JSON Web Token(JWT)鉴权机制
前言
说道会话跟踪,可能会想到Cookie和Session,而这两个都有一定的缺陷,如Cookie,随浏览器自动发送,易受 CSRF 攻击,在移动端支持较差;Session依赖服务器本地存储或共享存储。这时候JWT出现了,其实出现挺久了,我也会挺久了,但是前段时间找实习,没时间写。
之前的做法是用户在登录后,获得一个token,服务器将这个token与其用户id绑定存储在数据库中,下一次用户访问网站时,会在header中携带该信息,服务端在获得该信息后,会与与数据库中的进行比较。
这个做法有一个明显的缺陷就是,用户体量大的话,数据库将会有很大的压力。
这时候JWT的出现就避免了这个缺点,减轻了数据库的压力。
正文
JWT由三部分组成,标头 (Header)、有效载荷 (Payload) 和 签名 (Signature)。
标头包含令牌的类型(JWT)和所使用的签名算法(如 HMAC SHA256)。
如
{
"alg": "HS256",
"typ": "JWT"
}
将其进行base64编码
有效载荷包含声明(claims),即有关实体和其他数据,如过期时间等
如
{
"name": "Tom",
"id": 5
}
同样后需要对其进行base64编码
签名包含base64加密后的header+"."+base64加密后的Payload连接组成的字符串和签名算法(头部和载荷,签名密钥)构造的签名
JWT代码
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;
public class JwtUtil {
/**
* 生成jwt
* 使用Hs256算法,
*
* @param secretKey jwt秘钥
* @param ttlMillis jwt过期时间(毫秒)
* @param claims 设置的信息
* @return
*/
public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
// 指定签名的时候使用的签名算法,也就是header那部分
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
// 生成JWT的时间
long expMillis = System.currentTimeMillis() + ttlMillis;
Date exp = new Date(expMillis);
// 设置jwt的body
JwtBuilder builder = Jwts.builder()
// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
.setClaims(claims)
// 设置签名使用的签名算法和签名使用的秘钥
.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
// 设置过期时间
.setExpiration(exp);
return builder.compact();
}
/**
* Token解密
*
* @param secretKey jwt秘钥
* @param token 加密后的token
* @return
*/
public static Claims parseJWT(String secretKey, String token) {
// 得到DefaultJwtParser
Claims claims = Jwts.parser()
// 设置签名的秘钥
.setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
// 设置需要解析的jwt
.parseClaimsJws(token).getBody();
return claims;
}
}
浙公网安备 33010602011771号