彩虹城堡4,吉林化工学院教务管理系统,平步仙云
jwt
全称是:json web token
。它将用户信息加密到token
里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token
的正确性,只要正确即通过验证。
url
、post
参数或者在http header
发送,因为数据量小,传输速度也很快;token
是以json
加密的形式保存在客户端的,所以jwt
是跨语言的,原则上任何web
形式都支持;jwt
消息构成一个token
分3部分,按顺序为
header
)payload
)signature
)三部分之间用.
号做分隔。例如:
eyj0exaioijkv1qilcjhbgcioijiuzi1nij9.eyjhdwqioiixyzdiy2izms02odflltrlzgytymu3yy0wotlkodazm2vky2uilcjlehaioje1njk3mjc4otf9.wwemzyb3tsqk34jmez36mmc5xpuh15ni3vov_sgczj8
jwt
的头部承载两部分信息:
jwt
hmac sha256
jwt
里验证和签名使用的算法列表如下:
jws | 算法名称 |
---|---|
hs256 | hmac256 |
hs384 | hmac384 |
hs512 | hmac512 |
rs256 | rsa256 |
rs384 | rsa384 |
rs512 | rsa512 |
es256 | ecdsa256 |
es384 | ecdsa384 |
es512 | ecdsa512 |
载荷就是存放有效信息的地方。基本上填2
种类型数据
由这2部分内部做base64
加密。
iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
token
中存放的key-value
值jwt
的第三部分是一个签证信息,这个签证信息由三部分组成
base64
加密后的header
和base64
加密后的payload
连接组成的字符串,然后通过header
中声明的加密方式进行加盐secret
组合加密,然后就构成了jwt
的第三部分。
spring boot
和jwt
集成示例示例代码采用:
<dependency> <groupid>com.auth0</groupid> <artifactid>java-jwt</artifactid> <version>3.8.1</version> </dependency>
<dependencies> <dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-web</artifactid> </dependency> <dependency> <groupid>io.jsonwebtoken</groupid> <artifactid>jjwt</artifactid> <version>0.9.1</version> </dependency> <dependency> <groupid>com.auth0</groupid> <artifactid>java-jwt</artifactid> <version>3.8.1</version> </dependency> <!-- redis --> <dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-data-redis</artifactid> </dependency> <!-- lombok --> <dependency> <groupid>org.projectlombok</groupid> <artifactid>lombok</artifactid> <scope>1.8.4</scope> </dependency> <dependency> <groupid>com.alibaba</groupid> <artifactid>fastjson</artifactid> <version>1.2.47</version> </dependency> </dependencies>
@jwttoken
加上该注解的接口需要登录才能访问
@target({elementtype.method, elementtype.type}) @retention(retentionpolicy.runtime) public @interface jwttoken { boolean required() default true; }
jwtutil.java
主要用来生成签名、校验签名和通过签名获取信息
public class jwtutil { /** * 过期时间5分钟 */ private static final long expire_time = 5 * 60 * 1000; /** * jwt 密钥 */ private static final string secret = "jwt_secret"; /** * 生成签名,五分钟后过期 * @param userid * @return */ public static string sign(string userid) { try { date date = new date(system.currenttimemillis() + expire_time); algorithm algorithm = algorithm.hmac256(secret); return jwt.create() // 将 user id 保存到 token 里面 .withaudience(userid) // 五分钟后token过期 .withexpiresat(date) // token 的密钥 .sign(algorithm); } catch (exception e) { return null; } } /** * 根据token获取userid * @param token * @return */ public static string getuserid(string token) { try { string userid = jwt.decode(token).getaudience().get(0); return userid; } catch (jwtdecodeexception e) { return null; } } /** * 校验token * @param token * @return */ public static boolean checksign(string token) { try { algorithm algorithm = algorithm.hmac256(secret); jwtverifier verifier = jwt.require(algorithm) // .withclaim("username", username) .build(); decodedjwt jwt = verifier.verify(token); return true; } catch (jwtverificationexception exception) { throw new runtimeexception("token 无效,请重新获取"); } } }
jwtinterceptor.java
public class jwtinterceptor implements handlerinterceptor { @override public boolean prehandle(httpservletrequest httpservletrequest, httpservletresponse httpservletresponse, object object) { // 从 http 请求头中取出 token string token = httpservletrequest.getheader("token"); // 如果不是映射到方法直接通过 if(!(object instanceof handlermethod)){ return true; } handlermethod handlermethod=(handlermethod)object; method method=handlermethod.getmethod(); //检查有没有需要用户权限的注解 if (method.isannotationpresent(jwttoken.class)) { jwttoken jwttoken = method.getannotation(jwttoken.class); if (jwttoken.required()) { // 执行认证 if (token == null) { throw new runtimeexception("无token,请重新登录"); } // 获取 token 中的 userid string userid = jwtutil.getuserid(token); system.out.println("用户id:" + userid); // 验证 token jwtutil.checksign(token); } } return true; } @override public void posthandle(httpservletrequest httpservletrequest, httpservletresponse httpservletresponse, object o, modelandview modelandview) throws exception { } @override public void aftercompletion(httpservletrequest httpservletrequest, httpservletresponse httpservletresponse, object o, exception e) throws exception { } }
webconfig.java
@configuration public class webconfig implements webmvcconfigurer { /** * 添加jwt拦截器 * @param registry */ @override public void addinterceptors(interceptorregistry registry) { registry.addinterceptor(jwtinterceptor()) // 拦截所有请求,通过判断是否有 @jwttoken 注解 决定是否需要登录 .addpathpatterns("/**"); } /** * jwt拦截器 * @return */ @bean public jwtinterceptor jwtinterceptor() { return new jwtinterceptor(); } }
@restcontrolleradvice public class globalexceptionhandler { @responsebody @exceptionhandler(exception.class) public object handleexception(exception e) { string msg = e.getmessage(); if (msg == null || msg.equals("")) { msg = "服务器出错"; } jsonobject jsonobject = new jsonobject(); jsonobject.put("message", msg); return jsonobject; } }
jwtcontroller.java
@restcontroller @requestmapping("/jwt") public class jwtcontroller { /** * 登录并获取token * @param username * @param password * @return */ @postmapping("/login") public object login( string username, string password){ jsonobject jsonobject=new jsonobject(); // 检验用户是否存在(为了简单,这里假设用户存在,并制造一个uuid假设为用户id) string userid = uuid.randomuuid().tostring(); // 生成签名 string token= jwtutil.sign(userid); map<string, string> userinfo = new hashmap<>(); userinfo.put("userid", userid); userinfo.put("username", username); userinfo.put("password", password); jsonobject.put("token", token); jsonobject.put("user", userinfo); return jsonobject; } /** * 该接口需要带签名才能访问 * @return */ @jwttoken @getmapping("/getmessage") public string getmessage(){ return "你已通过验证"; } }
postman
测试接口token
的情况下访问jwt/getmessage
接口get
{ "message": "无token,请重新登录" }
jwt/getmessage
接口登录后得到签名如箭头处
jwt/getmessage
接口请求通过,测试成功!
我们设置的签名过期时间是五分钟,五分钟后再次访问
jwt/getmessage
接口,结果如下:
通过结果,我们发现时间到了,签名失效,说明该方案通过。
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复
浅析我对 String、StringBuilder、StringBuffer 的理解
使用IDEA搭建SSM框架的详细教程(spring + springMVC +MyBatis)
Springboot整合freemarker 404问题解决方案
引入mybatis-plus报 Invalid bound statement错误问题的解决方法
网友评论