如何基于JWT实现接口的授权访问详解

更新时间：2022年02月20日 10:51:56 作者：xcbeyond

授权是最常见的JWT使用场景,下面这篇文章主要给大家介绍了关于如何基于JWT实现接口的授权访问的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考下

什么是JWT

JWT(JSON Web Token)是一个开放标准（RFC 7519），它定义了一种紧凑且独立的方式，可以在各个系统之间用JSON作为对象安全地传输信息，并且可以保证所传输的信息不会被篡改。

JWT通常有两种应用场景：

授权。这是最常见的JWT使用场景。一旦用户登录，每个后续请求将包含一个JWT，作为该用户访问资源的令牌。
信息交换。可以利用JWT在各个系统之间安全地传输信息，JWT的特性使得接收方可以验证收到的内容是否被篡改。

本文讨论第一点，如何利用JWT来实现对API的授权访问。这样就只有经过授权的用户才可以调用API。

JWT的结构

JWT由三部分组成，用.分割开。

Header

第一部分为Header，通常由两部分组成：令牌的类型，即JWT，以及所使用的加密算法。

{
  "alg": "HS256",
  "typ": "JWT"
}

Base64加密后，就变成了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

第二部分为Payload，里面可以放置自定义的信息，以及过期时间、发行人等。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Base64加密后，就变成了:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature

第三部分为Signature，计算此签名需要四部分信息：

Header里的算法信息
Header
Payload
一个自定义的秘钥

接受到JWT后，利用相同的信息再计算一次签名，然年与JWT中的签名对比，如果不相同则说明JWT中的内容被篡改。

解码后的JWT

将上面三部分都编码后再合在一起就得到了JWT。

需要注意的是，JWT的内容并不是加密的，只是简单的Base64编码。 也就是说，JWT一旦泄露，里面的信息可以被轻松获取，因此不应该用JWT保存任何敏感信息。

JWT是怎样工作的

应用程序或客户端向授权服务器请求授权。这里的授权服务器可以是单独的一个应用，也可以和API集成在同一个应用里。
授权服务器向应用程序返回一个JWT。
应用程序将JWT放入到请求里（通常放在HTTP的Authorization头里）
服务端接收到请求后，验证JWT并执行对应逻辑。

在JAVA里使用JWT

引入依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
</dependency>

这里使用了一个叫JJWT(Java JWT)的库。

JWT Service

生成JWT

public String generateToken(String payload) {
        return Jwts.builder()
                .setSubject(payload)
                .setExpiration(new Date(System.currentTimeMillis() + 10000))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

这里设置过期时间为10秒，因此生成的JWT只在10秒内能通过验证。
需要提供一个自定义的秘钥。

解码JWT

public String parseToken(String jwt) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwt)
                .getBody()
                .getSubject();
    }

解码时会检查JWT的签名，因此需要提供秘钥。

验证JWT

public boolean isTokenValid(String jwt) {
        try {
            parseToken(jwt);
        } catch (Throwable e) {
            return false;
        }
        return true;
    }

JWT并没有提供判断JWT是否合法的方法，但是在解码非法JWT时会抛出异常，因此可以通过捕获异常的方式来判断是否合法。

注册/登录

@GetMapping("/registration")
    public String register(@RequestParam String username, HttpServletResponse response) {
        String jwt = jwtService.generateToken(username);
        response.setHeader(JWT_HEADER_NAME, jwt);

        return String.format("JWT for %s :\n%s", username, jwt);
    }

需要为还没有获取到JWT的用户提供一个这样的注册或者登录入口，来获取JWT。
获取到响应里的JWT后，要在后续的请求里包含JWT，这里放在请求的Authorization头里。

验证JWT

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
        if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
            chain.doFilter(request, response);
        } else if (isTokenValid(jwt)) {
            updateToken(httpServletResponse, jwt);
            chain.doFilter(request, response);
        } else {
            httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
        }
    }

private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
        String payload = jwtService.parseToken(jwt);
        String newToken = jwtService.generateToken(payload);
        httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
    }

将验证操作放在Filter里，这样除了登录入口，其它的业务代码将感觉不到JWT的存在。
将登录入口放在WHITE_LIST里，跳过对这些入口的验证。
需要刷新JWT。如果JWT是合法的，那么应该用同样的Payload来生成一个新的JWT，这样新的JWT就会有新的过期时间，用此操作来刷新JWT，以防过期。
如果使用Filter，那么刷新的操作要在调用doFilter()之前，因为调用之后就无法再修改response了。

API

private final static String JWT_HEADER_NAME = "Authorization";
    @GetMapping("/api")
    public String testApi(HttpServletRequest request, HttpServletResponse response) {
        String oldJwt = request.getHeader(JWT_HEADER_NAME);
        String newJwt = response.getHeader(JWT_HEADER_NAME);

        return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
    }

这时候API就处于JWT的保护下了。API可以完全不用感知到JWT的存在，同时也可以主动获取JWT并解码，以得到JWT里的信息。如上所示。

demo：github.com/Beginner258…

参考资料：jwt.io/

总结

到此这篇关于如何基于JWT实现接口的授权访问的文章就介绍到这了,更多相关JWT接口的授权访问内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Java 程序员掌握 Spring Boot非常有必要
本文带领大家一起来了解下 Spring Boot 到底是什么?包括springboot的诞生，springboot特征具有哪些优势，如何让开发变得更简单，带着这些问题一起通过本文学习下吧
2021-06-06
JDK1.8源码下载及idea2021导入jdk1.8源码的详细步骤
这篇文章主要介绍了JDK1.8源码下载及idea2021导入jdk1.8源码的详细步骤,在文章开头就给大家分享了JDK1.8源码下载地址和下载步骤，告诉大家idea2021.1.3导入JDK1.8源码步骤，需要的朋友可以参考下
2022-11-11
java实现163邮箱发送邮件到qq邮箱成功案例
这篇文章主要为大家分享了java实现163邮箱发送邮件到qq邮箱成功案例，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2016-05-05
spring boot+ redis 接口访问频率限制的实现
这篇文章主要介绍了spring boot+ redis 接口访问频率限制的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-01-01
在springboot3微项目中如何用idea批量创建单元测试逻辑
这篇文章主要介绍了在SpringBoot3项目中使用IntelliJIDEA批量创建单元测试包括准备工作（确保项目配置正确,添加测试依赖）,使用IntelliJIDEA创建测试,感兴趣的朋友一起看看吧
2024-10-10
Java反射,泛型在Json中的运用
这篇文章主要介绍了Java反射,泛型在Json中的运用，帮助大家更好的理解和使用Java，感兴趣的朋友可以了解下
2020-12-12
Java实现简易版猜灯谜游戏的示例代码
灯谜是中秋节传统的活动之一,而现代化的方式则是将其制作成一个小游戏,让用户在游戏的过程中猜灯谜,互动体验更佳,所以本文小编就用Java制作一款猜灯谜小游戏吧
2023-09-09
利用ssh实现服务器文件上传下载
这篇文章主要为大家详细介绍了如何利用ssh实现服务器文件上传下载,具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2016-09-09
java播放声音类和一个简单示例
这篇文章主要介绍了一个java播放声音类和一个java播放声音的应用程序，应用程序可以单次播放声音、循环播放声音,需要的朋友可以参考下
2014-03-03
Java排序的那些事之sort方法的使用详解
sort方法用于对数组的元素进行排序。排序顺序可以是字母或数字，并按升序或降序。默认排序顺序为按字母升序，当数字是按字母顺序排列时"40"将排在"5"前面。使用数字排序，你必须通过一个函数作为参数来调用。这些说起来可能很难理解，你可以通过本篇文章进一步了解它
2021-09-09