概述(什么是JWT)
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
该标准定义了一种简单的,自包含的,用于通信双方以JSON对象的形式安全的传递信息。
请求流程
流程如下
- 用户使用账号和面发出 post 请求;
- 服务器使用私钥创建一个 jwt;
- 服务器返回这个 jwt 给浏览器;
- 浏览器将该 jwt 串在请求头中像服务器发送请求;
- 服务器验证该 jwt;
- 返回响应的资源给浏览器。
JWT 的主要应用场景
身份认证在这种场景下,一旦用户完成了登录,每个请求中都会包含jwt,都可以用来验证用户身份对路由,服务和资源的访问权限的验证。
其中,由于增加了签名,可以确定信息没有经过伪造的。
好处
- 简单: 直接放入header中发送。
- 自包含: 包含了用户所需要的所有的信息。
- 任何web支持。
- 不需要保存任何会话信息。
结构
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
包含了三个部分
- Header 头部 标题包含了令牌的元数据,并且包含签名和 / 或加密算法的类型
- Payload 负载 类似于飞机上承载的物品
- Signature 签名 / 签证
头部
JWT 的头部承载两部分信息:token 类型和采用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}
声明类型:这里是 jwt
声明加密的算法:通常直接使用 HMAC SHA256
加密算法是单向函数散列算法,常见的有 MD5、SHA、HAMC。
Payload
载荷就是存放有效信息的地方。
有效信息包含三个部分
1. 标准中注册的声明
2. 公共的声明
3. 私有的声明
标准中注册的声明
iss: jwt 签发者
sub: 面向的用户 (jwt 所面向的用户)
aud: 接收 jwt 的一方
exp: 过期时间戳 (jwt 的过期时间,这个过期时间必须要大于签发时间)
nbf: 定义在什么时间之前,该 jwt 都是不可用的.
iat: jwt 的签发时间
jti: jwt 的唯一身份标识,主要用来作为一次性 token, 从而回避重放攻击。
公共的声明
公共声明可以添加任何信息,由于可以被解密,所以不建议添加敏感信息。一般添加用户的相关信息或其他业务需要的必要信息。
私有声明
私有声明是提供者和消费者共同定义的声明,一般不建议存放敏感信息。
Signature
jwt 的第三部分是一个签证信息,这个签证信息由三部分组成:
header (base64 后的)
payload (base64 后的)
secret
这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用. 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。
密钥 secret 是保存在服务端的,服务端会根据这个密钥进行生成 token 和进行验证,所以需要保护好。
集成
maven
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
定义注解
需要登录并且具有角色才能才能进行操作的注解 LoginRequired
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginRequired {
// 是否进行校验
boolean required() default true;
// 默认管理员
RoleEnum role() default RoleEnum.ADMIN;
}
简单自定义一个实体类 User, 使用 lombok 简化实体类的编写
@Data
@Accessors(chain = true)
public class AuthUserVO extends BaseVO {
/**
* 主键
*/
private Long id;
/**
* 社交账户ID
*/
private String socialId;
/**
* 用户名
*/
private String name;
/**
* 密码
*/
private String password;
/**
* 角色主键 1 普通用户 2 admin
*/
private Long roleId;
/**
* 头像
*/
private String avatar;
private String token;
}
需要写 token 的生成方法
/**
* 生成Token
* @param authUserVO
* @return
*/
public static String getToken(AuthUserVO authUserVO) {
String sign = authUserVO.getPassword();
return JWT.create().withExpiresAt(new Date(System.currentTimeMillis()+ Constants.EXPIRE_TIME)).withAudience(JsonUtil.toJsonString(authUserVO.setPassword(null)))
.sign(Algorithm.HMAC256(sign));
}
验证jwt
这里配置拦截器验证jwt
流程
1. 从 http 请求头中取出 token,
2. 判断是否映射到方法
3. 检查是否有 passtoken 注释,有则跳过认证
4. 检查有没有需要用户登录的注解,有则需要取出并验证
5. 认证通过则可以访问,不通过会报相关错误信息
配置拦截器
在配置类上添加了注解 @Configuration,标明了该类是一个配置类并且会将该类作为一个 SpringBean 添加到 IOC 容器内
@Configuration
public class InterceptorConfig extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor())
.addPathPatterns("/**"); // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
}
@Bean
public AuthenticationInterceptor authenticationInterceptor() {
return new AuthenticationInterceptor();
}
}
在数据访问接口中加入登录操作注解
@LoginRequired
@PutMapping("/admin/v1/update")
public Result updateUser(@RequestBody AuthUserVO authUserVO) {
return authUserService.updateUser(authUserVO);
}
注销登录
保存每次生成的token,用定时器扫描过期token,每次检验看有没有,若有,直接验证失败。
/**
* 获取用户Session信息
* @return
*/
public static UserSessionVO getUserSessionInfo() {
// 获取请求对象
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
// 获取请求头Token值
String token = Optional.ofNullable(request.getHeader(Constants.AUTHENTICATION)).orElse(null);
if (StringUtils.isBlank(token)) {
return null;
}
// 获取 token 中的 user id
AuthUser authUser = null;
try {
authUser = JsonUtil.parseObject(JWT.decode(token).getAudience().get(0), AuthUser.class);
} catch (JWTDecodeException j) {
ExceptionUtil.rollback("token解析失败", ErrorConstants.INVALID_TOKEN);
}
AuthUserDao userDao = BeanTool.getBean(AuthUserDao.class);
AuthUser user = userDao.selectById(authUser.getId());
if (user == null) {
ExceptionUtil.rollback("用户不存在,请重新登录", ErrorConstants.LOGIN_ERROR);
}
// 验证 token
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
try {
jwtVerifier.verify(token);
} catch (JWTVerificationException e) {
ExceptionUtil.rollback("token验证失败", ErrorConstants.LOGIN_ERROR);
}
AuthTokenDao authTokenDao = BeanTool.getBean(AuthTokenDao.class);
Integer count = authTokenDao.selectCount(new LambdaQueryWrapper<AuthToken>().eq(AuthToken::getToken, token).eq(AuthToken::getUserId, user.getId()).ge(AuthToken::getExpireTime, LocalDateTime.now()));
if (count.equals(Constants.ZERO)) {
ExceptionUtil.rollback("token验证失败", ErrorConstants.LOGIN_ERROR);
}
UserSessionVO userSessionVO = new UserSessionVO();
userSessionVO.setName(user.getName()).setSocialId(user.getSocialId()).setRoleId(user.getRoleId()).setId(user.getId());
return userSessionVO;
}
退出
@Override
public Result logout() {
UserSessionVO userSessionInfo = SessionUtil.getUserSessionInfo();
this.authTokenDao.delete(new LambdaQueryWrapper<AuthToken>().eq(AuthToken::getUserId, userSessionInfo.getId()));
return Result.createWithSuccessMessage();
}
定时器
@Scheduled(cron = "0 0/1 * * * ?")
private void scanToken() {
log.debug(" {} 扫描过期Token", LocalDateTime.now());
authTokenDao.delete(new LambdaQueryWrapper<AuthToken>().le(AuthToken::getExpireTime, LocalDateTime.now()));
}