好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

利用JWT如何实现对API的授权访问详解

什么是jwt

jwt(json web token)是一个开放标准(rfc 7519),它定义了一种紧凑且独立的方式,可以在各个系统之间用json作为对象安全地传输信息,并且可以保证所传输的信息不会被篡改。

「jwt」由三部分构成

信息头:指定了使用的签名算法 声明部分:其中也可以包含超时时间 基于指定的算法生成的签名

通过这三部分信息,api 服务端可以根据「jwt」信息头和声明部分的信息重新生成签名。之所以可以这样做,是因为生成签名需要的秘钥存放在服务器端。

?

1

jwtauth. new ( "hs256" , [] byte ( "k8uemdpyb9awfkzs" ), nil)

如果这个签名秘钥比较简单,建议立刻换一个复杂一些的,更改以后会使所有已经产生的「jwt」 失效,强制客户端重新从服务器获取 授权 。

jwt通常有两种应用场景:

授权。这是最常见的jwt使用场景。一旦用户登录,每个后续请求将包含一个jwt,作为该用户访问资源的令牌。 信息交换。可以利用jwt在各个系统之间安全地传输信息,jwt的特性使得接收方可以验证收到的内容是否被篡改。

本文讨论第一点,如何利用jwt来实现对api的授权访问。这样就只有经过授权的用户才可以调用api。

jwt的结构

jwt由三部分组成,用.分割开。

header

第一部分为header,通常由两部分组成:令牌的类型,即jwt,以及所使用的加密算法。

?

1

2

3

4

{

  "alg" : "hs256" ,

  "typ" : "jwt"

}

base64加密后,就变成了:

eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9

payload

第二部分为payload,里面可以放置自定义的信息,以及过期时间、发行人等。

?

1

2

3

4

5

{

  "sub" : "1234567890" ,

  "name" : "john doe" ,

  "iat" : 1516239022

}

base64加密后,就变成了:

eyjzdwiioiixmjm0nty3odkwiiwibmftzsi6ikpvag4grg9liiwiawf0ijoxnte2mjm5mdiyfq

signature

第三部分为signature,计算此签名需要四部分信息:

header里的算法信息 header payload 一个自定义的秘钥

接受到jwt后,利用相同的信息再计算一次签名,然年与jwt中的签名对比,如果不相同则说明jwt中的内容被篡改。

解码后的jwt

将上面三部分都编码后再合在一起就得到了jwt。

需要注意的是,jwt的内容并不是加密的,只是简单的base64编码。也就是说,jwt一旦泄露,里面的信息可以被轻松获取,因此不应该用jwt保存任何敏感信息。

jwt是怎样工作的

应用程序或客户端向授权服务器请求授权。这里的授权服务器可以是单独的一个应用,也可以和api集成在同一个应用里。 授权服务器向应用程序返回一个jwt。 应用程序将jwt放入到请求里(通常放在http的authorization头里) 服务端接收到请求后,验证jwt并执行对应逻辑。

在java里使用jwt

引入依赖

?

1

2

3

4

<dependency>

  <groupid>io.jsonwebtoken</groupid>

  <artifactid>jjwt</artifactid>

</dependency>

这里使用了一个叫jjwt(java jwt)的库。

jwt service

生成jwt

?

1

2

3

4

5

6

7

public string generatetoken(string payload) {

   return jwts.builder()

     .setsubject(payload)

     .setexpiration( new date(system.currenttimemillis() + 10000 ))

     .signwith(signaturealgorithm.hs256, secret_key)

     .compact();

  }

这里设置过期时间为10秒,因此生成的jwt只在10秒内能通过验证。

需要提供一个自定义的秘钥。

解码jwt

?

1

2

3

4

5

6

7

public string parsetoken(string jwt) {

   return jwts.parser()

     .setsigningkey(secret_key)

     .parseclaimsjws(jwt)

     .getbody()

     .getsubject();

  }

解码时会检查jwt的签名,因此需要提供秘钥。

验证jwt

?

1

2

3

4

5

6

7

8

public boolean istokenvalid(string jwt) {

   try {

    parsetoken(jwt);

   } catch (throwable e) {

    return false ;

   }

   return true ;

  }

jjwt并没有提供判断jwt是否合法的方法,但是在解码非法jwt时会抛出异常,因此可以通过捕获异常的方式来判断是否合法。

注册/登录

?

1

2

3

4

5

6

7

@getmapping ( "/registration" )

  public string register( @requestparam string username, httpservletresponse response) {

   string jwt = jwtservice.generatetoken(username);

   response.setheader(jwt_header_name, jwt);

 

   return string.format( "jwt for %s :\n%s" , username, jwt);

  }

需要为还没有获取到jwt的用户提供一个这样的注册或者登录入口,来获取jwt。

获取到响应里的jwt后,要在后续的请求里包含jwt,这里放在请求的authorization头里。

验证jwt

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

@override

public void dofilter(servletrequest request, servletresponse response, filterchain chain) throws ioexception, servletexception {

   httpservletrequest httpservletrequest = (httpservletrequest) request;

   httpservletresponse httpservletresponse = (httpservletresponse) response;

 

   string jwt = httpservletrequest.getheader(jwt_header_name);

   if (white_list.contains(httpservletrequest.getrequesturi())) {

    chain.dofilter(request, response);

   } else if (istokenvalid(jwt)) {

    updatetoken(httpservletresponse, jwt);

    chain.dofilter(request, response);

   } else {

    httpservletresponse.senderror(httpservletresponse.sc_unauthorized);

   }

  }

 

private void updatetoken(httpservletresponse httpservletresponse, string jwt) {

   string payload = jwtservice.parsetoken(jwt);

   string newtoken = jwtservice.generatetoken(payload);

   httpservletresponse.setheader(jwt_header_name, newtoken);

  }

将验证操作放在filter里,这样除了登录入口,其它的业务代码将感觉不到jwt的存在。

将登录入口放在white_list里,跳过对这些入口的验证。

需要刷新jwt。如果jwt是合法的,那么应该用同样的payload来生成一个新的jwt,这样新的jwt就会有新的过期时间,用此操作来刷新jwt,以防过期。

如果使用filter,那么刷新的操作要在调用dofilter()之前,因为调用之后就无法再修改response了。

api

?

1

2

3

4

5

6

7

8

9

private final static string jwt_header_name = "authorization" ;

 

  @getmapping ( "/api" )

  public string testapi(httpservletrequest request, httpservletresponse response) {

   string oldjwt = request.getheader(jwt_header_name);

   string newjwt = response.getheader(jwt_header_name);

 

   return string.format( "your old jwt is:\n%s \nyour new jwt is:\n%s\n" , oldjwt, newjwt);

  }

这时候api就处于jwt的保护下了。api可以完全不用感知到jwt的存在,同时也可以主动获取jwt并解码,以得到jwt里的信息。如上所示。

尾注

完整的demo可以在这里找到: https://github.com/beginner258/jwt-demo

参考资料: https://jwt.io/

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。

原文链接:https://www.cnblogs.com/xz816111/p/9620139.html

查看更多关于利用JWT如何实现对API的授权访问详解的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did250558
  阅读:53次

上一篇: SpringBoot DBUnit 单元测试(小结)

下一篇:java中Class.getMethods()和Class.getDeclaredMethods()

相关资讯