Spring – 权限管理 – JWT
简介
JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。
JWT最重要的作用就是对 token信息的防伪作用。
JWT 组成部分
一个JWT由三个部分组成:JWT头、有效载荷、签名哈希
JWT头
JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。
{
"alg": "HS256",
"typ": "JWT"
}在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);
typ属性表示令牌的类型,JWT令牌统一写为JWT。
最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。
有效载荷
有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
iss: jwt签发者
sub: 主题
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。{
"name": "Helen",
"role": "editor",
"avatar": "helen.jpg"
}请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
JSON对象也使用Base64 URL算法转换为字符串保存。
签名哈希
签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret) ==> 签名hash在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。
Base64URL算法
如前所述,JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。
作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/"和"=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"="去掉,"+"用"-"替换,"/"用"_"替换,这就是Base64URL算法。
SpringBoot 中集成JWT
引入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
</dependency>
添加JWT帮助类
package cn.unsoft.utils;
import io.jsonwebtoken.*;
import org.springframework.util.StringUtils;
import java.util.Date;
/**
* JWT 工具类
* 用于利用生成 Token 签名码
* 也用于利用 Token 码获取用户信息
*/
public class JwtHelper {
/**
* 定义 Token 有效时间
*/
private static long tokenExpiration = 24 * 60 * 60 * 1000;
/**
* 用于签名 Token 的密码
*/
private static String tokenSignKey = "123456";
/**
* 通过用户 ID 和用户名 生成一个 Token
* Jwt 支持通过多个原数据加密 Token,如果在实际应用需要多个数据来加密 Token,也可以加进去
* @param userId 用户ID
* @param username 用户名
* @return Token 码
*/
public static String createToken(Long userId, String username) {
String token = Jwts.builder()
// 用于分类,Jwt 通过 Token 查询回原数据时需要
.setSubject("AUTH-USER")
// 设置 Token 有效时间
.setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
// 加入原数据,用于生成 Token,如果有多个数据需要添加进去加密也可以加进去
.claim("userId", userId)
.claim("username", username)
// 加密算法
.signWith(SignatureAlgorithm.HS512, tokenSignKey)
// 压缩算法
.compressWith(CompressionCodecs.GZIP)
.compact();
return token;
}
/**
* 通过 提供 Token 获取用户ID
* @param token token
* @return 该 token 的用户 ID
*/
public static Long getUserId(String token) {
try {
if (StringUtils.hasLength(token)) return null;
// 通过提供加密密码,和 token 还原出原数据
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
Claims claims = claimsJws.getBody();
Integer userId = (Integer) claims.get("userId");
return userId.longValue();
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 通过提供 token 获取用户名信息
* @param token token
* @return 返回该 token 的用户名
*/
public static String getUsername(String token) {
try {
if (StringUtils.hasLength(token)) return "";
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);
Claims claims = claimsJws.getBody();
return (String) claims.get("username");
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
}
登陆方法案例
我们在这里举一个登陆时的案例:
@PostMapping("/login")
public Result login(@RequestBody LoginVo loginVo) {
String username = loginVo.getUsername();
String password = loginVo.getUsername();
String password_MD5 = MD5.encrypt(password);
/**
* 登陆成功有三个条件
* 1.用户名是否存在
* 2.密码是否正确
* 2.1.密码是经过加密的,因此也需要对接收回来的密码进行加密后对比
* MD5加密模块放在 common-util 中
* 3.status 是否为 1 ,为0的话说明该账户是禁用的
*/
LambdaQueryWrapper<SysUser> loginWrapper = new LambdaQueryWrapper<>();
loginWrapper.eq(SysUser::getUsername, username);
loginWrapper.eq(SysUser::getPassword, password_MD5);
loginWrapper.eq(SysUser::getStatus, 1);
SysUser user = sysUserService.getOne(loginWrapper);
if (user == null) {
throw new UnsoftException(201, "用户或密码不正确");
}
// 如果用户和密码都正确的情况下,生成一个 Token,并把它打包成 Map 传给前端
String token = JwtHelper.createToken(user.getId(), user.getUsername());
Map<String, String> loginInfo = new HashMap<>();
loginInfo.put("token", token);
return Result.ok(loginInfo);
}
/**
* 登陆成功后,会拿 token 去获得账户信息
*
* @param token 登陆后取得的 token
* @return 返回该用户的详细信息
*/
@GetMapping("info")
public Result info(@RequestParam("token") String token) {
HashMap<String, String> info = new HashMap<>();
info.put("roles", "[admin]");
info.put("name", "admin");
info.put("avatar", "https://wpimg.wallstcn.com/f778738c-e4f8-4870-b634-56703b4acafe.gif");
return Result.ok(info);
}
THE END
0
二维码
打赏
海报
Spring – 权限管理 – JWT
简介
JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
JWT的声明一般被用来在身份提供者和服务提供者……
TZMing花园 - 软件分享与学习
共有 0 条评论