您当前的位置:首页 > 电脑百科 > 程序开发 > 语言 > JAVA

Java基于JWT的token认证

时间:2019-07-30 10:54:53  来源:  作者:

一、背景引入

由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeion和cookie实现的。大致流程如下:

Java基于JWT的token认证

 

  1. 用户向服务器发送用户名和密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到cookie中的sessionId,从session集合中找到该用户的session回话,识别用户

这种模式有很多缺点,对于分布式架构的支持以及扩展性不是很好。而且session是保存在内存中,单台服务器部署如果登陆用户过多占用服务器资源也多,做集群必须得实现session共享的话,集群数量又不易太多,否则服务器之间频繁同步session也会非常耗性能。当然也可以引入持久层,将session保存在数据库或者redis中,保存数据库的话效率不高,存redis效率高,但是对redis依赖太重,如果redis挂了,影响整个应用。还有一种办法就是不存服务器,而是把用户标识数据存在浏览器,浏览器每次请求都携带该数据,服务器做校验,这也是JWT的思想。

二、JWT介绍

2.1 概念介绍

Json Web Token(JWT)是目前比较流行的跨域认证解决方案,是一种基于JSON的开发标准,由于数据是可以经过签名加密的,比较安全可靠,一般用于前端和服务器之间传递信息,也可以用在移动端和后台传递认证信息。

2.2 组成结构

JWT就是一段字符串,格式如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxIn0.qfd0GelhE1aGr15LrnYlIZ_3UToaOM5HeMcXrmDG

由于三部分组成,之间用"."接。第一部分是头信息Header,中间部分是载荷Payload,最后部分是签名信息Signature。

头信息Header:描述JWT基本信息,typ表示采用JWT令牌,alg(algorithm)表示采用什么算法进行签名,常见算法有HmacSHA256(HS256)、HmacSHA384(HS384)、HmacSHA512(HS512)、SHA256withECDSA(ES256)、SHA256withRSA(RS256)、SHA512withRSA(RS512)等。如果采用HS256则头信息结构为:

{
 "typ": "JWT",
 "alg": "HS256
}

载荷Payload:载荷(也可以叫载体)是具体的传输内容,包括一些标准属性,iss: 该JWT的签发者,exp: 过期时间戳,iat: 签发时间戳,jti: JWTID等等。也可以添加其他需要传递的内容数据。结构为:

{
 "iss": "kkk",
 "iat": 1548818203,
 "exp": 1548818212,
 "sub": "test.com
}

签名Signature:对头信息和载荷进行签名,保证传输过程中信息不被篡改,比如:将头信息和载荷分别进行base64加密得到字符串a和b,将字符串a和b以点相连并签名得到字符串c,将字符串a、b、c以点相连得到最终token。

2.3 验证流程

使用JWT的验证流程为:

  1. 用户提交用户名,密码到服务器后台后台验证通过,服务器端生成Token字符串,返回到客户端客户端保存Token,下一次请求资源时,附带上Token信息服务器端验证Token是否由服务器签发的(一般在拦截器中验证),若Token验证通过,则返回需要的资源

验证流程和基于session大体相同,只不过不是基于session,而是采用拦截器在代码中实验验证,返回给客户端的也不是sessionid,而是经过一定算法得出来的token字符串。

2.4 源码分析

JAVA中有封装好的开源哭JWT可以直接使用,下面就分析下关键代码验证以下内容。

Header头信息结构分析关键源码如下:

//token生成方法
public static void main(String[] args) {
 String token= JWT.create().withAudience("audience")
 .withIssuedAt(new Date())
 .withSubject("subject")
 .withExpiresAt(new Date()).withJWTId("jtiid")
 .sign(Algorithm.HMAC256(user.getPassword()));
}
public abstract class Algorithm {
 private final String name;
 private final String description;
 //...其他方法省略...
 public static Algorithm HMAC256(String secret) throws IllegalArgumentException {
 return new HMACAlgorithm("HS256", "HmacSHA256", secret);
 }
 //...其他方法省略...
}
class HMACAlgorithm extends Algorithm {
 private final CryptoHelper crypto;
 private final byte[] secret;
 //...其他方法省略...
HMACAlgorithm(String id, String algorithm, byte[] secretBytes)
throws IllegalArgumentException {
this(new CryptoHelper(), id, algorithm, secretBytes);
}
//...其他方法省略..
}
public String sign(Algorithm algorithm) throws IllegalArgumentException,
JWTCreationException {
 if (algorithm == null) {
 throw new IllegalArgumentException("The Algorithm cannot be null.");
} else {
 this.headerClaims.put("alg", algorithm.getName());
 this.headerClaims.put("typ", "JWT");
 String signingKeyId = algorithm.getSigningKeyId();
 if (signingKeyId != null) {
 this.withKeyId(signingKeyId);
}
public final class JWTCreator {
 private final Algorithm algorithm;
 private final String headerJson;
 private final String payloadJson;
 private JWTCreator(Algorithm algorithm,
 Map<String, Object> headerClaims,
 Map<String, Object> payloadClaims) throws JWTCreationException {
 this.algorithm = algorithm;
 try {
 ObjectMApper mapper = new ObjectMapper();
 SimpleModule module = new SimpleModule();
 module.addSerializer(ClaimsHolder.class, new PayloadSerializer());
 mapper.registerModule(module);
 mapper.configure(MapperFeature.SORT_PROPERTIES_ALPHABETICALLY, true);
 this.headerJson = mapper.writeValueAsString(headerClaims);
 this.payloadJson =
 mapper.writeValueAsString(new ClaimsHolder(payloadClaims));
 } catch (JsonProcessingException var6) {
 throw new JWTCreationException(
 "Some of the Claims couldn't be converted to a valid JSON format.",
 var6);
 }
}
//...其他方法省略...

headerClaims是一个Map,包括两个属性typ和alg,typ值固定JWT,alg传过来的签名算法这里使用的

HmacSHA256简称HS256。typ和alg组成Header头信息。

Payload载荷结构分析关键源码如下:

public abstract class JWT {
 public JWT() {
 }
 public static DecodedJWT decode(String token) throws JWTDecodeException {
 return new JWTDecoder(token);
 }
 public static Verification require(Algorithm algorithm) {
 return JWTVerifier.init(algorithm);
 }
 public static Builder create() {
 return JWTCreator.init();
 }
}
public static class Builder {
 private final Map<String, Object> payloadClaims = new HashMap();
 private Map<String, Object> headerClaims = new HashMap();
 Builder() {
 }
 public JWTCreator.Builder withHeader(Map<String, Object> headerClaims) {
 this.headerClaims = new HashMap(headerClaims);
 return this;
 }
 public JWTCreator.Builder withKeyId(String keyId) {
 this.headerClaims.put("kid", keyId);
 return this;
 }
 public JWTCreator.Builder withIssuer(String issuer) {
 this.addClaim("iss", issuer);//签发人
 return this;
 }
 public JWTCreator.Builder withSubject(String subject) {
 this.addClaim("sub", subject);//主题
 return this;
 }
 public JWTCreator.Builder withAudience(String... audience) {
 this.addClaim("aud", audience);//接受一方
 return this;
 }
 public JWTCreator.Builder withExpiresAt(Date expiresAt) {
 this.addClaim("exp", expiresAt);//过期时间
 return this;
 }
 public JWTCreator.Builder withNotBefore(Date notBefore) {
 this.addClaim("nbf", notBefore);//生效时间
 return this;
 }
 public JWTCreator.Builder withIssuedAt(Date issuedAt) {
 this.addClaim("iat", issuedAt);//签发时间
 return this;
 }
 public JWTCreator.Builder withJWTId(String jwtId) {
 this.addClaim("jti", jwtId);//编号
 return this;
 }
 public JWTCreator.Builder withClaim(String name, Boolean value)
 throws IllegalArgumentException {
 this.assertNonNull(name);
 this.addClaim(name, value);
 return this;
 }
 public JWTCreator.Builder withClaim(String name, Integer value)
 throws IllegalArgumentException {
 this.assertNonNull(name);
 this.addClaim(name, value);
 return this;
 }
 //...其他方法省略...
}

Payload是一个json对象,存放需要传递的数据,JTW默认规定了几个属性,如果需要添加其他属性可以调用其重载方法witchClaim()添加。

Signature签名部分源码如下:

private String sign() throws SignatureGenerationException {
 String header = Base64.encodeBase64URLSafeString(
 this.headerJson.getBytes(StandardCharsets.UTF_8));
 String payload = Base64.encodeBase64URLSafeString(
 this.payloadJson.getBytes(StandardCharsets.UTF_8));
 String content = String.format("%s.%s", header, payload);
 byte[] signatureBytes = this.algorithm.sign(
 content.getBytes(StandardCharsets.UTF_8));
 String signature = Base64.encodeBase64URLSafeString(signatureBytes);
 return String.format("%s.%s", content, signature);
}

从这里可以看出,所谓token就是分别对header和payload的json字符串做Base64加密得到a和b,并将结果拼接一起,在进行签名得到c,最终把a、b、c三部分内容以点拼接起来形成token,返回客户端保存,客户端以后每次请求都在header中加入token,服务器采用拦截器方式获取header中的token做校验,识别用户。

三、示例

3.1 数据准备

创建用户表

Java基于JWT的token认证

 

3.2 搭建springboot工程

Java基于JWT的token认证

 

设置工程Group、Artifact、Version、Name等信息

Java基于JWT的token认证

 

Spring Boot的版本选择2.0.8,选择导入web的起步器

Java基于JWT的token认证

 

创建工程成功之后,将各个包创建出来,工程目录结构如下:

Java基于JWT的token认证

 

3.3 引入pom依赖

Java基于JWT的token认证

 


Java基于JWT的token认证

 

3.4%20编写application.yml配置文件

 

3.5 编写User实体类

Java基于JWT的token认证

 

Result类:用于统一返回消息的封装

Java基于JWT的token认证

 

TokenUtil类,用于生成token

Java基于JWT的token认证

 


Java基于JWT的token认证

 

VerifyToken注解类:加到controller方法上表示该方法需要验证token。

Java基于JWT的token认证

 

3.6 编写mapper接口和service层

mapper类:

Java基于JWT的token认证

 

UserService接口:

Java基于JWT的token认证

 

UserServiceImpl实现类:

Java基于JWT的token认证

 

3.7 编写拦截器和全局异常处理器

AuthInterceptor拦截器类:用于token验证。

Java基于JWT的token认证

 


Java基于JWT的token认证

 


Java基于JWT的token认证

 

全局异常处理器GloabllExceptionHandler:用于异常的捕获。

Java基于JWT的token认证

 

3.8 编写配置类及controller

拦截器配置类InterceptorConfig:配置拦截所有请求

Java基于JWT的token认证

 


Java基于JWT的token认证

 

UserController类:

Java基于JWT的token认证

 

3.9 测试

测试1:使用postman发送get请求http://localhost:8088/user/getUser?id=1

Java基于JWT的token认证

 

测试2:发送post请求http://localhost:8088/user/login 密码故意输错

Java基于JWT的token认证

 

测试3:发送post请求http://localhost:8088/user/login 填正确的用户名密码



Tags:Java token认证   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeion和cookie实现的。大致流程如下: 用户向服务器发送...【详细内容】
2019-07-30  Tags: Java token认证  点击:(276)  评论:(0)  加入收藏
▌简易百科推荐
面向对象的特征之一封装 面向对象的特征之二继承 方法重写(override/overWrite) 方法的重载(overload)和重写(override)的区别: 面向对象特征之三:多态 Instanceof关键字...【详细内容】
2021-12-28  顶顶架构师    Tags:面向对象   点击:(2)  评论:(0)  加入收藏
一、Redis使用过程中一些小的注意点1、不要把Redis当成数据库来使用二、Arrays.asList常见失误需求:把数组转成list集合去处理。方法:Arrays.asList 或者 Java8的stream流式处...【详细内容】
2021-12-27  CF07    Tags:Java   点击:(3)  评论:(0)  加入收藏
文章目录 如何理解面向对象编程? JDK 和 JRE 有什么区别? 如何理解Java中封装,继承、多态特性? 如何理解Java中的字节码对象? 你是如何理解Java中的泛型的? 说说泛型应用...【详细内容】
2021-12-24  Java架构师之路    Tags:JAVA   点击:(5)  评论:(0)  加入收藏
大家好!我是老码农,一个喜欢技术、爱分享的同学,从今天开始和大家持续分享JVM调优方面的经验。JVM调优是个大话题,涉及的知识点很庞大 Java内存模型 垃圾回收机制 各种工具使用 ...【详细内容】
2021-12-23  小码匠和老码农    Tags:JVM调优   点击:(12)  评论:(0)  加入收藏
前言JDBC访问Postgresql的jsonb类型字段当然可以使用Postgresql jdbc驱动中提供的PGobject,但是这样在需要兼容多种数据库的系统开发中显得不那么通用,需要特殊处理。本文介绍...【详细内容】
2021-12-23  dingle    Tags:JDBC   点击:(13)  评论:(0)  加入收藏
Java与Lua相互调用案例比较少,因此项目使用需要做详细的性能测试,本内容只做粗略测试。目前已完成初版Lua-Java调用框架开发,后期有时间准备把框架进行抽象,并开源出来,感兴趣的...【详细内容】
2021-12-23  JAVA小白    Tags:Java   点击:(11)  评论:(0)  加入收藏
Java从版本5开始,在 java.util.concurrent.locks包内给我们提供了除了synchronized关键字以外的几个新的锁功能的实现,ReentrantLock就是其中的一个。但是这并不意味着我们可...【详细内容】
2021-12-17  小西学JAVA    Tags:JAVA并发   点击:(11)  评论:(0)  加入收藏
一、概述final是Java关键字中最常见之一,表示“最终的,不可更改”之意,在Java中也正是这个意思。有final修饰的内容,就会变得与众不同,它们会变成终极存在,其内容成为固定的存在。...【详细内容】
2021-12-15  唯一浩哥    Tags:Java基础   点击:(17)  评论:(0)  加入收藏
1、问题描述关于java中的日志管理logback,去年写过关于logback介绍的文章,这次项目中又优化了下,记录下,希望能帮到需要的朋友。2、解决方案这次其实是碰到了一个问题,一般的情况...【详细内容】
2021-12-15  软件老王    Tags:logback   点击:(19)  评论:(0)  加入收藏
本篇文章我们以AtomicInteger为例子,主要讲解下CAS(Compare And Swap)功能是如何在AtomicInteger中使用的,以及提供CAS功能的Unsafe对象。我们先从一个例子开始吧。假设现在我们...【详细内容】
2021-12-14  小西学JAVA    Tags:JAVA   点击:(22)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条