利用JWT如何实现对API的授权访问详解_Java教程

什么是jwt

jwt(json web token)是一个开放标准（rfc 7519），它定义了一种紧凑且独立的方式，可以在各个系统之间用json作为对象安全地传输信息，并且可以保证所传输的信息不会被篡改。

「jwt」由三部分构成

信息头：指定了使用的签名算法
声明部分：其中也可以包含超时时间
基于指定的算法生成的签名

通过这三部分信息，api 服务端可以根据「jwt」信息头和声明部分的信息重新生成签名。之所以可以这样做，是因为生成签名需要的秘钥存放在服务器端。

				?

									jwtauth.new("hs256", []byte("k8uemdpyb9awfkzs"), nil)

如果这个签名秘钥比较简单，建议立刻换一个复杂一些的，更改以后会使所有已经产生的「jwt」失效，强制客户端重新从服务器获取授权。

jwt通常有两种应用场景：

授权。这是最常见的jwt使用场景。一旦用户登录，每个后续请求将包含一个jwt，作为该用户访问资源的令牌。
信息交换。可以利用jwt在各个系统之间安全地传输信息，jwt的特性使得接收方可以验证收到的内容是否被篡改。

本文讨论第一点，如何利用jwt来实现对api的授权访问。这样就只有经过授权的用户才可以调用api。

jwt的结构

利用JWT如何实现对API的授权访问详解

jwt由三部分组成，用.分割开。

header

第一部分为header，通常由两部分组成：令牌的类型，即jwt，以及所使用的加密算法。

				?

									{

									 "alg": "hs256",

									 "typ": "jwt"

									}

base64加密后，就变成了:

eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9

payload

第二部分为payload，里面可以放置自定义的信息，以及过期时间、发行人等。

				?

									{

									 "sub": "1234567890",

									 "name": "john doe",

									 "iat": 1516239022

									}

base64加密后，就变成了:

eyjzdwiioiixmjm0nty3odkwiiwibmftzsi6ikpvag4grg9liiwiawf0ijoxnte2mjm5mdiyfq

signature

第三部分为signature，计算此签名需要四部分信息：

header里的算法信息
header
payload
一个自定义的秘钥

接受到jwt后，利用相同的信息再计算一次签名，然年与jwt中的签名对比，如果不相同则说明jwt中的内容被篡改。

解码后的jwt

利用JWT如何实现对API的授权访问详解

将上面三部分都编码后再合在一起就得到了jwt。

需要注意的是，jwt的内容并不是加密的，只是简单的base64编码。也就是说，jwt一旦泄露，里面的信息可以被轻松获取，因此不应该用jwt保存任何敏感信息。

jwt是怎样工作的

利用JWT如何实现对API的授权访问详解

应用程序或客户端向授权服务器请求授权。这里的授权服务器可以是单独的一个应用，也可以和api集成在同一个应用里。
授权服务器向应用程序返回一个jwt。
应用程序将jwt放入到请求里（通常放在http的authorization头里）
服务端接收到请求后，验证jwt并执行对应逻辑。

在java里使用jwt

引入依赖

				?

									<dependency>

									 <groupid>io.jsonwebtoken</groupid>

									 <artifactid>jjwt</artifactid>

									</dependency>

这里使用了一个叫jjwt(java jwt)的库。

jwt service

生成jwt

				?

									public string generatetoken(string payload) {

									  return jwts.builder()

									    .setsubject(payload)

									    .setexpiration(new date(system.currenttimemillis() + 10000))

									    .signwith(signaturealgorithm.hs256, secret_key)

									    .compact();

									 }

这里设置过期时间为10秒，因此生成的jwt只在10秒内能通过验证。

需要提供一个自定义的秘钥。

解码jwt

				?

									public string parsetoken(string jwt) {

									  return jwts.parser()

									    .setsigningkey(secret_key)

									    .parseclaimsjws(jwt)

									    .getbody()

									    .getsubject();

									 }

解码时会检查jwt的签名，因此需要提供秘钥。

验证jwt

				?

									public boolean istokenvalid(string jwt) {

									  try {

									   parsetoken(jwt);

									  } catch (throwable e) {

									   return false;

									  }

									  return true;

									 }

jjwt并没有提供判断jwt是否合法的方法，但是在解码非法jwt时会抛出异常，因此可以通过捕获异常的方式来判断是否合法。

				?

									@getmapping("/registration")

									 public string register(@requestparam string username, httpservletresponse response) {

									  string jwt = jwtservice.generatetoken(username);

									  response.setheader(jwt_header_name, jwt);

									  return string.format("jwt for %s :\n%s", username, jwt);

									 }

需要为还没有获取到jwt的用户提供一个这样的注册或者登录入口，来获取jwt。

获取到响应里的jwt后，要在后续的请求里包含jwt，这里放在请求的authorization头里。

验证jwt

				?

									@override

									public void dofilter(servletrequest request, servletresponse response, filterchain chain) throws ioexception, servletexception {

									  httpservletrequest httpservletrequest = (httpservletrequest) request;

									  httpservletresponse httpservletresponse = (httpservletresponse) response;

									  string jwt = httpservletrequest.getheader(jwt_header_name);

									  if (white_list.contains(httpservletrequest.getrequesturi())) {

									   chain.dofilter(request, response);

									  } else if (istokenvalid(jwt)) {

									   updatetoken(httpservletresponse, jwt);

									   chain.dofilter(request, response);

									  } else {

									   httpservletresponse.senderror(httpservletresponse.sc_unauthorized);

									  }

									 }

									private void updatetoken(httpservletresponse httpservletresponse, string jwt) {

									  string payload = jwtservice.parsetoken(jwt);

									  string newtoken = jwtservice.generatetoken(payload);

									  httpservletresponse.setheader(jwt_header_name, newtoken);

									 }

将验证操作放在filter里，这样除了登录入口，其它的业务代码将感觉不到jwt的存在。

将登录入口放在white_list里，跳过对这些入口的验证。

需要刷新jwt。如果jwt是合法的，那么应该用同样的payload来生成一个新的jwt，这样新的jwt就会有新的过期时间，用此操作来刷新jwt，以防过期。

如果使用filter，那么刷新的操作要在调用dofilter()之前，因为调用之后就无法再修改response了。

api

				?

									private final static string jwt_header_name = "authorization";

									 @getmapping("/api")

									 public string testapi(httpservletrequest request, httpservletresponse response) {

									  string oldjwt = request.getheader(jwt_header_name);

									  string newjwt = response.getheader(jwt_header_name);

									  return string.format("your old jwt is:\n%s \nyour new jwt is:\n%s\n", oldjwt, newjwt);

									 }