溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容主要講解“怎么基于JWT實現接口的授權訪問”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“怎么基于JWT實現接口的授權訪問”吧!
JWT(JSON Web Token)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,可以在各個系統之間用JSON作為對象安全地傳輸信息,并且可以保證所傳輸的信息不會被篡改。
JWT通常有兩種應用場景:
授權。這是最常見的JWT使用場景。一旦用戶登錄,每個后續請求將包含一個JWT,作為該用戶訪問資源的令牌。
信息交換。可以利用JWT在各個系統之間安全地傳輸信息,JWT的特性使得接收方可以驗證收到的內容是否被篡改。
本文討論第一點,如何利用JWT來實現對API的授權訪問。這樣就只有經過授權的用戶才可以調用API。
JWT由三部分組成,用.分割開。
第一部分為Header,通常由兩部分組成:令牌的類型,即JWT,以及所使用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}Base64加密后,就變成了:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
第二部分為Payload,里面可以放置自定義的信息,以及過期時間、發行人等。
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}Base64加密后,就變成了:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
第三部分為Signature,計算此簽名需要四部分信息:
Header里的算法信息
Header
Payload
一個自定義的秘鑰
接受到JWT后,利用相同的信息再計算一次簽名,然年與JWT中的簽名對比,如果不相同則說明JWT中的內容被篡改。
將上面三部分都編碼后再合在一起就得到了JWT。
需要注意的是,JWT的內容并不是加密的,只是簡單的Base64編碼。 也就是說,JWT一旦泄露,里面的信息可以被輕松獲取,因此不應該用JWT保存任何敏感信息。
應用程序或客戶端向授權服務器請求授權。這里的授權服務器可以是單獨的一個應用,也可以和API集成在同一個應用里。
授權服務器向應用程序返回一個JWT。
應用程序將JWT放入到請求里(通常放在HTTP的Authorization頭里)
服務端接收到請求后,驗證JWT并執行對應邏輯。
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency>
這里使用了一個叫JJWT(Java JWT)的庫。
public String generateToken(String payload) {
return Jwts.builder()
.setSubject(payload)
.setExpiration(new Date(System.currentTimeMillis() + 10000))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}這里設置過期時間為10秒,因此生成的JWT只在10秒內能通過驗證。
需要提供一個自定義的秘鑰。
public String parseToken(String jwt) {
return Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(jwt)
.getBody()
.getSubject();
}解碼時會檢查JWT的簽名,因此需要提供秘鑰。
public boolean isTokenValid(String jwt) {
try {
parseToken(jwt);
} catch (Throwable e) {
return false;
}
return true;
}JWT并沒有提供判斷JWT是否合法的方法,但是在解碼非法JWT時會拋出異常,因此可以通過捕獲異常的方式來判斷是否合法。
@GetMapping("/registration")
public String register(@RequestParam String username, HttpServletResponse response) {
String jwt = jwtService.generateToken(username);
response.setHeader(JWT_HEADER_NAME, jwt);
return String.format("JWT for %s :\n%s", username, jwt);
}需要為還沒有獲取到JWT的用戶提供一個這樣的注冊或者登錄入口,來獲取JWT。
獲取到響應里的JWT后,要在后續的請求里包含JWT,這里放在請求的Authorization頭里。
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
chain.doFilter(request, response);
} else if (isTokenValid(jwt)) {
updateToken(httpServletResponse, jwt);
chain.doFilter(request, response);
} else {
httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
}
}
private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
String payload = jwtService.parseToken(jwt);
String newToken = jwtService.generateToken(payload);
httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
}將驗證操作放在Filter里,這樣除了登錄入口,其它的業務代碼將感覺不到JWT的存在。
將登錄入口放在WHITE_LIST里,跳過對這些入口的驗證。
需要刷新JWT。如果JWT是合法的,那么應該用同樣的Payload來生成一個新的JWT,這樣新的JWT就會有新的過期時間,用此操作來刷新JWT,以防過期。
如果使用Filter,那么刷新的操作要在調用doFilter()之前,因為調用之后就無法再修改response了。
private final static String JWT_HEADER_NAME = "Authorization";
@GetMapping("/api")
public String testApi(HttpServletRequest request, HttpServletResponse response) {
String oldJwt = request.getHeader(JWT_HEADER_NAME);
String newJwt = response.getHeader(JWT_HEADER_NAME);
return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
}這時候API就處于JWT的保護下了。API可以完全不用感知到JWT的存在,同時也可以主動獲取JWT并解碼,以得到JWT里的信息。如上所示。
到此,相信大家對“怎么基于JWT實現接口的授權訪問”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
