1. JWT简介
JSON Web Token(JWT),是一种开放的标准(RFC 7519)。
JWT可以在通信双方之间安全地传递用户身份信息,同时因为它是开放的标准,所以可以被任何一种编程语言进行支持。
JWT有三个部分组成:Header(头部)、Payload(负载)和Signature(签名)。
header.payload.signature
其中Header声明类型和签名算法,Payload声明所包含的信息,Signature用于验证JWT的合法性。
2. JWT认证流程
JWT认证流程大概分为以下几步:
1.用户提供账号密码进行登录
2.服务端验证用户提供的账号密码是否正确
3.如果账号密码正确,服务端生成一个JWT并返回给客户端
4.客户端收到JWT之后在以后的请求中带上JWT
5.服务端对JWT进行验证,如果合法则允许请求,否则返回错误信息
3. 使用Java JWT
1. 添加依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
2. JWT的创建与解析
JWT的创建有点类似于数字签名,处理过程大致分为三个步骤:
1.生成一个签名密钥
2.使用签名密钥生成JWT
3.在需要验证JWT的时候,解析JWT,并使用相同的签名密钥进行验证。
下面是一个简单的范例:
package com.example.jwt;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import javax.crypto.SecretKey;
public class JwtUtil {
private static final String KEY = "jwtsecrethhhhhhhhhhhhhhhhhhhhhhhhhhhhhh";
public static String createJwtToken(String id, String subject, String issuer, long ttlMillis) {
SecretKey key = Keys.hmacShaKeyFor(KEY.getBytes());
long nowMillis = System.currentTimeMillis();
long expMillis = nowMillis + ttlMillis;
return Jwts.builder()
.setId(id)
.setSubject(subject)
.setIssuer(issuer)
.setExpiration(new Date(expMillis))
.signWith(key, SignatureAlgorithm.HS256)
.compact();
}
public static Claims parseJwtToken(String jwt) {
SecretKey key = Keys.hmacShaKeyFor(KEY.getBytes());
return Jwts.parser()
.setSigningKey(key)
.parseClaimsJws(jwt)
.getBody();
}
}
其中createJwtToken方法用于创建JWT,parseJwtToken方法用于解析JWT。
注意在createJwtToken方法中必须指定JWT的有效期,否则默认为永久有效。
3. JWT的验证
当客户端传递了JWT以后,服务端需要对JWT进行验证,下面是一个简单的范例:
package com.example.jwt;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
@Component
public class JwtTokenValidator {
private static final Logger logger = LoggerFactory.getLogger(JwtTokenValidator.class);
public boolean validate(String jwt) {
try {
Claims claims = JwtUtil.parseJwtToken(jwt);
// TODO: 可以在这里进行权限校验
return true;
} catch (ExpiredJwtException e) {
logger.error("Token已过期:{}", jwt);
} catch (Exception e) {
logger.error("Token验证失败:{}", jwt, e);
}
return false;
}
}
其中validate方法用于验证JWT是否有效。在此处,我们只是简单判断JWT是否过期,若过期则返回错误信息,如果需要进行更复杂的校验,可以在TODO处进行实现。
4. Spring Security集成
Spring Security是一个非常流行的安全框架,可以与JWT非常好的集成。
1. 添加依赖
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
<version>1.1.0.RELEASE</version>
</dependency>
2. 配置JWT
在Spring Security的配置文件中添加JWT相关的配置:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
@Autowired
private JwtAuthenticationProvider jwtAuthenticationProvider;
@Autowired
private JwtAuthenticationFilter jwtAuthenticationFilter;
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.cors().and().csrf().disable()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
.antMatchers("/login").permitAll()
.anyRequest().authenticated()
.and()
.exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint)
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(jwtAuthenticationProvider);
}
@Bean
public JwtAuthenticationFilter jwtAuthenticationTokenFilter() throws Exception {
return new JwtAuthenticationFilter();
}
@Bean
public JwtAuthenticationProvider jwtAuthenticationProvider() {
return new JwtAuthenticationProvider();
}
@Bean
public JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint() {
return new JwtAuthenticationEntryPoint();
}
}
其中配置了几个重要的组件:
1.JwtAuthenticationEntryPoint:当用户的JWT无效时的异常处理入口;
2.JwtAuthenticationProvider:JWT的验证器;
3.JwtAuthenticationFilter:过滤器,用于在请求头中获取JWT并进行验证。
3. JWT认证
在Spring Security的UserDetailsService实现类中进行JWT的认证,下面是一个简单的范例:
package com.example.jwt.service;
import com.example.jwt.bean.JwtUser;
import com.example.jwt.dao.UserRepository;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;
import javax.crypto.SecretKey;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;
import java.util.Optional;
@Service
public class JwtUserDetailsService implements UserDetailsService {
private static final String KEY = "jwtsecrethhhhhhhhhhhhhhhhhhhhhhhhhhhhhh";
@Autowired
private UserRepository userRepository;
@Autowired
private HttpServletRequest httpServletRequest;
private static final Long EXPIRATION_TIME = 60L * 60L * 1000L;
@Override
public UserDetails loadUserByUsername(String username) {
Optional<User> optionalUser = userRepository.findByUsername(username);
if (optionalUser.isPresent()) {
User user = optionalUser.get();
return new JwtUser(user.getId(), user.getUsername(), user.getPassword());
}
return null;
}
public String createJwtToken(Authentication authentication) {
SecretKey key = Keys.hmacShaKeyFor(KEY.getBytes());
String username = authentication.getName();
long nowMillis = System.currentTimeMillis();
long expMillis = nowMillis + EXPIRATION_TIME;
return Jwts.builder()
.setSubject(username)
.setIssuer(httpServletRequest.getRequestURL().toString())
.setIssuedAt(new Date(nowMillis))
.setExpiration(new Date(expMillis))
.signWith(key, SignatureAlgorithm.HS256)
.compact();
}
public Authentication getAuthentication(String jwt) {
Claims claims = Jwts.parser()
.setSigningKey(KEY.getBytes())
.parseClaimsJws(jwt)
.getBody();
String username = claims.getSubject();
UserDetails userDetails = loadUserByUsername(username);
return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities());
}
}
其中loadUserByUsername方法用于从数据库中查询用户信息,createJwtToken方法用于创建JWT,getAuthentication方法用于根据JWT获取用户信息,如果JWT无效返回null。
4. 总结
JWT是一个非常方便的用户身份认证方式,它可以与各种编程语言非常好地进行集成,同时也可以与Spring Security等框架完美地进行结合。希望本文的介绍能够对大家有所帮助。
