Java安全验证之jwt(json web token)

刺骨的言语ヽ痛彻心扉 2022-06-10 05:10 350阅读 0赞

[http://blog.csdn.net/u012017645/article/details/53585872][http_blog.csdn.net_u012017645_article_details_53585872]

jwt token安全验证流程：用户发起登录请求，服务端创建一个加密后的jwt信息，作为token返回值，在后续请求中jwt信息作为请求头，服务端正确解密后可获取到存储的用户信息，表示验证通过；解密失败说明token无效或者已过期。

jwt token的组成：header.poyload.sign

*  header：头部，主要包括参数的类型--JWT，加密算法---RS512，头部由json字符串用base64编码生成；
 *  poload：载荷，存放需要保存的一些用户信息，主要包括主题、签发者、接受者、到期时间等，载荷也由json字符串用base64编码生成，不能存放敏感数据；
 *  sign：签名，防止恶意篡改数据。

依赖：

<dependency>
    			<groupId>io.jsonwebtoken</groupId>
    			<artifactId>jjwt</artifactId>
    			<version>0.6.0</version>
    		</dependency>

jwt加解密的工具类：

package cn.lsh.util;
    
    import java.security.Key;
    import java.util.Date;
    
    import javax.crypto.spec.SecretKeySpec;
    import javax.xml.bind.DatatypeConverter;
    
    import io.jsonwebtoken.Claims;
    import io.jsonwebtoken.JwtBuilder;
    import io.jsonwebtoken.Jwts;
    import io.jsonwebtoken.SignatureAlgorithm;
    
    import org.apache.commons.lang.exception.ExceptionUtils;
    import org.slf4j.Logger;
    import org.slf4j.LoggerFactory;
    
    
    
    
    import cn.lsh.entity.User;
    import cn.lsh.vo.security.Audience;
    import cn.lsh.vo.security.LoginParamter;
    
    public class JwtUtils {
    	private static final Logger LOGGER=LoggerFactory.getLogger(JwtUtils.class);
    	
    	private JwtUtils(){
    		
    	}
    
    	/*
    	 * 验证jwt是否合法，即解密
    	 */
    	public static Claims parseJWT(String jsonWebToken,String base64Security){
    		try {
    			return Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
    					.parseClaimsJws(jsonWebToken)
    					.getBody();		
    		} catch (Exception e) {
    			// TODO: handle exception
    			LOGGER.error("exception message is: {}", ExceptionUtils.getStackTrace(e));
    			return null;
    		}
    	}
    	
    	/*
    	 * 创建jwt,即加密
    	 */
    	public static String createJWT(LoginParamter loginParamter,User user,Audience audience){
    		long ttlmillis=audience.getExpiresSecond()*1000;
    		String base64Security=audience.getBase64Secret();
    		Date now=new Date(System.currentTimeMillis());
            
    		//生成签名密钥
    		byte[] apiKeySecretBytes=DatatypeConverter.parseBase64Binary(base64Security);
    		Key signingKey=new SecretKeySpec(apiKeySecretBytes, SignatureAlgorithm.HS256.getJcaName());
    		
    		//添加构成JWT的参数		
    		JwtBuilder builder=Jwts.builder().setHeaderParam("typ", "JWT")//typ表示token的类型
    				.claim("role", user.getRole())// 自定义属性
    				.claim("unique_name", loginParamter.getUserName())
    				.claim("userid", user.getName())
    				.setIssuer(audience.getName())// 签发者
    				.setAudience(audience.getClientId())//接受者
    				.signWith(SignatureAlgorithm.HS256, signingKey);// 签名算法以及密匙
    		
            //添加Token过期时间
    		if(ttlmillis>=0){
    			Date exp=new Date(System.currentTimeMillis()+ttlmillis);
    			builder.setExpiration(exp)// 过期时间
    			.setNotBefore(now);// 失效时间
    		}
    		
    		//生成JWT
    		return builder.compact();
    	}
    	
    	public static void main(String[] args) {
    		Claims c=parseJWT("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoi566h55CG5ZGYIiwidW5pcXVlX25hbWUiOiJsaXVzaGlodWEiLCJ1c2VyaWQiOiJsaXVzaGlodWEiLCJpc3MiOiJsaXVzaGlodWEiLCJhdWQiOiIwOThmNmJjZDQ2MjFkMzczY2FkZTRlODMyNjI3YjRmNiIsImV4cCI6MTUwMjM1OTQ1NSwibmJmIjoxNTAyMzUyMjU0fQ.OeDN4deNUlDiUmwROjxw5_xrurJt46b1RZ0K5yNKH88", 
    				"MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=");
    		System.out.println(c);
    	}
    }

audience包含token的一些信息：

package cn.lsh.vo.security;
    
    import io.swagger.annotations.ApiModel;
    import io.swagger.annotations.ApiModelProperty;
    
    import org.springframework.boot.context.properties.ConfigurationProperties;
    import org.springframework.stereotype.Component;
    
    import lombok.Data;
    
    @Data
    //绑定属性的配置信息到该bean中，配置信息前缀为audience
    @ConfigurationProperties(prefix="audience")
    @Component
    @ApiModel(value="JWT")
    public class Audience {
    
    	@ApiModelProperty(value="传入的客户端id，相当于微信的openID",required=true)
    	private String clientId;
    	@ApiModelProperty(value="64位公钥",required=true)
    	private String base64Secret;
    	@ApiModelProperty(value="令牌发行者姓名",required=true)
    	private String name;
    	@ApiModelProperty(value="令牌有效时间，单位为秒",required=true)
    	private int expiresSecond;
    }

一、在用户登录是生成token，返回给客户端

String accessToken=JwtUtils.createJWT(loginParamter, user, audience);

二、在用户下次请求是验证token

private boolean isValidJwt(HttpServletRequest request){
    		LOGGER.info("{} request to {}",request.getMethod(),request.getRequestURL());
    		String authorization=request.getHeader("Authorization");
    		LOGGER.info("authorization is: {}",authorization);
    		//access_token的头信息,定义为bearer
    		String headString=authorization.substring(0, 6).toLowerCase();
    		//compareTo逐个比较两个字符串中相对字符的ascll值，所有字符都相同返回0，发现小于时返回正整数，大于时返回负整数，即ascll值的差值。
    		if(headString.compareTo(Constants.BEARER)==0){
    			authorization=authorization.substring(6, authorization.length());
    			if(JwtUtils.parseJWT(authorization, audience.getBase64Secret())!=null){
    				return true;
    			}
    		}
    		return false;
    	}

[http_blog.csdn.net_u012017645_article_details_53585872]: http://blog.csdn.net/u012017645/article/details/53585872