java 鉴权_我爱java系列之---【JWT实现微服务鉴权(一)】
JWT介绍
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。
{"typ":"JWT","alg":"HS256"}
在头部指明了签名算法是HS256算法。 我们进行BASE64编码
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
小知识:Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2的6次方等于64,所以每6个比特为一个单元,对应某个可打印字符。三个字节有24个比特,对应于4个Base64单元,即3个字节需要用4个可打印字符来表示。JDK 中提供了非常方便的 BASE64Encoder和 BASE64Decoder,用它们可以非常方便的完成基于 BASE64 的编码和解码
载荷(playload)
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
(1)标准中注册的声明(建议但不强制使用)
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。
(2)公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
(3)私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。
定义一个payload:
{"sub":"1234567890","name":"John Doe","admin":true}
然后将其进行base64加密,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
签证(signature)
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
JJWT签发与验证token
JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。
官方文档:
JWT的快速入门:
1 创建token
(1)新建项目中的pom.xml中添加依赖:
io.jsonwebtoken
jjwt
0.9.0
(2) 创建测试类,代码如下
public classTestJWT {//这是我们的密钥,加密和解密都需要使用
private final static String keywords="itcast";
@Testpublic voidtestCreate(){long currentTimeMillis =System.currentTimeMillis();//创建jwt
JwtBuilder builder =Jwts.builder()
.setId(UUID.randomUUID().toString())//设置唯一编号
.setSubject("菜鸟攻城狮") //设置主题 可以是JSON数据
.setIssuedAt(new Date()) //设置签发日期
.setExpiration(new Date(currentTimeMillis+50000)) //设置过期时间.claim("roles","管理员")//自定义claim,设置角色
.signWith(SignatureAlgorithm.HS256,keywords);//设置签名 使用HS256算法,并设置SecretKey(字符串)
//构建 并返回一个字符串
System.out.println(builder.compact());
}
运行打印结果:
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1NTc5MDQxODF9.ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFU_u3Y
再次运行,会发现每次运行的结果是不一样的,因为我们的载荷中包含了时间。
2 解析token
我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token 应该解析出token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。
@Testpublic voidtestParser(){
String compactJwt= "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI5ODEwNjZkNS1kOTkwLTQ1NWQtOWJhNy0zNGYyZjlhNjA2ODYiLCJzdWIiOiLpu5HpqaznqIvluo_lkZgiLCJpYXQiOjE1NjU2ODM4MDcsImV4cCI6MTU2NTY4Mzg1NX0.efXeiB1EcXPjRO-ZkE7Xm2gvhY7EUd-uLiUFFZkJ0YE";
Claims claims=Jwts.parser().setSigningKey(keywords).parseClaimsJws(compactJwt).getBody();
System.out.println(claims);
}
运行打印效果:
{jti=888, sub=小白, iat=1557904181}
试着将token或签名秘钥篡改一下,会发现运行时就会报错,所以解析token也就是验证token.当前时间超过过期时间,则会报错。
4 自定义claims
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims。
创建测试类,并设置测试方法:
创建token:代码都写在上边了,标红的claim就是。
java 鉴权_我爱java系列之---【JWT实现微服务鉴权(一)】相关推荐
- JWT 实现微服务鉴权
一.JWT JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息. 一个JWT实际上就是一个字符串,它由三部分组成,头部.载荷与签 ...
- BCrypt加密怎么存入数据库_第6天 密码加密与微服务鉴权JWT(下)
上篇: Gavin:第6天 密码加密与微服务鉴权JWT(上)zhuanlan.zhihu.com 能够使用BCrypt密码加密算法实现注册与登陆功能 能够说出常见的认证机制 能够说出JWT的组成部分 ...
- 【Spring Cloud Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权
一. 前言 hi,大家好~ 好久没更文了,期间主要致力于项目的功能升级和问题修复中,经过一年时间这里只贴出关键部分代码的打磨,[有来]终于迎来v2.0版本,相较于v1.x版本主要完善了OAuth2认证 ...
- 密码加密与微服务鉴权JWT
密码加密与微服务鉴权JWT ## 学习目标 1.用户注册时候,对数据库中用户的密码进行加密存储(使用 SpringSecurity). 2.使用 JWT 鉴权认证. 一.BCrypt 密码加密 任何应 ...
- 爱油科技基于SpringCloud的微服务实践
个人简介 刘思贤(微博@starlight36),爱油科技架构师.PMP.主要负责业务平台架构设计,DevOps实施和研发过程持续改进等,关注领域驱动设计与微服务.建设高效团队和工程师文化培养. 摘要 ...
- java 同步锁_死磕 java同步系列之自己动手写一个锁Lock
问题 (1)自己动手写一个锁需要哪些知识? (2)自己动手写一个锁到底有多简单? (3)自己能不能写出来一个完美的锁? 简介 本篇文章的目标一是自己动手写一个锁,这个锁的功能很简单,能进行正常的加锁. ...
- springcloud 微服务鉴权_我对微服务、SpringCloud、k8s、Istio的一些杂想
一.微服务与SOA "微服务"是一个名词,没有这个名词之前也有"微服务",一个朗朗上口的名词能让大家产生一个认知共识,这对推动一个事务的发展挺重要的,不然你叫微 ...
- java 02-cf_cf活动如何设置java环境变量_如何设置java环境变量
cf助手怎么连接wifi_连接无线网设置 对于刚刚学习java的win7用户来说,首先要学会安装jdk和配置java环境变量,这是学习java的唯一途径,否则编写的代码运行时会出现bug.关于这一点, ...
- java 字符串乱码_这份Java面试题含答案解析竟然真的让你不用在面试上“如履薄冰”...
面试题集共分为以下十部分: 一.Core Java: 1 - 95 题1 - 24 页 基础及语法: 1 - 61 题1 - 13 页 异常: 62 - 69 题13 - 15 页 集合: 70 - ...
最新文章
- QT的QLibrary类的使用
- Java -----JVM运行时数据区
- 算法设计与分析——贪心算法——汽车加油问题
- 插入模板_WordPress在文章列表和内容页插入广告
- jquery 通过submit()方法 提交表单示例
- PHP双码率视频云转码服务系统源码 m3u8切片秒切html5播放器 全开源
- 【机器学习-西瓜书】三、线性回归;对数线性回归
- 中兴正式解禁;小米市值与索尼相当;CMU教授炮轰谷歌 | 极客头条
- System.IO.Ports.SerialPort串口通信接收完整数据
- Spring里用到了哪些设计模式
- hexo博客搭建及主题优化(二)
- iOS基础-小Demo--刮开涂层(刮刮乐效果)
- 如何在央行查询企业征信报告?
- 为什么鼓励工程师写博客
- es2015学习笔记经典入门教程
- shell win10 改成cmd_Win10小技巧:如何将在此处打开命令改为CMD或Powershell?
- COCOS-BCX|区块链项目介绍
- Linux正确删除软链接
- 一些提取api key的正则表达式
- Java知识点--类变量
热门文章
- 1152 Google Recruitment (20 分)【难度: 简单 / 知识点: 模拟】
- JSP页面的执行过程
- 计算机生物学美国直博,毕业生说 | 生物学全奖直博女生,遍访名校书写芳华
- 拉索检测机器人_昌都斜拉索锈蚀检测系统,斜拉索检测机器人推荐
- 阿里神器 Arthas 有多强?教你一招定位线上Bug!
- 新年红包封面来了,3000万份红包封面来啦!到点直领!
- 我命由我不由天,5个月逆袭百度,头条AI岗位,来挑战吗?
- Lucene教程--Analyzer分析器详解
- MySQL函数和操作符(超详细,备着查找)
- (Java)注解和反射