JWT(Json Web Token)
好,今天我们来学JWT
JWT简介
JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全的。
为什么我们要学习这个JWT呢?
我们从简介中可以知道
“JWT一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范”
所以这个东西可以用来跟踪会话。我们知道http协议是无状态的,应用jwt,我们可以完成基于token的登陆验证功能。(而不是使用传统的cookie和session)顺便可以完成实践作业中所需要的功能
HTTP协议
既然聊到会话跟踪,我们追根溯源,来了解一下http协议。
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。
HTTP工作原理
HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。
客户端通过发送请求(request)到服务器中,服务器通过响应(response)来反馈客户端的请求
HTTP注意事项
HTTP是无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
HTTP是媒体独立的:这意味着,只要客户端和服务器知道如何处理的数据内容,任何类型的数据都可以通过HTTP发送。客户端以及服务器指定使用适合的MIME-type内容类型。
HTTP是无状态:HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
我们不过多分析http的深层次内容,现在我们回到jwt上面来。
我们这里抛出一个问题:
用户验证过程:
- 用户向服务器发送用户名和密码。
- 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
- 服务器向用户返回session_id,session信息都会写入到用户的Cookie。
- 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
- 服务器收到session_id并对比之前保存的数据,确认用户的身份。
如图所示:
这种模式最大的问题是,没有分布式架构,无法支持横向扩展。如果使用一个服务器,该模式完全没有问题。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。
jwt原则
JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示。
{
"UserName": "zc990306",
"Role": "Admin",
"token": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。
jwt的数据结构
JWT头、有效载荷和签名
我们着重介绍一下签名哈希
签名哈希部分是对前面两部分(jwt头,有效载荷)数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256),在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。
jwt的用法
客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。
此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。
下面我们直接贴代码
public class TokenUtil {
private static final long EXPIRE_TIME= 10*60*60*1000;
private static final String TOKEN_SECRET="txdy"; //密钥盐
public static String sign(String username){
String token = null;
try {
Date expiresAt = new Date(System.currentTimeMillis() + EXPIRE_TIME);
token = JWT.create()
.withIssuer("auth0")
.withClaim("username", username)
.withExpiresAt(expiresAt)
// 使用了HMAC256加密算法。
.sign(Algorithm.HMAC256(TOKEN_SECRET));
} catch (Exception e){
e.printStackTrace();
}
return token;
}
public static boolean verify(String token){
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).withIssuer("auth0").build();
DecodedJWT jwt = verifier.verify(token);
System.out.println("认证通过:");
System.out.println("username: " + jwt.getClaim("username").asString());
System.out.println("过期时间: " + jwt.getExpiresAt());
return true;
} catch (Exception e){
return false;
}
}
public static String getUsername(String token){
DecodedJWT jwt = JWT.decode(token);
return jwt.getClaim("username").asString();
}
}
当时在使用这段代码时,由于是依靠后端重新计算一遍token来进行验证的,但是在测试时发现,对同一个账号在不同时间计算出的token不同,因此verify进行验证的时候炸了好几次。由于不了解HMAC256算法,只能重新添加一个getUsername方法去直接通过jwt来获得解析过的数据。
总结
对于jwt,java官网已经有了相应的工具类的实现,我们只需要根据自身项目的需要进行封装即可。
参考文献
一文读懂JWT
jwt介绍
十分钟了解web令牌
http教程
《图解HTTP》(人民邮电出版社)