Loading... ## 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 ```json { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } ``` 以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(这样修改这个数据会导致签名验证那一关过不去)。 ## JWT 的数据结构 实际的 JWT 大概就像下面这样。 ![](https://assets.fangshirui.cn/typecho/uploads/2020/09/3193623952.jpg) 它是一个很长的字符串,中间用点(`.`)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。 JWT 的三个部分依次如下。 * Header(头部) * Payload(负载) * Signature(签名) ### Header 它的样子是这样 ``` { "alg": "HS256", "typ": "JWT" } ``` 上面代码中,`alg`属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);`typ`属性表示这个令牌(token)的类型(type),JWT 令牌统一写为`JWT`。 最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。 ### Payload Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用 ``` iss (issuer):签发人 exp (expiration time):过期时间 sub (subject):主题 aud (audience):受众 nbf (Not Before):生效时间 iat (Issued At):签发时间 jti (JWT ID):编号 ``` 注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分 这个 JSON 对象也要使用 Base64URL 算法转成字符串。 ### Signature Signature 部分是对前两部分的签名,防止数据篡改。 首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。 ``` HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` ## jwt的使用和特点 使用注意:客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。 此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息`Authorization`字段里面。 (1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。 (2)JWT 不加密的情况下,不能将秘密数据写入 JWT。 (3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。 (4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。 (5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。 (6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。 ## 代码实例 生成token ```java /** * 根密码 */ public static final String ROOT_PASSWORD = "123456"; public String getToken(User user) { String token; // 将 user id 保存到 token 里面 // 以 ROOT_ PASSWORD作为 token 的密钥 // expiresAt 设置过期时间 设置为一周 token= JWT.create().withAudience( ((Integer)user.getId()).toString() ) .withExpiresAt(new Date(System.currentTimeMillis() + 60 * 60 * 1000 * 24 * 7)) .sign(Algorithm.HMAC256(ROOT_PASSWORD)); return token; } ``` 验证token签名信息 ```java // 指定哈希算法和 根密码 他们可以将前两个数据段哈希成第三个数据段签名 再通过比较这个签名,就知道到底有没有被篡改了。 JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(TokenService.ROOT_PASSWORD)).build(); try{ jwtVerifier.verify(token); }catch (JWTVerificationException e){ throw new RuntimeException("token不正确或已过期"); } ``` 最后修改:2020 年 12 月 10 日 08 : 27 PM © 允许规范转载