摘要:有效載荷的第二部分是有效載荷,其中包含聲明。這些是自定義聲明,用于在同意使用這些聲明的各方之間共享信息,這些信息既沒有注冊也沒有公開聲明。由于令牌是憑證,因此必須非常小心以防止出現安全問題。授予授權后,授權服務器會向應用程序返回。
先給出JWT的官方文檔
什么是JWT?JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,用于在各方之間作為JSON對象安全地傳輸信息。
什么時候應該使用JWT?授權:這是使用JWT的最常見方式。一旦用戶登錄,每個后續請求將包括JWT,允許用戶訪問該令牌允許的路由,服務和資源。Single Sign On是一種現在廣泛使用JWT的功能,因為它的開銷很小,并且能夠在不同的域中輕松使用。
信息交換:JSON Web令牌是在各方之間安全傳輸信息的好方法。因為JWT可以通過簽名(使用公鑰/私鑰對 )核實發送人的身份。此外,由于使用標頭和有效負載計算簽名,您還可以驗證內容是否未被篡改。
JWT令牌結構JWT令牌由Header、Payload、Signature三部分組成,每部分之間用點號分隔,通常的形式為xxxxx.yyyyy.zzzzz,下面分別對每部分做詳細介紹。
Header(頭)Header通常由兩部分組成:令牌的類型,即JWT,以及使用的簽名算法,例如HMAC SHA256或RSA。
{ "alg": "HS256", "typ": "JWT" }
這個JSON被編碼為Base64Url,形成JWT的第一部分。
Payload(有效載荷)JWT的第二部分是有效載荷,其中包含聲明( claims)。聲明包含實體(通常是用戶)和其他自定義信息。聲明有三種類型:registered, public和private claims 。
registered claims :這是一組預定義聲明,不是強制性的,但建議使用,以提供一組有用的,可互操作的聲明。其中包括: iss(發行人), exp(到期時間),sub(主題), aud(受眾)。
請注意:聲明名稱只有三個字符,因為JWT需要保持簡潔。
public claims:這些可以由使用JWT的人隨意定義。但為避免沖突,應在 IANA JSON Web Token Register中定義它們,或者將其定義為包含防沖突命名空間的URI。
private claims:這些是自定義聲明,用于在同意使用這些聲明的各方之間共享信息,這些信息既沒有注冊也沒有公開聲明。
Payload經過Base64Url編碼,形成JWT的第二部分。
請注意:對于JWT令牌,雖然可以防止被篡改,但任何人都可以讀取。除非加密,否則不要將秘密信息放在JWT的有效載荷或頭元素中。
Signature(簽名)Signature由Base64Url加密的Header、Payload再使用Header中指定的算法加密之后再和secret組成。
如果要使用HMACSHA256算法,將按以下方式創建簽名:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
Signature用于驗證消息在此過程中未被更改,并且,在使用私鑰簽名的令牌的情況下,它還可以驗證JWT的發件人的身份。
總結最后將JWT的三部分由點號分隔作為一個字符串,其可以在HTML和HTTP環境中輕松傳遞,并且比基于XML的標準的Token(如SAML)更加簡潔。
JWT工作流程在身份驗證中,當用戶使用其憑據成功登錄時,將返回JSON Web Token。由于令牌是憑證,因此必須非常小心以防止出現安全問題。一般情況下,您不應該將令牌保留的時間超過要求。
每當用戶想要訪問受保護的路由或資源時,用戶發送JWT到相應的地址,通常在Authorization標頭中。請求頭的的內容應如下所示:
Authorization: Bearer
在某些情況下,這可以是無狀態授權機制。服務器的受保護路由將檢查Authorization標頭中的有效JWT ,如果存在,則允許用戶訪問受保護資源。如果JWT包含必要的數據,則可以減少查詢數據庫以進行某些操作的需要,盡管可能并非總是如此。
如果在標Authorization頭中發送Token,則跨域資源共享(CORS)將不會成為問題,因為它不使用cookie。
下圖顯示了如何獲取JWT并用于訪問API或資源:
應用程序或客戶端向授權服務器發送授權請求。
授予授權后,授權服務器會向應用程序返回JWT。
應用程序使用JWT來訪問受保護資源(如API)。
請注意:使用JWT時,Token中包含的所有信息都會向用戶或其他方公開,即使他們無法更改。所以您不應該在令牌中放置秘密信息。
JWT中的JAVA實現JWT的java實現非常多,詳細何以查看官方文檔。
其中常用的有com.auth0.java-jwt和io.jsonwebtoken.jjwt
這里我采用 jjwt 作為演示,因為他的Github中的Star比較多。
Maven依賴創建Tokenio.jsonwebtoken jjwt-api 0.10.5 io.jsonwebtoken jjwt-impl 0.10.5 runtime io.jsonwebtoken jjwt-jackson 0.10.5 runtime
//Sample method to construct a JWT public static String createJWT(String id, String issuer, String subject, long ttlMillis) { //The JWT signature algorithm we will be using to sign the token SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); //We will sign our JWT with our ApiKey secret byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary( APP_ID + APP_SECRET); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); //Let"s set the JWT Claims JwtBuilder builder = Jwts.builder().setId(id) .setIssuedAt(now) .setSubject(subject) .setIssuer(issuer) .signWith(signatureAlgorithm, signingKey); //if it has been specified, let"s add the expiration if (ttlMillis >= 0) { long expMillis = nowMillis + ttlMillis; Date exp = new Date(expMillis); builder.setExpiration(exp); } //Builds the JWT and serializes it to a compact, URL-safe string return builder.compact(); }解析Token
//Sample method to validate and read the JWT public static Claims parseJWT(String jwt) { //This line will throw an exception if it is not a signed JWS (as expected) Claims claims = Jwts.parser() .setSigningKey(DatatypeConverter.parseBase64Binary(APP_ID + APP_SECRET)) .parseClaimsJws(jwt).getBody(); // System.out.println("ID: " + claims.getId()); // System.out.println("Subject: " + claims.getSubject()); // System.out.println("Issuer: " + claims.getIssuer()); // System.out.println("Expiration: " + claims.getExpiration()); return claims; }
其中APP_ID和APP_SECRET可以自定義為你想要的任何值,但是不能過于簡單。
你會發現我們再使用的時候沒有設置Header的值,因為jjwt為了我們使用方便會根據使用的簽名算法或壓縮算法自動設置它們。
使用@Test public void createJWT(){ String jwt = JWTUtil.createJWT("1", "111", "admin", JWTUtil.DAY_TTL); System.out.println(jwt); } @Test public void parseJWT(){ Claims claims = JWTUtil.parseJWT("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIxIiwiaWF0IjoxNTQ4Mjk1NjQ0LCJzdWIiOiJhZG1pbiIsImlzcyI6IjExMSIsImV4cCI6MTU0ODMzODg0NH0.WRkyeG3MfVor02Ya4732fgGydXhtkkKSDwbxOIZ2i9Y"); System.out.println(claims); }
如果想使用jjwt更復雜的功能或者其他的Java實現可以去他們相應的Github上學習。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/73195.html
摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...
摘要:認證服務器,即服務提供商專門用來處理認證的服務器。它與認證服務器,可以是同一臺服務器,也可以是不同的服務器。客戶端使用上一步獲得的授權,向認證服務器申請令牌。認證服務器對客戶端進行認證以后,確認無誤,同意發放令牌。 最近想做個小程序,需要用到授權認證流程。以前項目都是用的 OAuth2 認證,但是Sanic 使用OAuth2 不太方便,就想試一下 JWT 的認證方式。這一篇主要內容是 ...
閱讀 2222·2021-09-24 10:31
閱讀 3875·2021-09-22 15:16
閱讀 3395·2021-09-22 10:02
閱讀 1010·2021-09-22 10:02
閱讀 1822·2021-09-08 09:36
閱讀 1974·2019-08-30 14:18
閱讀 609·2019-08-30 10:51
閱讀 1863·2019-08-29 11:08