JWT(JSON Web Token)学习笔记

1.简介

1.1 什么是JWT？

官网地址: https://jwt.io/introduction/

定义: Json Web Token（JWT）是一个开放标准（rfc7519），它定义了一种紧凑的、自包含的方式，用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任，因为它是数字签名的。 jwt可以使用密钥（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名

通俗解释：JSON Web Token，简称JWT,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

1.2 JWT具体的作用/什么时候使用 JWT ？

• 授权：这是使用 JWT 的最常见方案。用户登录后，每个后续请求都将包含 JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能，因为它的开销很小，并且能够跨不同域轻松使用。
• 信息交换：JSON Web令牌是在各方之间安全传输信息的好方法。由于 JWT 可以签名（例如，使用公钥/私钥对），因此您可以确定发送方就是他们所说的人。此外，由于签名是使用标头和有效负载计算的，因此您还可以验证内容是否未被篡改。

1.3 为什么选择了使用JWT

1.3.1 基于传统的 Session 认证

认证过程

http协议本身是一种无状态的协议，这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证，即使验证通过后，那么下一次请求时，用户还要再一次进行用户认证才行，因为根据http协议，我们并不能知道是哪个用户发出的请求，所以为了让我们的应用能识别是哪个用户发出的请求，我们只能在服务器存储一份用户登录的信息，这份登录信息会在响应时传递给浏览器，告诉其保存为cookie,以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

存在的问题

1. 每个用户经过应用认证之后，应用都要在服务端做一次记录，以方便用户下次请求的鉴别，通常而言session都是保存在内存中，而随着认证用户的增多，服务端的开销会明显增大
2. 用户认证之后，服务端做认证记录，如果认证的记录被保存在内存中的话，这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源，这样在分布式的应用上，相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
3. 因为是基于cookie来进行用户识别的, cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击。
4. 在前后端分离系统中就更加痛苦，前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid 到服务器，服务器还要查询用户信息。同时如果用户很多，这些信息存储在服务器内存中，给服务器增加负担。
5. 还有就是CSRF攻击（跨站伪造请求攻击），session是基于cookie进行用户识别的, cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击。
6. 还有就是sessionid就是一个特征值，表达的信息不够丰富，不容易扩展。如果你后端应用是多节点部署。那么就需要实现session共享机制。集群应用的搭建将变得十分困难。

1.3.2 基于JWT认证

基于JWT认证

首先，前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输（https协议），从而避免敏感信息被嗅探。
后端核对用户名和密码成功后，将用户的id等其他信息作为JWT Payload（负载），将其与头部分别进行Base64编码拼接后签名，形成一个JWT(Token)。
形成的JWT就是一个形同xxxxx.yyyyy.zzzzz的字符串， token = head.payload.singurater
后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上，退出登录时前端删除保存的JWT即可。
前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)
后端检查是否存在，如存在验证JWT的有效性。例如，检查签名是否正确；检查Token是否过期；检查Token的接收方是否是自己（可选）。
验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作，返回相应结果。

jwt的优点

简洁(Compact): 可以通过URL，POST参数或者在HTTP header发送，由于其数据量小，并不会占用过多带宽
自包含(Self-contained)：负载中包含了所有用户所需要的信息，避免了多次查询数据库，减轻了数据库的压力
因为Token是以JSON加密的形式保存在客户端的，所以JWT是跨语言的，原则上任何web形式都支持。
不需要在服务端保存会话信息，特别适用于分布式微服务。

2.JWT的结构

JWT 由三部分组成

2.1 Header（头部）

是一个JSON 对象, 描述JWT的元数据，eg:

# alg是签名算法，默认是HS256，
# typ是token类型，一般JWT默认为JWT
{
    "alg": "HS256",
    "typ": "JWT"
}

2.2 载荷-payload

是一个JSON 对象, 用来存放实际需要传递的数据，eg:

{
  "iss": "songshu",
  "sub": "1234567890",
  "name": "haha",
  "admin": true
}

其中payload官方规定了7个字段：

iss (issuer)：签发人、
exp (expiration time)：过期时间
sub (subject)：主题
aud (audience)：受众
nbf (Not Before)：生效时间
iat (Issued At)：签发时间
jti (JWT ID)：编号

$\color{red}{ 注意：对于已签名的令牌，此信息虽然受到保护以防止篡改，但任何人都可以读取。不要将机密信息放在 JWT 的有效负载或标头元素中，除非它已加密。}$

2.3 签名(Signature)

signature是对前两部分的签名，防止数据篡改。

1. 需要指定一个密钥（secret）
2. 这个密钥只有服务器才知道，不能泄露给客户端
3. 使用 Header 里面指定的签名算法（例如，如果要使用 HMAC SHA256 算法），按照下面的公式产生签名：

HMACSHA256(
  base64UrlEncode(header) + "." +base64UrlEncode(payload),
  secret)

把 Header、Payload、Signature 三个部分拼成一个字符串:Header.Payload.Signature = xxxx.yyy.zzz

3.使用JWT

3.1 引入jwt依赖

<!--引入jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

3.2 使用测试

• 生成JWT令牌

@Test
public void testGetJWTToken() {
    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.SECOND, 900);//Calendar.SECOND代表单位为秒

    //生成令牌
    String token = JWT.create()
        .withClaim("username", "李四")//设置payload，保存自定义用户名，可设置多个
        .withExpiresAt(instance.getTime())//设置过期时间
        .sign(Algorithm.HMAC256("jupiter"));//设置加密算法及签名密钥，这里使用了默认的HMAC256
    //输出令牌
    System.out.println(token);
}

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2OTM4OTcyOTUsInVzZXJuYW1lIjoi5p2O5ZubIn0.vO3kvqrFx4AlEs1qnFP7ghFeCIUAXFod4lH3SLhc5RE

• 验证JWT令牌

@Test
public void testDecodeJWTToken(){
    String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2OTM4OTcyOTUsInVzZXJuYW1lIjoi5p2O5ZubIn0.vO3kvqrFx4AlEs1qnFP7ghFeCIUAXFod4lH3SLhc5RE";
    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("jupiter")).build();
    DecodedJWT decodedJWT = jwtVerifier.verify(token);//验证token
    System.out.println("用户名: " + decodedJWT.getClaim("username").asString()); // 存的是时候是什么类型，取得时候就是什么类型，否则取出来的是null。
    System.out.println("过期时间: "+decodedJWT.getExpiresAt());
}

用户名: 李四
过期时间: Tue Sep 05 15:01:35 CST 2023

3.3 验证过程中可能会出现的异常

SignatureVerificationException:     签名不一致异常：系统中并未签发过该token，一般是恶意用户伪造出来的
TokenExpiredException:              令牌过期异常
AlgorithmMismatchException:         算法不匹配异常：签名算法和验签算法不一致
InvalidClaimException:              失效的payload异常：token无效

3.4 封装工具类

public class JWTUtils {
 
    private static final String SIGNATURE="jupiter";//加密密钥
 
    /**
     * 生成token    header.payload.signatureResult
     * @param map : 需要保存的payload，也就是用户信息
     * @return
     */
    public static String getToken(Map<String,String> map){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.MINUTE,4320);//3天过期
 
        JWTCreator.Builder builder = JWT.create();
 
        //设置payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
 
        //设置过期时间
        builder.withExpiresAt(instance.getTime());
 
        //设置加密算法和加密密钥
        String token = builder.sign(Algorithm.HMAC256(SIGNATURE));
 
        return token;
    }
 
    /**
     * 验证token的合法性，若验证不通过，直接抛出异常
     * @param token
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
    }
}

4.SpringBoot项目整合使用

在实际场景当中，我们需要对用户每一次的请求做验证，如果将每次验证的代码都要写一遍，这将造成大量代码的冗余，因此采用springmvc当中的拦截器Interceptor

• JWTInterceptor

public class JWTInterceptor implements HandlerInterceptor {
    /**
     * 这里我们只需要实现请求之前的验证即可,因此只要实现preHandle()方法即可
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //一般我们要求将token放在请求的header中，所以这里我们从request中拿token
        String token = request.getHeader("token");
        HashMap<Object, Object> map = new HashMap<>();
        try {
            JWTUtils.verify(token);
            return true;//验证通过，放行
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","签名错误");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","加密算法不一致");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token已过期");
        }catch (Exception e) {
            e.printStackTrace();
            map.put("msg","token无效");
        }
        map.put("state",false);//设置状态
        
        //这里返回json格式的map，只能手动将map处理成json     使用jackson
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
 
        return false;
    }
}

• 然后对拦截器进行配置JWTInterceptorConfig

@Configuration
public class JWTInterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")//拦截所有请求
                .excludePathPatterns("/user/login");//放行登录请求
    }
}

参考资料

1. JWT的学习笔记_algorithmmismatchexception 算法不匹配是什么原因_'小竹子'的博客-CSDN博客
2. JWT（JSON Web Token） 学习笔记（整合Spring Boot）_jwt.getclaims_songshu。的博客-CSDN博客
3. JWT 的结构详解_jwt结构_荆茗Scaler的博客-CSDN博客