本文详细介绍了JWT(JSON Web Token)的组成,包括Header、Payload和Signature三部分,以及其在认证过程中的作用。重点阐述了Signature的签名目的,确保内容不被篡改。此外,还对比了传统Token认证与JWT认证的效率差异,并展示了如何生成和验证JWT,包括使用公钥私钥进行加密解密。最后,提供了JWT测试的代码示例。
JWT
JWT组成
Header头部
{
"alg": "HS256",
"typ": "JWT"
}
它会使⽤ Base64 编码组成 JWT 结构的第⼀部分
Payload负载
这部分就是我们存放信息的地⽅了,你可以把⽤户 ID 等信息放在这⾥,JWT 规范⾥⾯对这部分有进⾏了⽐较详细的介绍,常⽤的由 iss(签发者),exp(过期时间),su(⾯向的⽤户),aud(接收⽅),iat(签发时间)。
{
"iss": "lion1ou JWT",
"iat": 1441593502,
"exp": 1441594722,
"aud": "www.example.com",
"sub": "lion1ou@163.com"
}
同样的,它会使⽤ Base64 编码组成 JWT 结构的第⼆部分。
Signature签名
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9`.`eyJpZCI6IjU3ZmVmMTY0ZTU0YWY2NGZmYz
UzZGJkNSIsInhzcmYiOiI0ZWE1YzUwOGE2NTY2ZTc2MjQwNTQzZjhmZWIwNmZkNDU3Nzc3YmUz
OTU0OWM0MDE2NDM2YWZkYTY1ZDIzMzBlIiwiaWF0IjoxNDc2NDI3OTMzfQ`.`PA3QjeyZSUh7H
0GfE0vJaKW4LjKJuC3dVLQiY4hii8s
前⾯两部分都是使⽤ Base64 进⾏编码的,即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进⾏签名。签名的作⽤是保证 JWT 没有被篡改过。三个部分通过 . 连接在⼀起就是我们的 JWT 了,它可能⻓这个样⼦,⻓度貌似和你的加密算法和私钥有关系。
签名的⽬的
最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。
为什么使⽤JWT
传统token认证
资源服务器授权流程如上图,客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验成功会返回⽤户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客户端。传统授权⽅法的问题是⽤户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取⽤户的相关信息,性能低下。
JWT认证
传统的授权模式性能低下,每次都需要请求授权服务校验令牌合法性,我们可以利⽤公钥私钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。
JWT使用
公钥和私钥
1.授权中⼼和资源中⼼持有私钥和公钥
2.私钥颁发令牌
3.公钥验证令牌
生成私钥公钥
我们采⽤JWT私钥颁发令牌,公钥校验令牌,这⾥先试⽤keytool⼯具⽣成公钥私钥证书
- ⽣成密钥证书 下边命令⽣成密钥证书,采⽤RSA 算法每个证书包含公钥和私钥
创建⼀个⽂件夹,在该⽂件夹下执⾏如下命令⾏:
keytool -genkeypair -alias kaikeba -keyalg RSA -keypass kaikeba -keystore
kaikeba.jks -storepass kaikeba
Keytool 是⼀个java提供的证书管理⼯具
-alias:密钥的别名
-keyalg:使⽤的hash算法
-keypass:密钥的访问密码
-keystore:密钥库⽂件名
-storepass:密钥库的访问密码
- 查询证书信息
keytool -list -keystore kaikeba.jks
- 删除别名``
keytool -delete -alias kaikeba -keystore kaikeba.jsk
- 导出公钥
openssl是⼀个加解密⼯具包,这⾥使⽤openssl来导出公钥信息。
安装 openssl:http://slproweb.com/products/Win32OpenSSL.html
安装资料⽬录下的Win64OpenSSL-1_1_0g.exe
配置openssl的path环境变量,如下图:
本教程配置在C:\OpenSSL-Win64\bin,cmd进⼊kaikeba.jks⽂件所在⽬录执⾏如下命令(如下命令在windows下执⾏,会把-变成中⽂⽅式,请
将它改成英⽂的-):
keytool -list -rfc --keystore kaikeba.jks | openssl x509 -inform pem -
pubkey
下⾯段内容是公钥
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvFsEiaLvij9C1Mz+oyAm
t47whAaRkRu/8kePM+X8760UGU0RMwGti6Z9y3LQ0RvK6I0brXmbGB/RsN38PVnh
cP8ZfxGUH26kX0RK+tlrxcrG+HkPYOH4XPAL8Q1lu1n9x3tLcIPxq8ZZtuIyKYEm
oLKyMsvTviG5flTpDprT25unWgE4md1kthRWXOnfWHATVY7Y/r4obiOL1mS5bEa/
iNKotQNnvIAKtjBM4RlIDWMa6dmz+lHtLtqDD2LF1qwoiSIHI75LQZ/CNYaHCfZS
xtOydpNKq8eb1/PGiLNolD4La2zf0/1dlcr5mkesV570NxRmU1tFm8Zd3MZlZmyv
9QIDAQAB
-----END PUBLIC KEY-----
将上边的公钥拷⻉到⽂本public.key⽂件中,放到资源服务器中。
JWT测试
pom.xml
<!--oauth2-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
- kaikeba.jks
测试需要公钥和私钥,准备好 - 测试代码
public class JwtTest {
//⽣成⼀个jwt令牌
@Test
public void testCreateJwt() throws Exception {
//证书⽂件
String key_location = "kaikeba.jks";
//密钥库密码
String keystore_password = "kaikeba";
//访问证书路径
ClassPathResource resource = new ClassPathResource(key_location);
//密钥⼯⼚
KeyStoreKeyFactory keyStoreKeyFactory = new
KeyStoreKeyFactory(resource, keystore_password.toCharArray());
//密钥的密码,此密码和别名要匹配
String keypassword = "kaikeba";
//密钥别名
String alias = "kaikeba";
//密钥对(密钥和公钥)
KeyPair keyPair = keyStoreKeyFactory.getKeyPair(alias,
keypassword.toCharArray());
//私钥
RSAPrivateKey aPrivate = (RSAPrivateKey) keyPair.getPrivate();
//定义payload信息
Map<String, Object> tokenMap = new HashMap<String, Object>();
tokenMap.put("id", "123");
tokenMap.put("name", "malong");
tokenMap.put("roles", "r01,r02");
tokenMap.put("ext", "1");
//⽣成jwt令牌
Jwt jwt = JwtHelper.encode(new
ObjectMapper().writeValueAsString(tokenMap), new RsaSigner(aPrivate));
//取出jwt令牌
String token = jwt.getEncoded();
System.out.println(token);
}
//资源服务使⽤公钥验证jwt的合法性,并对jwt解码
@Test
public void testVerify() {
//jwt令牌
String token
=
"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHQiOiIxIiwicm9sZXMiOiJyMDEscjAy
IiwibmFtZSI6Im1hbG9uZyIsImlkIjoiMTIzIn0.B5H3JBVEl1Ntw_5mMqXGCDqDZn05IYYv8i
Lex3xMpP6K7TlQ07W4zibgDSo5GwQbMblNL1hbS3vhbJRNg9XVuHYD-6VsmDOmuopPLZ70wS191jZg_LEKIV81GCcGfKsKYOqJ_B8tR7as7N4AFJnxYhFuppBK0TOnWqgIDH9sQa5y_h9fQHnB7qaKV3WJ7ks--SkJUor5tzJTmmp74tFbtAQE5lkq1oR068fNfTk8yL_6SaPqtFZIntCcZCQzXZCRzT6YaDOGXI9GciEjr6A5fg8V4Nk4xE
8M1VE-7APDaYRU5HAB2XI5sb0bODsCJs6f2K1Q1N13Ff071vcZlzQ";
//公钥
String publickey = "-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwtYpjt7NtpS1B51x6PUK7ryvKySK4V
Qi7KUCGBm6kisErNM+FwdgKMbpQxTtWoYyXfQsWwuhBW45+uF+Z5DUDaLtHlMV55eA5fkGLFZ1
F9ppZC+2Etsy1CyPqA0Mx8R0/HbMB1no4KTlQpqST7JjCdtwLWqUd68zDlfToIsWB1fHuYHbH/
DCGUBmZb+16805/SjWkYvj3B6F+WJ8Gm47/OJBH+wo7k4GWZ7OXdMcNnYWMyBfa4abjo7cxjoH
L2fDanS6And4Sh3cZEJde4WgXsEktvR/EaZR7CeQzwzOg47+5cCcFSYgmVfpDyLsBnFkG3WFs/
qZ3yPzy+DQKLIF2wIDAQAB-----END PUBLIC KEY-----";
//校验jwt
Jwt jwt = JwtHelper.decodeAndVerify(token, new
RsaVerifier(publickey));
//获取jwt原始内容
String claims = jwt.getClaims();
System.out.println(claims);
try {
Map<String, String> map = new ObjectMapper().readValue(claims,
Map.class);
System.out.println(map.get("user_name"));
} catch (IOException e) {
e.printStackTrace();
}
}
}
扫一扫
302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
