�,它定義了一種緊湊的、自包含的方式��,用于作為JSON對(duì)象在各方之間安全地傳輸信息�。該信息可以被驗(yàn)證和信任�,因?yàn)樗菙?shù)字簽名的����。
2.JSON Web Token有什么用
下列場(chǎng)景中使用JSON Web Token是很有用的:
Authorization (授權(quán)) : 這是使用JWT的最常見場(chǎng)景。一旦用戶登錄����,后續(xù)每個(gè)請(qǐng)求都將包含JWT,允許用戶訪問該令牌允許的路由��、服務(wù)和資源��。單點(diǎn)登錄是現(xiàn)在廣泛使用的JWT的一個(gè)特性���,因?yàn)樗拈_銷很小,并且可以輕松地跨域使用�����。
Information Exchange (信息交換) : 對(duì)于安全的在各方之間傳輸信息而言�,JSON Web Tokens無疑是一種很好的方式。因?yàn)镴WTs可以被簽名����,例如��,用公鑰/私鑰對(duì)�,你可以確定發(fā)送人就是它們所說的那個(gè)人����。另外,由于簽名是使用頭和有效負(fù)載計(jì)算的�,您還可以驗(yàn)證內(nèi)容沒有被篡改。
3.JSON Web Token是什么樣的
JSON Web Token由三部分組成�����,它們之間用圓點(diǎn)(.)連接�。這三部分分別是:
Header
Payload
Signature
因此,一個(gè)典型的JWT看起來是這個(gè)樣子的:
xxxxx.yyyyy.zzzzz
Header
header典型的由兩部分組成:token的類型(“JWT”)和算法名稱(比如:HMAC SHA256或者RSA等等)����。
例如:
然后,用Base64對(duì)這個(gè)JSON編碼就得到JWT的第一部分
?
Payload
JWT的第二部分是payload����,它包含聲明(要求)。聲明是關(guān)于實(shí)體(通常是用戶)和其他數(shù)據(jù)的聲明���。聲明有三種類型: registered, public 和 private���。
Registered claims : 這里有一組預(yù)定義的聲明�����,它們不是強(qiáng)制的��,但是推薦����。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等�。
Public claims : 可以隨意定義。
Private claims : 用于在同意使用它們的各方之間共享信息��,并且不是注冊(cè)的或公開的聲明���。
對(duì)payload進(jìn)行Base64編碼就得到JWT的第二部分
注意,不要在JWT的payload或header中放置敏感信息����,除非它們是加密的。
?
Signature
為了得到簽名部分�,你必須有編碼過的header、編碼過的payload、一個(gè)秘鑰����,簽名算法是header中指定的那個(gè),然對(duì)它們簽名即可��。
例如:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
簽名是用于驗(yàn)證消息在傳遞過程中有沒有被更改��,并且���,對(duì)于使用私鑰簽名的token����,它還可以驗(yàn)證JWT的發(fā)送方是否為它所稱的發(fā)送方����。
典型模塊如下:
// Header
{
"alg": "HS256",
"typ": "JWT"
}
// Payload
{
// reserved claims
"sub": "1234567890",
"name": "John Doe",
"iat": "1516239022"
}
// $Signature
HS256(Base64(Header) + "." + Base64(Payload), "自定義密鑰kyey" )
// JWT
JWT = Base64(Header) + "." + Base64(Payload) + "." + $Signature
4.具體實(shí)現(xiàn)
public static String createJWT(Object subject, long ttlMillis) {
//設(shè)置簽名算法為HS256
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
JwtBuilder builder = Jwts.builder().setId("jwt").setIssuedAt(now).setSubject(JSONObject.toJSONString(subject)).signWith(signatureAlgorithm, secretKey);
//設(shè)置過期時(shí)間
if (ttlMillis >= 0L) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp);
}
//生成jwt
return builder.compact();
}
具體compact()方法即根據(jù)傳入的參數(shù)進(jìn)行處理? 最終得到j(luò)wt的字符串
eyJhbGci**I1NiJ9.eyJqdGkiOiJqd3QiL**DY2NTMxOH0.x9fNW**2fe4ht
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/74494.html
