以前写过一篇对于接口服务标准的文章,原文在此,外面对于安全性问题重点讲述了通过appid,appkey,timestamp,nonce以及sign来获取token,应用token来保障接口服务的平安。明天咱们来讲述一种更加便捷的形式,应用jwt来生成token。
一、JWT是什么
JSON Web Token(JWT) 定义了一种紧凑且自蕴含的形式,用于在各方之间作为 JSON 对象平安地传输信息。该信息能够被验证和信赖,因为它是通过数字签名的。JWT能够设置有效期。
JWT是一个很长的字符串,蕴含了Header,Playload和Signature三局部内容,两头用.进行分隔。
Headers
Headers局部形容的是JWT的根本信息,个别会蕴含签名算法和令牌类型,数据如下:
{
"alg": "RS256",
"typ": "JWT"
}Playload
Playload就是寄存无效信息的中央,JWT规定了以下7个字段,倡议但不强制应用:
iss: jwt签发者
sub: jwt所面向的用户
aud: 接管jwt的一方
exp: jwt的过期工夫,这个过期工夫必须要大于签发工夫
nbf: 定义在什么工夫之前,该jwt都是不可用的
iat: jwt的签发工夫
jti: jwt的惟一身份标识,次要用来作为一次性token除此之外,咱们还能够自定义内容
{
"name":"Java旅途",
"age":18
}Signature
Signature是将JWT的后面两局部进行加密后的字符串,将Headers和Playload进行base64编码后应用Headers中规定的加密算法和密钥进行加密,失去JWT的第三局部。
二、JWT生成和解析token
在应用服务中引入JWT的依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>依据JWT的定义生成一个应用RSA算法加密的,有效期为30分钟的token
public static String createToken(User user) throws Exception{
return Jwts.builder()
.claim("name",user.getName())
.claim("age",user.getAge())
// rsa加密
.signWith(SignatureAlgorithm.RS256, RsaUtil.getPrivateKey(PRIVATE_KEY))
// 有效期30分钟
.setExpiration(DateTime.now().plusSeconds(30 * 60).toDate())
.compact();
}登录接口验证通过后,调用JWT生成带有用户标识的token响应给用户,在接下来的申请中,头部携带token进行验签,验签通过后,失常拜访应用服务。
public static Claims parseToken(String token) throws Exception{
return Jwts
.parser()
.setSigningKey(RsaUtil.getPublicKey(PUBLIC_KEY))
.parseClaimsJws(token)
.getBody();
}三、token续签问题
下面讲述了对于JWT验证的过程,当初咱们思考这样一个问题,客户端携带token拜访下单接口,token验签通过,客户端下单胜利,返回下单后果,而后客户端带着token调用领取接口进行领取,验签的时候发现token生效了,这时候应该怎么办?只能通知用户token生效,而后让用户从新登录获取token?这种体验是十分不好的,oauth2在这方面做的比拟好,除了签发token,还会签发refresh_token,当token过期后,会去调用refresh_token从新获取token,如果refresh_token也过期了,那么再提醒用户去登录。当初咱们模仿oauth2的实现形式来实现JWT的refresh_token。
思路大略就是用户登录胜利后,签发token的同时,生成一个加密串作为refresh_token,refresh_token寄存在redis中,设置正当的过期工夫(个别会将refresh_token的过期工夫设置的比拟久一点)。而后将token和refresh_token响应给客户端。伪代码如下:
@PostMapping("getToken")
public ResultBean getToken(@RequestBody LoingUser user){
ResultBean resultBean = new ResultBean();
// 用户信息校验失败,响应谬误
if(!user){
resultBean.fillCode(401,"账户明码不正确");
return resultBean;
}
String token = null;
String refresh_token = null;
try {
// jwt 生成的token
token = JwtUtil.createToken(user);
// 刷新token
refresh_token = Md5Utils.hash(System.currentTimeMillis()+"");
// refresh_token过期工夫为24小时
redisUtils.set("refresh_token:"+refresh_token,token,30*24*60*60);
} catch (Exception e) {
e.printStackTrace();
}
Map<String,Object> map = new HashMap<>();
map.put("access_token",token);
map.put("refresh_token",refresh_token);
map.put("expires_in",2*60*60);
resultBean.fillInfo(map);
return resultBean;
}客户端调用接口时,在申请头中携带token,在拦截器中拦挡申请,验证token的有效性,如果验证token失败,则去redis中判断是否是refresh_token的申请,如果refresh_token验证也失败,则给客户端响应鉴权异样,提醒客户端从新登录,伪代码如下:
HttpHeaders headers = request.getHeaders();
// 申请头中获取令牌
String token = headers.getFirst("Authorization");
// 判断申请头中是否有令牌
if (StringUtils.isEmpty(token)) {
resultBean.fillCode(401,"鉴权失败,请携带无效token");
return resultBean;
}
if(!token.contains("Bearer")){
resultBean.fillCode(401,"鉴权失败,请携带无效token");
return resultBean;
}
token = token.replace("Bearer ","");
// 如果申请头中有令牌则解析令牌
try {
Claims claims = TokenUtil.parseToken(token).getBody();
} catch (Exception e) {
e.printStackTrace();
String refreshToken = redisUtils.get("refresh_token:" + token)+"";
if(StringUtils.isBlank(refreshToken) || "null".equals(refreshToken)){
resultBean.fillCode(403,"refresh_token已过期,请从新获取token");
return resultbean;
}
}refresh_token来换取token的伪代码如下:
@PostMapping("refreshToken")
public Result refreshToken(String token){
ResultBean resultBean = new ResultBean();
String refreshToken = redisUtils.get(TokenConstants.REFRESHTOKEN + token)+"";
String access_token = null;
try {
Claims claims = JwtUtil.parseToken(refreshToken);
String username = claims.get("username")+"";
String password = claims.get("password")+"";
LoginUser loginUser = new LoginUser();
loginUser.setUsername(username);
loginUser.setPassword(password);
access_token = JwtUtil.createToken(loginUser);
} catch (Exception e) {
e.printStackTrace();
}
Map<String,Object> map = new HashMap<>();
map.put("access_token",access_token);
map.put("refresh_token",token);
map.put("expires_in",30*60);
resultBean.fillInfo(map);
return resultBean;
}通过下面的剖析,咱们简略的实现了token的签发,验签以及续签问题,JWT作为一个轻量级的鉴权框架,应用起来十分不便,然而也会存在一些问题,
JWT的Playload局部只是通过base64编码,这样咱们的信息其实就齐全裸露了,个别不要将敏感信息寄存在JWT中。JWT生成的token比拟长,每次在申请头中携带token,导致申请偷会比拟大,有肯定的性能问题。JWT生成后,服务端无奈废除,只能期待JWT被动过期。
上面这段是我网上看到的一段对于JWT比拟实用的场景:
- 有效期短
- 只心愿被应用一次
比方,用户注册后发一封邮件让其激活账户,通常邮件中须要有一个链接,这个链接须要具备以下的个性:可能标识用户,该链接具备时效性(通常只容许几小时之内激活),不能被篡改以激活其余可能的账户,一次性的。这种场景就适宜应用JWT。
发表回复