今天帶大家來(lái)認(rèn)識(shí)一下JWT。

JWT簡(jiǎn)介

JWT（Json Web Token）是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于 Json 的開(kāi)放標(biāo)準(zhǔn)。JWT 的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息，以便于從資源服務(wù)器獲取資源。

基于token的鑒權(quán)機(jī)制

基于token的鑒權(quán)機(jī)制類似于http協(xié)議也是無(wú)狀態(tài)的，它不需要在服務(wù)端去保留用戶的認(rèn)證信息或者會(huì)話信息。這就意味著基于token認(rèn)證機(jī)制的應(yīng)用不需要去考慮用戶在哪一臺(tái)服務(wù)器登錄了，由服務(wù)器通過(guò)秘鑰（serectkey）然后把用戶id以及其他信息包裝進(jìn)行一系列的加密算法生成，用戶登錄的成功，順帶把這個(gè)token返回到客戶端，用戶以后拿著token來(lái)訪問(wèn)相關(guān)資源，服務(wù)器接收到token，通過(guò)serectkey然后通過(guò)特定算法，解析出這個(gè)token中的用戶id，解析成功！那么這個(gè)人就是該用戶，然后通過(guò)解析出的id進(jìn)行該用戶的相關(guān)操作。這就為應(yīng)用的擴(kuò)展提供了便利。

JWT的認(rèn)證流程如下：

1. 首先，前端通過(guò)Web表單將自己的用戶名和密碼發(fā)送到后端的接口，這個(gè)過(guò)程一般是一個(gè)POST請(qǐng)求
2. 后端核對(duì)用戶名和密碼成功后，將包含用戶信息的數(shù)據(jù)作為JWT的Payload，將其與JWT Header分別進(jìn)行Base64編碼拼接后簽名，形成一個(gè)JWT Token，形成的JWT Token就是一個(gè)如同{header}.{payload}.{signature}的字符串后端將JWT Token字符串作為登錄成功的結(jié)果返回給前端。前端可以將返回的結(jié)果保存在瀏覽器中，退出登錄時(shí)刪除保存的JWT Token即可.
3. 前端在每次請(qǐng)求時(shí)將JWT Token放入HTTP請(qǐng)求頭中,后端檢查前端傳過(guò)來(lái)的JWT Token，驗(yàn)證其有效性，比如檢查簽名是否正確、是否過(guò)期、token的接收方是否是自己等等
4. 驗(yàn)證通過(guò)后，后端解析出JWT Token中包含的用戶信息，進(jìn)行其他邏輯操作(一般是根據(jù)用戶信息得到權(quán)限等)，返回結(jié)果

注：這個(gè)token必須要在每次請(qǐng)求時(shí)傳遞給服務(wù)端，它應(yīng)該保存在請(qǐng)求頭里， 另外，服務(wù)端要支持CORS(跨來(lái)源資源共享)策略，一般我們?cè)诜?wù)端這么做

就可以了Access-Control-Allow-Origin:

JWT的構(gòu)成

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJ0ZXN0OTUyNyIsImlhdCI6MTY1NjU1OTY2OCwic3ViIjoie1widXNlcklkXCI6XCI5NTI3XCIsXCJ1c2VyTmFtZVwiOlwidGVzdDk1MjdcIn0iLCJleHAiOjE2NTY1NjE0Njh9.7oot0glDxaL-g7pOJ2mZld2VLRhpo0h5y_BbVI4ZolA

第一部分我們稱它為頭部（header)，第二部分我們稱其為載荷（payload，類似于飛機(jī)上承載的物品)，第三部分是簽證（signature)。

頭部（header)

jwt的頭部承載兩部分信息：

• 聲明類型，這里是jwt
• 聲明加密的算法，通常直接使用 HMAC SHA256。這的加密算法也就是簽名算法。

{ "alg":"HS256" } 經(jīng)過(guò)Base64編碼之后 ewogICAgImFsZyI6IkhTMjU2Igp9

載荷（payload）

載荷就是存放有效信息的地方。這些有效信息包含三個(gè)部分

• 標(biāo)準(zhǔn)中注冊(cè)的聲明
• 公共的聲明
• 私有的聲明

{
    "sub":{"userId":"9527","userName":"test9527"},
    "exp":1656561468,
    "iat":1656559668,
    "jti":"test9527"
}

• sub: 主體，一般是用戶信息，最好不要放入敏感信息
• exp: jwt的過(guò)期時(shí)間，這個(gè)過(guò)期時(shí)間必須要大于簽發(fā)時(shí)間
• iat: jwt的簽發(fā)時(shí)間
• jti: jwt的唯一身份標(biāo)識(shí)

簽證（signature）

這個(gè)部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過(guò)header中聲明的加密方式進(jìn)行加鹽secret組合加密，然后就構(gòu)成了jwt的第三部分。signature顧名思義就是簽名，簽名一般就是用一些算法生成一個(gè)能夠認(rèn)證身份的字符串,secret配置在服務(wù)器端，不能泄露出去，就可以自己給自己簽發(fā)token了。

JWT的使用（JAVA）

創(chuàng)建一個(gè)新項(xiàng)目，引入jwt包

< dependency >
    < groupId >io.jsonwebtoken< /groupId >
    < artifactId >jjwt< /artifactId >
    < version >0.9.0< /version >
< /dependency >

JWT工具類：

public class JwtUtil {
    //加密 解密時(shí)的密鑰 用來(lái)生成key
    public static final String JWT_KEY = "secret";
     // 過(guò)期時(shí)間30分鐘
    private static final long EXPIRE_TIME = 30 * 60 * 1000;
      //生成加密后的秘鑰 secretKey
      
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
    public static String createJWT(String id, String subject){
   
           //指定簽名的時(shí)候使用的簽名算法，也就是header那部分，jjwt已經(jīng)將這部分內(nèi)容封裝好了。
           SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
           //生成JWT的時(shí)間
           long nowMillis = System.currentTimeMillis();
           Date now = new Date(nowMillis);
           //生成簽名的時(shí)候使用的秘鑰secret,這個(gè)方法本地封裝了的，一般可以從本地配置文件中讀取，切記這個(gè)秘鑰不能外露哦。它就是你服務(wù)端的私鑰，在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。
           SecretKey key = generalKey();
           //這里其實(shí)就是new一個(gè)JwtBuilder，設(shè)置jwt的body
           JwtBuilder builder = Jwts.builder()
           //如果有私有聲明，一定要先設(shè)置這個(gè)自己創(chuàng)建的私有的聲明，這個(gè)是給builder的claim賦值，一旦寫(xiě)在標(biāo)準(zhǔn)的聲明賦值之后，就是覆蓋了那些標(biāo)準(zhǔn)的聲明的
                   .setClaims(claims)
           //設(shè)置jti(JWT ID)：是JWT的唯一標(biāo)識(shí)，根據(jù)業(yè)務(wù)需要，這個(gè)可以設(shè)置為一個(gè)不重復(fù)的值，主要用來(lái)作為一次性token,從而回避重放攻擊。
                   .setId(id)
           //iat: jwt的簽發(fā)時(shí)間
                   .setIssuedAt(now)
           //sub(Subject)：代表這個(gè)JWT的主體，即它的所有人，這個(gè)是一個(gè)json格式的字符串，可以存放什么userid，roldid之類的，作為什么用戶的唯一標(biāo)志。
                   .setSubject(subject)
           //設(shè)置簽名使用的簽名算法和簽名使用的秘鑰
                   .signWith(signatureAlgorithm, key);
   
               long expMillis = nowMillis + EXPIRE_TIME;
               Date exp = new Date(expMillis);
               //設(shè)置過(guò)期時(shí)間
               builder.setExpiration(exp);
           //就開(kāi)始?jí)嚎s為xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx這樣的jwt
           return builder.compact();
       }
    /**
     * 獲得token中的信息無(wú)需secret解密也能獲得
     * token中包含的用戶名
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT._decode_(token);
            return jwt.getClaim("userName").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}

• 創(chuàng)建controller類
• 
  訪問(wèn)測(cè)試
  
  拿到的token可以使用Base64解碼，可以看到，能看到用戶信息，所以，token中不要帶有敏感信息，防止泄露。
  
  使用該token調(diào)用getUser接口，可以正確解析
  
  下面我們不使用getToken獲取token，而是偽造一個(gè)token，

{
    "sub":{
        "userId":"001",
        "userName":"test001"
    },
    "exp":1656561468,
    "iat":1656559668,
    "jti":"test001"
}

再組合header,payload和signature，得到新的token訪問(wèn)getUser

eyJhbGciOiJIUzI1NiJ9.ewogICAgInN1YiI6ewogICAgICAgICJ1c2VySWQiOiIwMDEiLAogICAgICAgICJ1c2VyTmFtZSI6InRlc3QwMDEiCiAgICB9LAogICAgImV4cCI6MTY1NjU2MTQ2OCwKICAgICJpYXQiOjE2NTY1NTk2NjgsCiAgICAianRpIjoidGVzdDAwMSIKfQ==.7oot0glDxaL-g7pOJ2mZld2VLRhpo0h5y_BbVI4ZolA

得到結(jié)果如下：無(wú)法正確解析token，說(shuō)明此token無(wú)效最后， JWT過(guò)期時(shí)間要設(shè)置適宜 ,過(guò)長(zhǎng)，可能會(huì)被截取到，造成用戶信息泄露安全等問(wèn)題；過(guò)短用戶體驗(yàn)不佳。