如何利用JWT來實(shí)現(xiàn)對(duì)API的授權(quán)訪問

作者:xcbeyond
瘋狂源自夢(mèng)想,技術(shù)成就輝煌!微信公眾號(hào):《程序猿技術(shù)大咖》號(hào)主,專注后端開發(fā)多年,擁有豐富的研發(fā)經(jīng)驗(yàn),樂于技術(shù)輸出、分享,現(xiàn)階段從事微服務(wù)架構(gòu)項(xiàng)目的研發(fā)工作,涉及架構(gòu)設(shè)計(jì)、技術(shù)選型、業(yè)務(wù)研發(fā)等工作。對(duì)于Java、微服務(wù)、數(shù)據(jù)庫、Docker有深入了解,并有大量的調(diào)優(yōu)經(jīng)驗(yàn)。

什么是JWT

JWT(JSON Web Token)是一個(gè)開放標(biāo)準(zhǔn)(RFC 7519),它定義了一種緊湊且獨(dú)立的方式,可以在各個(gè)系統(tǒng)之間用JSON作為對(duì)象安全地傳輸信息,并且可以保證所傳輸?shù)男畔⒉粫?huì)被篡改。

JWT通常有兩種應(yīng)用場(chǎng)景:

    授權(quán)。這是最常見的JWT使用場(chǎng)景。一旦用戶登錄,每個(gè)后續(xù)請(qǐng)求將包含一個(gè)JWT,作為該用戶訪問資源的令牌。

    信息交換??梢岳肑WT在各個(gè)系統(tǒng)之間安全地傳輸信息,JWT的特性使得接收方可以驗(yàn)證收到的內(nèi)容是否被篡改。

本文討論第一點(diǎn),如何利用JWT來實(shí)現(xiàn)對(duì)API的授權(quán)訪問。這樣就只有經(jīng)過授權(quán)的用戶才可以調(diào)用API。

 
JWT的結(jié)構(gòu)

 








JWT由三部分組成,用.分割開。
Header

第一部分為Header,通常由兩部分組成:令牌的類型,即JWT,以及所使用的加密算法。

    {
      "alg": "HS256",
      "typ": "JWT"
    }

Base64加密后,就變成了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

第二部分為Payload,里面可以放置自定義的信息,以及過期時(shí)間、發(fā)行人等。

    {
      "sub": "1234567890",
      "name": "John Doe",
      "iat": 1516239022
    }

Base64加密后,就變成了:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature

第三部分為Signature,計(jì)算此簽名需要四部分信息:

    Header里的算法信息
    Header
    Payload
    一個(gè)自定義的秘鑰

接受到JWT后,利用相同的信息再計(jì)算一次簽名,然年與JWT中的簽名對(duì)比,如果不相同則說明JWT中的內(nèi)容被篡改。

 
解碼后的JWT

 
























將上面三部分都編碼后再合在一起就得到了JWT。

需要注意的是,JWT的內(nèi)容并不是加密的,只是簡(jiǎn)單的Base64編碼。也就是說,JWT一旦泄露,里面的信息可以被輕松獲取,因此不應(yīng)該用JWT保存任何敏感信息。






 
JWT是怎樣工作的

 











    應(yīng)用程序或客戶端向授權(quán)服務(wù)器請(qǐng)求授權(quán)。這里的授權(quán)服務(wù)器可以是單獨(dú)的一個(gè)應(yīng)用,也可以和API集成在同一個(gè)應(yīng)用里。
    授權(quán)服務(wù)器向應(yīng)用程序返回一個(gè)JWT。
    應(yīng)用程序?qū)WT放入到請(qǐng)求里(通常放在HTTP的Authorization頭里)
    服務(wù)端接收到請(qǐng)求后,驗(yàn)證JWT并執(zhí)行對(duì)應(yīng)邏輯。

 
在JAVA里使用JWT
引入依賴

    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
    </dependency>

這里使用了一個(gè)叫JJWT(Java JWT)的庫。
JWT Service
生成JWT

    public String generateToken(String payload) {
            return Jwts.builder()
                    .setSubject(payload)
                    .setExpiration(new Date(System.currentTimeMillis() + 10000))
                    .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                    .compact();
        }

    這里設(shè)置過期時(shí)間為10秒,因此生成的JWT只在10秒內(nèi)能通過驗(yàn)證。
    需要提供一個(gè)自定義的秘鑰。

 
解碼JWT

    public String parseToken(String jwt) {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(jwt)
                    .getBody()
                    .getSubject();
        }

解碼時(shí)會(huì)檢查JWT的簽名,因此需要提供秘鑰。

 
驗(yàn)證JWT

    public boolean isTokenValid(String jwt) {
            try {
                parseToken(jwt);
            } catch (Throwable e) {
                return false;
            }
            return true;
        }

JWT并沒有提供判斷JWT是否合法的方法,但是在解碼非法JWT時(shí)會(huì)拋出異常,因此可以通過捕獲異常的方式來判斷是否合法。

 
注冊(cè)/登錄

    @GetMapping("/registration")
        public String register(@RequestParam String username, HttpServletResponse response) {
            String jwt = jwtService.generateToken(username);
            response.setHeader(JWT_HEADER_NAME, jwt);
     
            return String.format("JWT for %s :\n%s", username, jwt);
        }

    需要為還沒有獲取到JWT的用戶提供一個(gè)這樣的注冊(cè)或者登錄入口,來獲取JWT。

    獲取到響應(yīng)里的JWT后,要在后續(xù)的請(qǐng)求里包含JWT,這里放在請(qǐng)求的Authorization頭里。

驗(yàn)證JWT

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
            HttpServletRequest httpServletRequest = (HttpServletRequest) request;
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
     
            String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
            if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
                chain.doFilter(request, response);
            } else if (isTokenValid(jwt)) {
                updateToken(httpServletResponse, jwt);
                chain.doFilter(request, response);
            } else {
                httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
            }
        }
     
    private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
            String payload = jwtService.parseToken(jwt);
            String newToken = jwtService.generateToken(payload);
            httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
        }

    將驗(yàn)證操作放在Filter里,這樣除了登錄入口,其它的業(yè)務(wù)代碼將感覺不到JWT的存在。
    將登錄入口放在WHITE_LIST里,跳過對(duì)這些入口的驗(yàn)證。
    需要刷新JWT。如果JWT是合法的,那么應(yīng)該用同樣的Payload來生成一個(gè)新的JWT,這樣新的JWT就會(huì)有新的過期時(shí)間,用此操作來刷新JWT,以防過期。
    如果使用Filter,那么刷新的操作要在調(diào)用doFilter()之前,因?yàn)檎{(diào)用之后就無法再修改response了。

API

    private final static String JWT_HEADER_NAME = "Authorization";
     
        @GetMapping("/api")
        public String testApi(HttpServletRequest request, HttpServletResponse response) {
            String oldJwt = request.getHeader(JWT_HEADER_NAME);
            String newJwt = response.getHeader(JWT_HEADER_NAME);
     
            return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
        }

這時(shí)候API就處于JWT的保護(hù)下了。API可以完全不用感知到JWT的存在,同時(shí)也可以主動(dòng)獲取JWT并解碼,以得到JWT里的信息。如上所示。

 

    demo:https://github.com/Beginner258/jwt-demo

    參考資料:https://jwt.io/