首頁 > 軟體

如何基於JWT實現介面的授權存取詳解

2022-02-20 13:00:36

 什麼是JWT

JWT(JSON Web Token)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,可以在各個系統之間用JSON作為物件安全地傳輸資訊,並且可以保證所傳輸的資訊不會被篡改。

JWT通常有兩種應用場景:

  • 授權。這是最常見的JWT使用場景。一旦使用者登入,每個後續請求將包含一個JWT,作為該使用者存取資源的令牌。
  • 資訊交換。可以利用JWT在各個系統之間安全地傳輸資訊,JWT的特性使得接收方可以驗證收到的內容是否被篡改。

本文討論第一點,如何利用JWT來實現對API的授權存取。這樣就只有經過授權的使用者才可以呼叫API。

JWT的結構

JWT由三部分組成,用.分割開。

Header

第一部分為Header,通常由兩部分組成:令牌的型別,即JWT,以及所使用的加密演演算法。

{
  "alg": "HS256",
  "typ": "JWT"
}

Base64加密後,就變成了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

第二部分為Payload,裡面可以放置自定義的資訊,以及過期時間、發行人等。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Base64加密後,就變成了:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature

第三部分為Signature,計算此簽名需要四部分資訊:

  • Header裡的演演算法資訊
  • Header
  • Payload
  • 一個自定義的祕鑰

接受到JWT後,利用相同的資訊再計算一次簽名,然年與JWT中的簽名對比,如果不相同則說明JWT中的內容被篡改。

解碼後的JWT

​將上面三部分都編碼後再合在一起就得到了JWT。

需要注意的是,JWT的內容並不是加密的,只是簡單的Base64編碼。 也就是說,JWT一旦洩露,裡面的資訊可以被輕鬆獲取,因此不應該用JWT儲存任何敏感資訊。

JWT是怎樣工作的

  • 應用程式或使用者端向授權伺服器請求授權。這裡的授權伺服器可以是單獨的一個應用,也可以和API整合在同一個應用裡。
  • 授權伺服器嚮應用程式返回一個JWT。
  • 應用程式將JWT放入到請求裡(通常放在HTTP的Authorization頭裡)
  • 伺服器端接收到請求後,驗證JWT並執行對應邏輯。

在JAVA裡使用JWT

引入依賴

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
</dependency>

這裡使用了一個叫JJWT(Java JWT)的庫。

JWT Service

生成JWT

public String generateToken(String payload) {
        return Jwts.builder()
                .setSubject(payload)
                .setExpiration(new Date(System.currentTimeMillis() + 10000))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }
  • 這裡設定過期時間為10秒,因此生成的JWT只在10秒內能通過驗證。
  • 需要提供一個自定義的祕鑰。

解碼JWT

public String parseToken(String jwt) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwt)
                .getBody()
                .getSubject();
    }

解碼時會檢查JWT的簽名,因此需要提供祕鑰。

驗證JWT

public boolean isTokenValid(String jwt) {
        try {
            parseToken(jwt);
        } catch (Throwable e) {
            return false;
        }
        return true;
    }

JWT並沒有提供判斷JWT是否合法的方法,但是在解碼非法JWT時會丟擲異常,因此可以通過捕獲異常的方式來判斷是否合法。

註冊/登入

@GetMapping("/registration")
    public String register(@RequestParam String username, HttpServletResponse response) {
        String jwt = jwtService.generateToken(username);
        response.setHeader(JWT_HEADER_NAME, jwt);

        return String.format("JWT for %s :n%s", username, jwt);
    }
  • 需要為還沒有獲取到JWT的使用者提供一個這樣的註冊或者登入入口,來獲取JWT。
  • 獲取到響應裡的JWT後,要在後續的請求裡包含JWT,這裡放在請求的Authorization頭裡。

驗證JWT

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
        if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
            chain.doFilter(request, response);
        } else if (isTokenValid(jwt)) {
            updateToken(httpServletResponse, jwt);
            chain.doFilter(request, response);
        } else {
            httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
        }
    }

private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
        String payload = jwtService.parseToken(jwt);
        String newToken = jwtService.generateToken(payload);
        httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
    }
  • 將驗證操作放在Filter裡,這樣除了登入入口,其它的業務程式碼將感覺不到JWT的存在。
  • 將登入入口放在WHITE_LIST裡,跳過對這些入口的驗證。
  • 需要重新整理JWT。如果JWT是合法的,那麼應該用同樣的Payload來生成一個新的JWT,這樣新的JWT就會有新的過期時間,用此操作來重新整理JWT,以防過期。
  • 如果使用Filter,那麼重新整理的操作要在呼叫doFilter()之前,因為呼叫之後就無法再修改response了。

API

private final static String JWT_HEADER_NAME = "Authorization";
    @GetMapping("/api")
    public String testApi(HttpServletRequest request, HttpServletResponse response) {
        String oldJwt = request.getHeader(JWT_HEADER_NAME);
        String newJwt = response.getHeader(JWT_HEADER_NAME);

        return String.format("Your old JWT is:n%s nYour new JWT is:n%sn", oldJwt, newJwt);
    }

這時候API就處於JWT的保護下了。API可以完全不用感知到JWT的存在,同時也可以主動獲取JWT並解碼,以得到JWT裡的資訊。如上所示。

demo:github.com/Beginner258…

參考資料:jwt.io/

總結

到此這篇關於如何基於JWT實現介面的授權存取的文章就介紹到這了,更多相關JWT介面的授權存取內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!


相關文章

  • 德漢姆中學就讀條件 德漢姆中學就讀條件

    <em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011

    2021-06-01 09:32:01

  • 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列

    综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所

    2021-06-01 09:31:42

  • 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距! 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!

    除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让

    2021-06-01 09:31:34

  • IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢? IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?

    目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加

    2021-06-01 09:31:24

  • 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊

    开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的

    2021-06-01 09:30:48

  • iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎? iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?

    不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它

    2021-06-01 09:30:45

IT145.com E-mail:sddin#qq.com