一、概述
JWT,全称是 Json Web Token,是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。
JWT 是为了在网络应用环境间传递声明而执行的一种基于JSON
的开放标准((RFC 7519), 定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
JWT请求流程
- 用户使用账号和面发出post请求;
- 服务器使用私钥创建一个jwt;
- 服务器返回这个jwt给浏览器;
- 浏览器将该jwt串在请求头中像服务器发送请求;
- 服务器验证该jwt;
- 返回响应的资源给浏览器。
JWT的主要应用场景
身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。
优点
- 简洁(Compact) 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
- 自包含(Self-contained) 负载中包含了所有用户所需要的信息,避免了多次查询数据库
- 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
- 不需要在服务端保存会话信息,特别适用于分布式微服务
缺点
- 续签问题,这是被很多人诟病的问题之一,传统的cookie+session的方案天然的支持续签,但是jwt由于服务端不保存用户状态,因此很难完美解决续签问题,如果引入redis,虽然可以解决问题,但是jwt也变得不伦不类了。
- 注销问题,由于服务端不再保存用户信息,所以一般可以通过修改secret来实现注销,服务端secret修改后,已经颁发的未过期的token就会认证失败,进而实现注销,不过毕竟没有传统的注销方便。
- 密码重置,密码重置后,原本的token依然可以访问系统,这时候也需要强制修改secret。
- 基于第2点和第3点,一般建议不同用户取不同secret。
JWT的结构
JWT是由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串。
就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT包含了三部分:Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型)Payload 负载 (类似于飞机上承载的物品)Signature 签名/签证
JWT包含的三部分数据:
- Header:头部,通常头部有两部分信息:
- 声明类型,这里是JWT
- 加密算法,自定义
- 我们会对头部进行Base64Url编码(可解码),得到第一部分数据。
- Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了7个示例信息:
- iss (issuer):表示签发人
- exp (expiration time):表示token过期时间
- sub (subject):主题
- aud (audience):受众
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号
- 这部分也会采用Base64Url编码,得到第二部分数据。
- Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥secret(密钥保存在服务端,不能泄露给客户端),通过Header中配置的加密算法生成。用于验证整个数据完整和可靠性。
生成的数据格式如下图:
数据通过 .
隔开成了三部分,分别对应前面提到的三部分
二、配置
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
<!-- 其他相关的依赖 -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.47</version>
</dependency>
三、注解
首先声明两个注解
不携带token的注解:
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface WithoutToken {
boolean required() default true;
}
需要携带token的注解:
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface WithToken {
boolean required() default true;
}
@Target
: 注解的作用目标
- ElementType.TYPE 接口、类、枚举、注解
- ElementType.FIELD 字段、枚举的常量
- ElementType.METHOD 方法
- ElementType.PARAMETER 方法参数
- ElementType.CONSTRUCTOR —构造函数
- ElementType.LOCAL_VARIABLE 局部变量
- ElementType.ANNOTATION_TYPE 注解
- ElementType.PACKAGE 包
@Retention
: 注解的保留位置
- RetentionPolicy.SOURCE 这种类型的Annotations只在源代码级别保留,编译时就会被忽略,在class字节码文件中不包含。
- RetentionPolicy.CLASS 这种类型的Annotations编译时被保留,默认的保留策略,在class文件中存在,但JVM将会忽略,运行时无法获得。
- RetentionPolicy.RUNTIME 这种类型的Annotations将被JVM保留,所以他们能在运行时被JVM或其他使用反射机制的代码所读取和使用。
@Document
: 说明该注解将被包含在javadoc中
@Inherited
: 说明子类可以继承父类中的该注解
四、拦截器
拦截所有请求:
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor())
.addPathPatterns("/**"); // 拦截所有请求,通过判断是否有 @WithToken 注解,决定是否需要携带token
}
@Bean
public AuthenticationInterceptor authenticationInterceptor() {
return new AuthenticationInterceptor();
}
}
InterceptorRegistry 内的 addInterceptor 需要一个实现 HandlerInterceptor 接口的拦截器实例,addPathPatterns 方法用于设置拦截器的过滤路径规则。
HandlerInterceptor 的拦截器实例:
public class AuthenticationInterceptor implements HandlerInterceptor {
@Autowired
UserService userService;
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
// 如果不是映射到方法直接通过
if(!(object instanceof HandlerMethod)){
return true;
}
HandlerMethod handlerMethod = (HandlerMethod)object;
Method method = handlerMethod.getMethod();
// 检查是否有WithoutToken注释,有则跳过认证
if (method.isAnnotationPresent(WithoutToken.class)) {
WithoutToken WithoutToken = method.getAnnotation(WithoutToken.class);
if (WithoutToken.required()) {
return true;
}
}
// 检查有没有需要用户权限的注解
if (method.isAnnotationPresent(WithToken.class)) {
WithToken WithToken = method.getAnnotation(WithToken.class);
String token = httpServletRequest.getHeader("Authorization");// 从 http 请求头中取出 token
if (WithToken.required()) {
// 执行认证
if (token == null) {
throw new RuntimeException("请携带token访问");
}
// 获取 token 中的 user id
String userId;
try {
userId = JWT.decode(token).getAudience().get(0);
} catch (JWTDecodeException j) {
throw new RuntimeException("401 授权失败");
}
User user = userService.query(Long.parseLong(userId));
if (user == null) {
throw new RuntimeException("用户不存在");
}
// 验证 token
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
try {
jwtVerifier.verify(token);
} catch (JWTVerificationException e) {
throw new RuntimeException("401");
}
return true;
}
}
// 默认不需要携带token
return true;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
在请求时, 如果控制器方法中添加了 WithToken
注解, 需要携带 Authorization
请求头, 如果添加了 WithoutToken
注解或没有添加这两个注解, 默认不需要携带 Authorization
请求头。
如果携带了 Authorization
请求头, 通过 JWT.decode
解码 token, 并到数据库中查找是否存在此用户, 并且签名匹配(此处使用了用户的密码进行签名)
HandlerInterceptor 接口主要定义了三个方法:
preHandle
预处理回调方法,实现处理器的预处理,第三个参数为响应的处理器,自定义Controller,返回值为true表示继续流程(如调用下一个拦截器或处理器)或者接着执行 postHandle()和afterCompletion();false表示流程中断,不会继续调用其他的拦截器或处理器,中断执行。postHandle
后处理回调方法,实现处理器的后处理(DispatcherServlet进行视图返回渲染之前进行调用),此时我们可以通过modelAndView(模型和视图对象)对模型数据进行处理或对视图进行处理,modelAndView也可能为null。afterCompletion
整个请求处理完毕回调方法,该方法也是需要当前对应的Interceptor的preHandle()的返回值为true时才会执行,也就是在DispatcherServlet渲染了对应的视图之后执行。用于进行资源清理。整个请求处理完毕回调方法。如性能监控中我们可以在此记录结束时间并输出消耗时间,还可以进行一些资源清理,类似于try-catch-finally中的finally,但仅调用处理器执行链中
主要流程:
- 判断是否映射到方法
- 检查是否有WithoutToken注释,有则跳过认证
- 从 http 请求头中取出 Authorization
- 检查有没有WithToken注解,有则需要取出token并验证
- 认证通过则可以访问,不通过会报相关错误信息
五、控制器
@RestController
@RequestMapping(value="/user")
public class UserController {
@Autowired
private UserService userService;
@Autowired
private TokenService tokenService;
// 登录
@PostMapping("login")
public Object login(@RequestBody User user){
JSONObject jsonObject = new JSONObject();
User userForBase = userService.findByUsername(user.getUsername());
if (userForBase==null) {
jsonObject.put("message","登录失败,用户不存在");
} else {
if (!userForBase.getPassword().equals(user.getPassword())){
jsonObject.put("message","登录失败,密码错误");
} else {
String token = tokenService.getToken(userForBase);
jsonObject.put("token", token);
jsonObject.put("user", userForBase);
}
}
return jsonObject;
}
// 普通接口
@WithToken
@GetMapping("/msg")
public String getMsg(){
return "你已通过验证";
}
}
这里, 通过 /user/login
接口返回token
创建token的Service如下:
@Service("TokenService")
public class TokenService {
public String getToken(User user) {
String token="";
token= JWT.create().withAudience(user.getId())// 将 user id 保存到 token 里面
.sign(Algorithm.HMAC256(user.getPassword()));// 以 password 作为 token 的密钥
return token;
}
}
这里使用 JWT.create
创建 token, 并使用用户的密码进行签名, 签名方式为 HMAC256
附上实体类:
@Alias("user")
@Data
public class User implements Serializable {
private Long id;
private String username;
private String password;
}
dao层和service层代码就不贴了,mapper如下:
<select id="findByUsername" resultType="user">
select * from user
where username=#{username}
</select>
测试: