跨域认证解决方案-JSON WEB TOKEN讲解与实战
1. JSON WEB TOKEN
1.1 什么是JWT
JSON Web Token(JWT)是一个很是轻巧的规范。这个规范容许咱们使用JWT在用户和服务器之间传递安全可靠的信息。 简称JWT,在HTTP通讯过程当中,进行身份认证。 咱们知道HTTP通讯是无状态的,所以客户端的请求到了服务端处理完以后是没法返回给原来的客户端。所以须要对访问的客户端进行识别,经常使用的作法是经过session机制:客户端在服务端登录成功以后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessionID到服务端,服务端会缓存该session(会话),当客户端请求到来的时候,服务端就知道是哪一个用户的请求,并将处理的结果返回给客户端,完成通讯。 经过上面的分析,能够知道session存在如下问题: 一、session保存在服务端,当客户访问量增长时,服务端就须要存储大量的session会话,对服务器有很大的考验; 二、当服务端为集群时,用户登录其中一台服务器,会将session保存到该服务器的内存中,可是当用户的访问到其余服务器时,会没法访问,一般采用缓存一致性技术来保证能够共享,或者采用第三方缓存来保存session,不方便。web
1.2 Json Web Token是怎么作的?
-
客户端经过用户名和密码登陆服务器;算法
-
服务端对客户端身份进行验证;数据库
-
服务端对该用户生成Token,返回给客户端;apache
-
客户端发起请求,须要携带该Token;json
-
服务端收到请求后,首先验证Token,以后返回数据。api
-
客户端将Token保存到本地浏览器,通常保存到cookie中。跨域
服务端不须要保存Token,只须要对Token中携带的信息进行验证便可;浏览器
不管客户端访问后台的那台服务器,只要能够经过用户信息的验证便可。缓存
1.3 JWT 的原理
JWT 的原理是,服务器认证之后,生成一个 JSON 对象,发回给用户,就像下面这样。安全
{
"姓名": "张三",
"角色": "管理员",
"到期时间": "2018年10月31日0点0分"
}
复制代码
之后,用户与服务端通讯的时候,都要发回这个 JSON 对象。服务器彻底只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。
服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。
1.4 JWT 的数据结构
实际的 JWT 大概就像下面这样。
.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展现,将它写成了几行。
JWT 的三个部分依次以下。
- Header(头部)
- Payload(负载)
- Signature(签名)
写成一行,就是下面的样子。
1.4.1 Header
Header 部分是一个 JSON 对象,描述 JWT 的元数据,一般是下面的样子。
{
"alg": "HS256",
"typ": "JWT"
}
复制代码
上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌固定写为JWT。
最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。
1.4.2 Payload
Payload 部分也是一个 JSON 对象,用来存放实际须要传递的数据。JWT 规定了7个官方字段,供选用。
-
iss (issuer):签发人
-
exp (expiration time):过时时间
-
sub (subject):主题
-
aud (audience):受众
-
nbf (Not Before):生效时间
-
iat (Issued At):签发时间
-
jti (JWT ID):编号
除了官方字段,你还能够在这个部分定义私有字段,下面就是一个例子。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
复制代码
注意,JWT 默认是不加密的,任何人均可以读到,因此不要把秘密信息放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。
1.4.3 Signature
Signature 部分是对前两部分的签名,防止数据篡改。
首先,须要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。而后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
复制代码
算出签名之后,把 Header、Payload、Signature 三个部分拼成一个字符串,每一个部分之间用"点"(.)分隔,就能够返回给用户。
1.4.5 Base64URL
前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本相似,但有一些小的不一样。
JWT 做为一个令牌(token),有些场合可能会放到 URL(好比 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,因此要被替换掉:=被省略、+替换成-,/替换成_。这就是 Base64URL 算法。
1.5 JWT 的使用方式
客户端收到服务器返回的 JWT,能够储存在 Cookie 里面,也能够储存在 localStorage。
此后,客户端每次与服务器通讯,都要带上这个 JWT。你能够把它放在 Cookie 里面自动发送,可是这样不能跨域,因此更好的作法是放在 HTTP 请求的头信息Authorization字段里面。
Authorization: Bearer <token>
复制代码
另外一种作法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。
1.6 JWT 的几个特色
-
JWT 默认是不加密,但也是能够加密的。生成原始 Token 之后,能够用密钥再加密一次。
-
JWT 不加密的状况下,不能将秘密数据写入 JWT。
-
JWT 不只能够用于认证,也能够用于交换信息。有效使用 JWT,能够下降服务器查询数据库的次数。
-
JWT 的最大缺点是,因为服务器不保存 session 状态,所以没法在使用过程当中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期以前就会始终有效,除非服务器部署额外的逻辑。
-
JWT 自己包含了认证信息,一旦泄露,任何人均可以得到该令牌的全部权限。为了减小盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
-
为了减小盗用,JWT 不该该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
2.手撕一个Demo
建立一个maven项目,加入pom依赖:
<!--JWT-->
<dependencies><!--JWT-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>RELEASE</version>
<scope>compile</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.5</version>
<configuration>
<source>1.8</source>
<target>1.8</target>
</configuration>
</plugin>
</plugins>
</build>
复制代码
建立类JWTDemo:
public class JWTDemo {
//加密的
private static final String SECRET_KEY = "123456789";
@Test
public void jwtTest() throws InterruptedException {
// 设置3秒后过时
SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
long time = System.currentTimeMillis() + 30*60*1000;
String jwt = this.buildJwt(new Date(time));
System.out.println("jwt = " + jwt);
// 验证token是否可用
boolean isOk = this.isJwtValid(jwt);
System.out.println(isOk);
}
public String buildJwt(Date exp) {
String jwt = Jwts.builder()
.signWith(SignatureAlgorithm.HS256, SECRET_KEY) //SECRET_KEY是加密算法对应的密钥,这里使用额是HS256加密算法
.setExpiration(exp) //expTime是过时时间
.claim("name","wangtingjun")
.claim("age","18")
.claim("key", "vaule") //该方法是在JWT中加入值为vaule的key字段
.compact();
return jwt;
}
public boolean isJwtValid(String jwt) {
try {
//解析JWT字符串中的数据,并进行最基础的验证
Claims claims = Jwts.parser()
.setSigningKey(SECRET_KEY) //SECRET_KEY是加密算法对应的密钥,jjwt能够自动判断机密算法
.parseClaimsJws(jwt) //jwt是JWT字符串
.getBody();
System.out.println(claims);
String vaule = claims.get("key", String.class); //获取自定义字段key
//判断自定义字段是否正确
if ("vaule".equals(vaule)) {
return true;
} else {
return false;
}
}
//在解析JWT字符串时,若是密钥不正确,将会解析失败,抛出SignatureException异常,说明该JWT字符串是伪造的
//在解析JWT字符串时,若是‘过时时间字段’已经早于当前时间,将会抛出ExpiredJwtException异常,说明本次请求已经失效
catch (SignatureException | ExpiredJwtException e) {
return false;
}
}
}
复制代码
最后能够在控制台看到打印出来的信息
jwt = eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NDA5NzgxMzAsIm5hbWUiOiJ3YW5ndGluZ2p1biIsImFnZSI6IjE4Iiwia2V5IjoidmF1bGUifQ.XEDlK0UNTV3aKANQe9QCE2Y7JiP7D7ebrDVOs2JxRCQ
{exp=1540978130, name=wangtingjun, age=18, key=vaule}
true
复制代码
咱们还可使用jwt的解析工具进行解析看一下,jwt解析
- 1. web跨域解决方案
- 2. 理解JWT(JSON Web Token)认证
- 3. JWT(Json web token)认证详解
- 4. JSON跨域解决方案收集
- 5. Json Web Token身份认证
- 6. webapp用户身份认证方案 JSON WEB TOKEN 实现
- 7. Flutter Web 跨域问题解决方案
- 8. WEB 前端跨域解决方案
- 9. web跨域问题解决方案
- 10. java web跨域解决方案
- 更多相关文章...
- • SVN 解决冲突 - SVN 教程
- • SQLite Explain(解释) - SQLite教程
- • PHP Ajax 跨域问题最佳解决方案
- • 常用的分布式事务解决方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。