Java实现JWT的Token认证机制

小咪咪 2022-02-21 16:02 924阅读 0赞

#### 基于JWT的Token认证机制实现 ####

##### 1.什么是JWT #####

JSON Web Token（JWT）是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

##### 2.JWT组成 #####

一个JWT实际上就是一个字符串，它由三部分组成，头部、载荷与签证

头部（Header）

头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等。这也可以  
被表示成一个JSON对象。

{ "typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编  
码http://base64.xpcha.com/，编码后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

> 小知识：Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2  
> 的6次方等于64，所以每6个比特为一个单元，对应某个可打印字符。三个字节有24  
> 个比特，对应于4个Base64单元，即3个字节需要用4个可打印字符来表示。JDK 中  
> 提供了非常方便的 BASE64Encoder 和 BASE64Decoder，用它们可以非常方便的  
> 完成基于 BASE64 的编码和解码

载荷（playload）

载荷就是存放有效信息的地方。

（1）标准中注册的声明（建议但不强制使用）

iss: jwt签发者
    sub: jwt所面向的用户
    aud: 接收jwt的一方
    exp: jwt的过期时间，这个过期时间必须要大于签发时间
    nbf: 定义在什么时间之前，该jwt都是不可用的.
    iat: jwt的签发时间
    jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

（2）公共的声明

公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.  
但不建议添加敏感信息，因为该部分在客户端可解密.

（3）私有的声明

私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64  
是对称解密的，意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的  
claim。这些claim跟JWT标准规定的claim区别在于：JWT规定的claim，JWT的接收方在  
拿到JWT之后，都知道怎么对这些标准的claim进行验证(还不知道是否能够验证)；而  
private claims不会验证，除非明确告诉接收方要对这些claim进行验证以及规则才行。

定义一个payload:

{ "sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密，得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

签证（signature）

JWT是一个签证信息，由三部分组成：

> header (base64后的)  
> payload (base64后的)  
> secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符  
串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第  
三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I
    kpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg
    Q

注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用  
来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流  
露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

#### Java的JJWT实现JWT ####

##### 1.什么是JJWT #####

JJWT是一个JWT创建和验证的Java库。

##### 2.token的创建 #####

（1）引入依赖

<dependency>
    	<groupId>io.jsonwebtoken</groupId>
    	<artifactId>jjwt</artifactId>
    	<version>0.6.0</version>
    </dependency>

（2）创建类CreatejwtTest，用于生成token

public class CreateJwtTest { 
    	public static void main(String[] args) { 
    		JwtBuilder builder= Jwts.builder().setId("888")
    			.setSubject("小白")
    			.setIssuedAt(new Date())//用于设置签发时间
    			.signWith(SignatureAlgorithm.HS256,"wangmh");//用于设置签名秘钥
    		System.out.println( builder.compact() );
    	}
    }

（3）测试

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1MjM0M
    TM0NTh9.gq0J‐cOM_qCNqU_s‐d_IrRytaNenesPmqAIhQpYXHZk
    #再次运行，每次运行结果都会不一样，因为我们载荷中包含了时间

##### 3.token的解析 #####

public class ParseJwtTest { 
    	public static void main(String[] args) { 
    		String compactJws="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1MjM0MTM0NTh9.gq0J‐cOM_qCNqU_s‐d_IrRytaNenesPmqAIhQpYXHZk";
    		Claims claims =
    		Jwts.parser().setSigningKey("wangmh").parseClaimsJws(compactJws).getBody();
    		System.out.println("id:"+claims.getId());
    		System.out.println("subject:"+claims.getSubject());
    		System.out.println("IssuedAt:"+claims.getIssuedAt());
    	}
    }
    //试着将token或签名秘钥篡改一下，会发现运行时就会报错，所以解析token也就是验证token

##### 4.token过期校验 #####

有很多时候，我们并不希望签发的token是永久生效的，所以我们可以为token添加一个  
过期时间。

public class CreateJwtTest2 { 
    	public static void main(String[] args) { 
    	//为了方便测试，我们将过期时间设置为1分钟
    	long now = System.currentTimeMillis();//当前时间
    	long exp = now + 1000*60;//过期时间为1分钟
    	JwtBuilder builder= Jwts.builder().setId("888")
            .setSubject("小白")
            .setIssuedAt(new Date())
            .signWith(SignatureAlgorithm.HS256,"wangmh")
            .setExpiration(new Date(exp));//用于设置过期时间
    	System.out.println( builder.compact() );
    	}
    }

public class ParseJwtTest { 
    	public static void main(String[] args) { 
    	String compactJws="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1MjM0MTY1NjksImV4cCI6MTUyMzQxNjYyOX0.Tk91b6mvyjpKcldkic8DgXz0zsPFFnRgTgkgcAsa9cc";
    	Claims claims =Jwts.parser().setSigningKey("wangmh").parseClaimsJws(compactJws).getBody();
    	System.out.println("id:"+claims.getId());
    	System.out.println("subject:"+claims.getSubject());
    	SimpleDateFormat sdf=new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");
    	System.out.println("签发时间:"+sdf.format(claims.getIssuedAt()));
    	System.out.println("过期时间:"+sdf.format(claims.getExpiration()));
    	System.out.println("当前时间:"+sdf.format(new Date()) );
    	}
    }
    
    //测试运行，当未过期时可以正常读取，当过期时会引发io.jsonwebtoken.ExpiredJwtException异常。

##### 5.自定义claims #####

我们刚才的例子只是存储了id和subject两个信息，如果你想存储更多的信息（例如角  
色）可以定义自定义claims

public class CreateJwtTest3 { 
    	public static void main(String[] args) { 
    		//为了方便测试，我们将过期时间设置为1分钟
    		long now = System.currentTimeMillis();//当前时间
    		long exp = now + 1000*60;//过期时间为1分钟
    		JwtBuilder builder= Jwts.builder().setId("888")
                .setSubject("小白")
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256,"wangmh")
                .setExpiration(new Date(exp))
                .claim("roles","admin")
                .claim("logo","logo.png");
    		System.out.println( builder.compact() );
            
            
            String compactJwt = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTQ5NDcxNTksImV4cCI6MTU1NDk0NzIxOSwicm9sZXMiOiJhZG1pbiIsImxvZ28iOiJsb2dvLnBuZyJ9.HD_myvdNjOGGnu4p8Z8QX9dnXHJEZa0nsLKxOFRiYJY";
            Claims claims=Jwts.parser().setSigningKey("wangmh").parseClaimsJws(compactJwt).getBody();
            System.out.println("id:"+claims.getId());
            System.out.println("subject:"+claims.getSubject());
            System.out.println("roles:"+claims.get("roles"));
            System.out.println("logo:"+claims.get("logo"));
            SimpleDateFormat sdf=new SimpleDateFormat("yyyy‐MM‐dd hh:mm:ss");
            System.out.println("签发时间:"+sdf.format(claims.getIssuedAt()));
            System.out.println("过期时间:"+sdf.format(claims.getExpiration()));
            System.out.println("当前时间:"+sdf.format(new Date()) );
    	}
    }

##### 6.案例实现 #####

//JwtUtil.java
    @ConfigurationProperties("jwt.config")
    public class JwtUtil { 
        private String key ;
        private long ttl ;//一个小时
        public String getKey() { 
            return key;
        }
        public void setKey(String key) { 
            this.key = key;
        }
        public long getTtl() { 
            return ttl;
        }
    
        public void setTtl(long ttl) { 
            this.ttl = ttl;
        }
    
        /** * 生成JWT * * @param id * @param subject * @return */
        public String createJWT(String id, String subject, String roles) { 
            long nowMillis = System.currentTimeMillis();
            Date now = new Date(nowMillis);
            JwtBuilder builder = Jwts.builder().setId(id)
                    .setSubject(subject)
                    .setIssuedAt(now)
                    .signWith(SignatureAlgorithm.HS256, key).claim("roles", roles);
            if (ttl > 0) { 
                builder.setExpiration( new Date( nowMillis + ttl));
            }
            return builder.compact();
        }
    
        /** * 解析JWT * @param jwtStr * @return */
        public Claims parseJWT(String jwtStr){ 
            return  Jwts.parser()
                    .setSigningKey(key)
                    .parseClaimsJws(jwtStr)
                    .getBody();
        }
    }

#配置文件
    jwt:
    	config:
    		key: wangmh
        	ttl: 3600000

###### 登录鉴权 ######

//Controller.java
    @Autowired
    private JwtUtil jwtUtil;
    
    @RequestMapping(value="/login",method=RequestMethod.POST)
    public Result login(@RequestBody Map<String,String> loginMap){ 
    	Admin admin =adminService.findByLoginnameAndPassword(loginMap.get("loginname"),loginMap.get("password"));
    	if(admin!=null){ 
    		//生成token
    		String token = jwtUtil.createJWT(admin.getId(),admin.getLoginname(), "admin");
    		Map map=new HashMap();
    		map.put("token",token);
    		map.put("name",admin.getLoginname());//登陆名
    		return new Result(true,StatusCode.OK,"登陆成功",map);
    	}else{ 
    		return new Result(false,StatusCode.LOGINERROR,"用户名或密码错误");
    	}
    }

###### 删除用户功能鉴权 ######

@Autowired
    private HttpServletRequest request;
    /** * 删除 * @param id */
    @RequestMapping(value="/{id}",method= RequestMethod.DELETE)
    public Result delete(@PathVariable String id ){ 
    	String authHeader = request.getHeader("Authorization");//获取头信息
    	if(authHeader==null){ 
    		return new Result(false,StatusCode.ACCESSERROR,"权限不足");
    	} 
       	if(!authHeader.startsWith("Bearer ")){ 
    		return new Result(false,StatusCode.ACCESSERROR,"权限不足");
    	} 
        String token=authHeader.substring(7);//提取token
    	Claims claims = jwtUtil.parseJWT(token);
    	if(claims==null){ 
    		return new Result(false,StatusCode.ACCESSERROR,"权限不足");
    	} 
        if(!"admin".equals(claims.get("roles"))){ 
    		return new Result(false,StatusCode.ACCESSERROR,"权限不足");
    	} 
        userService.deleteById(id);
    	return new Result(true,StatusCode.OK,"删除成功");
    }

###### 使用拦截器方式实现token鉴权 ######

> 如果我们每个方法都去写一段代码，冗余度太高，不利于维护。因此我们可以使用拦截器的方式去实现token鉴权

1.添加拦截器

> Spring为我们提供了org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器，继承此类，可以非常方便的实现自己的拦截器。他有三个方法：分别实现预处理、后处理（调用了Service并返回ModelAndView，但未进行页面渲染）、返回处理（已经渲染了页面）
> 
> 在preHandle中，可以进行编码、安全控制等处理；  
> 在postHandle中，有机会修改ModelAndView；  
> 在afterCompletion中，可以根据ex是否为null判断是否发生了异常，进行日志记录。

1.1创建拦截器类

//JwtFilter.java
    @Component
    public class JwtFilter extends HandlerInterceptorAdapter { 
    	@Autowired
    	private JwtUtil jwtUtil;
    	@Override
    	public boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler)throws Exception { 
    		System.out.println("经过了拦截器");
            final String authHeader = request.getHeader("Authorization");
    		if (authHeader != null && authHeader.startsWith("Bearer ")) { 
    			final String token = authHeader.substring(7); // The partafter "Bearer "
    			Claims claims = jwtUtil.parseJWT(token);
    			if (claims != null) { 
    				if("admin".equals(claims.get("roles"))){ //如果是管理员
    					request.setAttribute("admin_claims", claims);
    				} 
                    if("user".equals(claims.get("roles"))){ //如果是用户
    					request.setAttribute("user_claims", claims);
    				}
    			}
    		}
    		return true;
    	}
    }

1.2配置拦截器类

@Configuration
    public class ApplicationConfig extends WebMvcConfigurationSupport { 
    	@Autowired
    	private JwtFilter jwtFilter;
    	@Override
    	public void addInterceptors(InterceptorRegistry registry) { 
    		registry.addInterceptor(jwtFilter).
    			addPathPatterns("/**").
    			excludePathPatterns("/**/login");
    	}
    }

1.3删除功能实现

/** * 删除 * @param id */
    @RequestMapping(value="/{id}",method= RequestMethod.DELETE)
    public Result delete(@PathVariable String id ){ 
    	Claims claims=(Claims) request.getAttribute("admin_claims");
    	if(claims==null){ 
    		return new Result(true,StatusCode.ACCESSRROR,"无权访问");
    	} 
        userService.deleteById(id);
    	return new Result(true,StatusCode.OK,"删除成功");
    }