内嵌jwt工具类)

Posted 我认不到你

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了内嵌jwt工具类)相关的知识,希望对你有一定的参考价值。

JWT 基础概念详解,工具类和使用方法放在最后

什么是 JWT?

JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。 从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。

JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

jwt生成的token如下(例子):

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJkYXRlIjoxNjY4NjczOTM4LCJib29sIjp0cnVlLCJkb3VibGUiOjExMi4yMjIsIkxvbmciOjExMiwicm9zZSI6ImFkbWluIiwiaW50ZWdlciI6MTExMSwiZXhwIjoxNjY4Njc0ODM4LCJpYXQiOjE2Njg2NzM5MzgsInVzZXJJZCI6IjEyMzQ1NiJ9.ryTEhOnX9B_vIhfMdgWVPeCBN8Y5mjNoQC-ba8tOXj8

目前我们不需要了解这个很长的 token 的意思,我们只要了解他是由三部分组成,用 . 进行分割,里面拥有信息(自定义参数、私钥、生成时间、过期时间、 token 算法等),由后端生成传递给前端(登录时,账号密码对了,后端(后端不保留 token 值)就生成个 token 给前端(这个token可以携带自己定义的参数,如:用户id(userId))),然后前端把 token 保存起来(仅在前端保存 token 就行了),每次请求时带上这个 token ,我们可以根据后台的 jwt 算法与 jwt 私钥参数(这些我都写在工具类里,拿这个工具类来解析这个 token 就行),对前端再次传过来的这段 token 进行解密,并得到自己需要的参数(如:userId ),那么就可以拿到这个 userId 操作数据库。

一、例子如下:

//下面这段代码只是一个参照,没有实现token生成的代码,只是告诉我们jwt是干嘛的
public static void main(String[] args) throws InterruptedException 
		//我们可以自定义一个map,并把map传进token里面
        Map<String,Object> map = new HashMap<>();
        //可以加很多的参数,包括但不限于以下两种
        map.put("userId","123456");
        map.put("rose","admin");
    
        // sign() 是一个当前文件的静态方法,之后调用的所有方法都是当前文件的方法,封装了一个工具类,在最后面,我会给大家,目前先理解着
    
        String token = sign(map); //把map丢进去,生成token
        System.out.println(token); //输出token
        System.out.println(verify(token));//验证token是否正确
        String dd = getClaims(token).get("userId").asString(); //使用方法
        System.out.println(dd);  // 获取 userId ,后端根据这个token就可以拿到 userId 了,那么就可以拿着这个id去增删改数据库了
        System.out.println("获取签发token时间:" +getIssuedAt(token));
        System.out.println("获取过期时间:"+getExpiresAt(token));
        System.out.println("检查是否已过期:"+isExpired(token));
        System.out.println("获取头"+getHeaderByBase64(token));
        System.out.println("获取负荷"+getPayloadByBase64(token));
    

二、我的项目中的使用案例:(写的有点差,大佬们看看就行)

登录传递token:

    @Override
    public R login(LoginDTO loginDTO) 
        User loginUser = new User();
        loginUser.setUserName(loginDTO.getUserName())
                .setPassword(loginDTO.getPassword());
        try 
            //根据账号密码拿到用户信息
            User user = this.baseMapper.selectOne(
                    new LambdaQueryWrapper<User>()
                            .eq(User::getUserName, loginUser.getUserName())
 // 这是我毕设,目前还在开发中,前端是vue写的,vue太难了,就直接明文传输了,在后端加密跟数据库匹配,体现我的确是知道密码是要加密的,但前端太难,懒得做了
                            .eq(User::getPassword, MD5Util.md5(loginUser.getPassword())));
            if (user!=null)
                // 把两个参数加入到map中
                Map<String,Object> map = new HashMap<>(2);
                map.put("userId",user.getUserId());
                map.put("jurisdiction",user.getJurisdiction());
                // 把map丢给jwt处理,拿到token返回
                String token = Auth0JwtUtils.sign(map);
                Map<String , String> map2 = new HashMap<>(1);
                map2.put("token",token);
                // 因为我的vue模板要k-v键值对的方式传递token,所以我也懒得改,直接返个map给前端就行了
                return R.Success(map2);
            
         catch (NoSuchAlgorithmException e) 
            log.error(e.getMessage());
        
        return R.Failed("账号密码错误");
    

根据前端返回的token获取用户信息:

    @Override
	// 获取用户信息的 serviceImpl
    public R getUserInfo(String token) 
        try 
            // 判断token是否正确且在有效期范围内
            if (Auth0JwtUtils.verify(token)&&!Auth0JwtUtils.isExpired(token))
                // 根据token,获取到 jurisdiction(权限)和 userId 用户的id
                Integer jurisdiction = Auth0JwtUtils.getInteger(token,"jurisdiction");
                Integer userId = Auth0JwtUtils.getInteger(token,"userId");
                // 根据 userId 查询数据库
                User user = this.baseMapper.selectOne(new LambdaQueryWrapper<User>().eq(User::getUserId, userId));
                Map<String , Object> map = new HashMap<>(10);
                // 写了个枚举来遍历权限
                for (JurisdictionEnum value : JurisdictionEnum.values()) 
                    if (value.getJurisdiction().equals(jurisdiction))
                        map.put("role",value.getName());
                        map.put("roles",value.getX());
                        break;
                    
                
                // 挨个装起来
                map.put("sex",user.getSex());
                map.put("introduction",user.getIntroduction());
                map.put("avatar",user.getImage());
                map.put("phone",user.getPhone());
                map.put("name",user.getRealName());
                // 返回给前端
                return R.Success(map);
            
         catch (Exception e) 
            log.error(e.getMessage());
        
        return R.Failed();
    

可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则

并且, 使用 JWT 认证可以有效避免 CSRF 攻击,因为 JWT 一般是存在在 localStorage 中,使用 JWT 进行身份验证的过程中是不会涉及到 Cookie 的。

下面是 RFC 7519open in new window 对 JWT 做的较为正式的定义。

JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or integrity protected with a Message Authentication Code (MAC) and/or encrypted. ——JSON Web Token (JWT)open in new window

JWT 由哪些部分组成?

JWT 本质上就是一组字串,通过(.)切分成三个为 Base64 编码的部分:

  • Header : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型。
  • Payload : 用来存放实际需要传递的数据
  • Signature(签名) :服务器通过 Payload、Header 和一个密钥(Secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

JWT 通常是这样的:xxxxx.yyyyy.zzzzz

示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

你可以在 jwt.ioopen in new window 这个网站上对其 JWT 进行解码,解码之后得到的就是 Header、Payload、Signature 这三部分。

Header 和 Payload 都是 JSON 格式的数据,Signature 由 Payload、Header 和 Secret(密钥)通过特定的计算公式和加密算法得到。

Header

Header 通常由两部分组成:

  • typ(Type):令牌类型,也就是 JWT。
  • alg(Algorithm) :签名算法,比如 HS256。

示例:


  "alg": "HS256",
  "typ": "JWT"

JSON 形式的 Header 被转换成 Base64 编码,成为 JWT 的第一部分。

Payload

Payload 也是 JSON 格式数据,其中包含了 Claims(声明,包含 JWT 的相关信息)。

Claims 分为三种类型:

  • Registered Claims(注册声明) :预定义的一些声明,建议使用,但不是强制性的。
  • Public Claims(公有声明) :JWT 签发方可以自定义的声明,但是为了避免冲突,应该在 IANA JSON Web Token Registryopen in new window 中定义它们。
  • Private Claims(私有声明) :JWT 签发方因为项目需要而自定义的声明,更符合实际项目场景使用。

下面是一些常见的注册声明:

  • iss(issuer):JWT 签发方。
  • iat(issued at time):JWT 签发时间。
  • sub(subject):JWT 主题。
  • aud(audience):JWT 接收方。
  • exp(expiration time):JWT 的过期时间。
  • nbf(not before time):JWT 生效时间,早于该定义的时间的 JWT 不能被接受处理。
  • jti(JWT ID):JWT 唯一标识。

示例:


  "uid": "ff1212f5-d8d1-4496-bf41-d2dda73de19a",
  "sub": "1234567890",
  "name": "John Doe",
  "exp": 15323232,
  "iat": 1516239022,
  "scope": ["admin", "user"]

Payload 部分默认是不加密的,一定不要将隐私信息存放在 Payload 当中!!!

JSON 形式的 Payload 被转换成 Base64 编码,成为 JWT 的第二部分。

Signature

Signature 部分是对前两部分的签名,作用是防止 JWT(主要是 payload) 被篡改。

这个签名的生成需要用到:

  • Header + Payload。
  • 存放在服务端的密钥(一定不要泄露出去)。
  • 签名算法。

签名的计算公式如下:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,这个字符串就是 JWT 。

如何基于 JWT 进行身份验证?

在基于 JWT 进行身份验证的的应用程序中,服务器通过 Payload、Header 和 Secret(密钥)创建 JWT 并将 JWT 发送给客户端。客户端接收到 JWT 之后,会将其保存在 Cookie 或者 localStorage 里面,以后客户端发出的所有请求都会携带这个令牌。

简化后的步骤如下:

  1. 用户向服务器发送用户名、密码以及验证码用于登陆系统。
  2. 如果用户用户名、密码以及验证码校验正确的话,服务端会返回已经签名的 Token,也就是 JWT。
  3. 用户以后每次向后端发请求都在 Header 中带上这个 JWT 。
  4. 服务端检查 JWT 并从中获取用户相关信息。

两点建议:

  1. 建议将 JWT 存放在 localStorage 中,放在 Cookie 中会有 CSRF 风险。
  2. 请求服务端并携带 JWT 的常见做法是将其放在 HTTP Header 的 Authorization 字段中(Authorization: Bearer Token)。

spring-security-jwt-guideopen in new window 就是一个基于 JWT 来做身份认证的简单案例,感兴趣的可以看看。

如何防止 JWT 被篡改?

有了签名之后,即使 JWT 被泄露或者截获,黑客也没办法同时篡改 Signature 、Header 、Payload。

这是为什么呢?因为服务端拿到 JWT 之后,会解析出其中包含的 Header、Payload 以及 Signature 。服务端会根据 Header、Payload、密钥再次生成一个 Signature。拿新生成的 Signature 和 JWT 中的 Signature 作对比,如果一样就说明 Header 和 Payload 没有被修改。

不过,如果服务端的秘钥也被泄露的话,黑客就可以同时篡改 Signature 、Header 、Payload 了。黑客直接修改了 Header 和 Payload 之后,再重新生成一个 Signature 就可以了。

密钥一定保管好,一定不要泄露出去。JWT 安全的核心在于签名,签名安全的核心在密钥。

如何加强 JWT 的安全性?

  1. 使用安全系数高的加密算法。
  2. 使用成熟的开源库,没必要造轮子。
  3. JWT 存放在 localStorage 中而不是 Cookie 中,避免 CSRF 风险。
  4. 一定不要将隐私信息存放在 Payload 当中。
  5. 密钥一定保管好,一定不要泄露出去。JWT 安全的核心在于签名,签名安全的核心在密钥。
  6. Payload 要加入 exp (JWT 的过期时间),永久有效的 JWT 不合理。并且,JWT 的过期时间不易过长。
  7. and so on

好了,讲了这么多,其实我也记不全,直接拿JWT工具类来用就行,但稍微理解下原理的话,那么就可以应对各种各样的问题了不是

maven包:

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.9.0</version>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-lang3</artifactId>
    <version>3.9</version>
</dependency>

工具类:

package com.zhao.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;

import java.util.Base64;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 *@author:Tlimited
 */
@Slf4j
public class Auth0JwtUtils 
    //过期时间 15分钟
    private static final long EXPIRE_TIME = 15* 60 * 1000;
    //私钥
    private static final String TOKEN_SECRET = "privateKey";

    /**
     * 生成签名,15分钟过期
     * 根据内部改造,支持6中类型,Integer,Long,Boolean,Double,String,Date
     * @param map
     * @return
     */
    public static String sign(Map<String,Object> map) 
        try 
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            // 私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("typ", "jwt");
            // 返回token字符串
           JWTCreator.Builder builder =  JWT.create()
                    .withHeader(header)
                    .withIssuedAt(new Date()) //发证时间
                    .withExpiresAt(date);  //过期时间
                 //   .sign(algorithm);  //密钥
             // map.entrySet().forEach(entry -> builder.withClaim( entry.getKey(),entry.getValue()));
              map.entrySet().forEach(entry -> 
                  if (entry.getValue() instanceof Integer) 
                      builder.withClaim( entry.getKey(),(Integer)entry.getValue());
                   else if (entry.getValue() instanceof Long) 
                      builder.withClaim( entry.getKey(),(Long)entry.getValue());
                   else if (entry.getValue() instanceof Boolean) 

                      builder.withClaim( entry.getKey(),(Boolean) entry.getValue());
                   else if (entry.getValue() instanceof String) 
                      builder.withClaim( entry.getKey(),String.valueOf(entry.getValue()));
                   else if (entry.getValue() instanceof Double) 
                      builder.withClaim( entry.getKey(),(Double)entry.getValue());
                   else if (entry.getValue() instanceof Date) 
                          builder.withClaim( entry.getKey(),(Date)entry.getValue());
                  
              );
            return builder.sign(algorithm);
         catch (Exception e) 
            log.error(e.getMessage());
            return null;
        
    


    /**
     * 检验token是否正确
     * @param **token**
     * @return
     */
    public static boolean verify(String token)
        try 
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            verifier.verify(token
        
                
package com.util.jwt;

import com.google.common.collect.Maps;
import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import org.apache.tomcat.util.codec.binary.Base64;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.crypto.SecretKey;
import java.util.Date;
import java.util.Map;

/**
 * @author: HuGoldWater
 * @description:
 */
public class JwtUtil {
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtUtil.class);

    /**
     * 秘钥
     * - 默认:123456
     */
    private String secret = "123456";
    /**
     * 有效期,单位秒
     * - 默认2周
     */

    private Long expirationTimeInSecond = 1626021786L;

    /**
     * 从token中获取claim
     *
     * @param token token
     * @return claim
     */
    public Claims getClaimsFromToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(this.secret.getBytes())
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException | UnsupportedJwtException | MalformedJwtException | IllegalArgumentException e) {
            LOGGER.error("token解析错误", e);
            throw new IllegalArgumentException("Token invalided.");
        }
    }

    /**
     * 获取token的过期时间
     *
     * @param token token
     * @return 过期时间
     */
    public Date getExpirationDateFromToken(String token) {
        return getClaimsFromToken(token)
                .getExpiration();
    }

    /**
     * 判断token是否过期
     *
     * @param token token
     * @return 已过期返回true,未过期返回false
     */
    private Boolean isTokenExpired(String token) {
        Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    /**
     * 计算token的过期时间
     *
     * @return 过期时间
     */
    private Date getExpirationTime() {
        return new Date(System.currentTimeMillis() + this.expirationTimeInSecond * 1000);
    }

    /**
     * 为指定用户生成token
     *
     * @param claims 用户信息
     * @return token
     */
    public String generateToken(Map<String, Object> claims) {
        Date createdTime = new Date();
        Date expirationTime = this.getExpirationTime();


        byte[] keyBytes = secret.getBytes();
        SecretKey key = Keys.hmacShaKeyFor(keyBytes);

        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(createdTime)
                .setExpiration(expirationTime)
                // 你也可以改用你喜欢的算法
                // 支持的算法详见:https://github.com/jwtk/jjwt#features
                .signWith(key, SignatureAlgorithm.HS256)
                .compact();
    }

    /**
     * 判断token是否非法
     *
     * @param token token
     * @return 未过期返回true,否则返回false
     */
    public Boolean validateToken(String token) {
        return !isTokenExpired(token);
    }

    public static void main(String[] args) {
        // 1. 初始化
        JwtUtil jwtOperator = new JwtUtil();
        jwtOperator.expirationTimeInSecond = 1209600L;
        jwtOperator.secret = "aaabbbcccdddeeefffggghhhiiijjjkkklllmmmnnnooopppqqqrrrsssttt";

        // 2.设置用户信息
        Map<String, Object> objectObjectHashMap = Maps.newHashMap();
        objectObjectHashMap.put("id", "1");

        // 测试1: 生成token
        String token = jwtOperator.generateToken(objectObjectHashMap);
        // 会生成类似该字符串的内容: eyJhbGciOiJIUzI1NiJ9.eyJpZCI6IjEiLCJpYXQiOjE1NjU1ODk4MTcsImV4cCI6MTU2Njc5OTQxN30.27_QgdtTg4SUgxidW6ALHFsZPgMtjCQ4ZYTRmZroKCQ
        System.out.println(token);

        // 将我改成上面生成的token!!!
        String someToken = "eyJhbGciOiJIUzI1NiJ9.eyJpZCI6IjEiLCJpYXQiOjE2MjUxNTc4NjgsImV4cCI6MTYyNjM2NzQ2OH0.wNeIceDm7IombYsa13Cq4EOdz_RNq1GcGOm8UMlTWHk";
        // 测试2: 如果能token合法且未过期,返回true
        Boolean validateToken = jwtOperator.validateToken(someToken);
        System.out.println(validateToken);

        // 测试3: 获取用户信息
        Claims claims = jwtOperator.getClaimsFromToken(someToken);
        System.out.println(claims);

        // 将我改成你生成的token的第一段(以.为边界)
        String encodedHeader = "eyJhbGciOiJIUzI1NiJ9";
        // 测试4: 解密Header
        byte[] header = Base64.decodeBase64(encodedHeader.getBytes());
        System.out.println(new String(header));

        // 将我改成你生成的token的第二段(以.为边界)
        String encodedPayload = "eyJpZCI6IjEiLCJpYXQiOjE2MjUxNTc4NjgsImV4cCI6MTYyNjM2NzQ2OH0";
        // 测试5: 解密Payload
        byte[] payload = Base64.decodeBase64(encodedPayload.getBytes());
        System.out.println(new String(payload));

        // 测试6: 这是一个被篡改的token,因此会报异常,说明JWT是安全的
        jwtOperator.validateToken("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6IjEiLCJpYXQiOjE1NjU1ODk3MzIsImV4cCI6MTU2Njc5OTMzMn0.nDv25ex7XuTlmXgNzGX46LqMZItVFyNHQpmL9UQf-aUx");
    }
}

eyJhbGciOiJIUzI1NiJ9.eyJpZCI6IjEiLCJpYXQiOjE2MjUxNTc5MDgsImV4cCI6MTYyNjM2NzUwOH0.bR8aQKFed1pvf7yLCuJIsi6i7tuAm5Aoyy4HCePTOPo
true
{id=1, iat=1625157868, exp=1626367468}
{"alg":"HS256"}
{"id":"1","iat":1625157868,"exp":1626367468}
Exception in thread "main" io.jsonwebtoken.security.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:383)
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:513)
	at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:573)
	at com.util.jwt.JwtUtil.getClaimsFromToken(JwtUtil.java:43)
	at com.util.jwt.JwtUtil.getExpirationDateFromToken(JwtUtil.java:58)
	at com.util.jwt.JwtUtil.isTokenExpired(JwtUtil.java:69)
	at com.util.jwt.JwtUtil.validateToken(JwtUtil.java:113)
	at com.util.jwt.JwtUtil.main(JwtUtil.java:154)

来源:

https://www.itmuch.com/other/jwt-util/

以上是关于内嵌jwt工具类)的主要内容,如果未能解决你的问题,请参考以下文章

Jwt工具类

JWT(JSON WEB TOKEN)实例

JWT(Json WEB Token)

JWT开发工具

Java - 从请求 JSON 生成 JWS/JWT

JWT(JSON Web Token) Java与.Net简单编码实现