2. 程式人生 > >JSON Web Tokens(JWT)

JSON Web Tokens(JWT)

阿新 發佈:2017-06-17
header xiaomi 含義 安全 glog format creation json hash

現在API越來越流行,如何安全保護這些API? JSON Web Tokens(JWT)能提供基於JSON格式的安全認證。它有以下特點:

  • JWT是跨不同語言的,JWT可以在 .NET, Python, Node.js, Java, PHP, Ruby, Go, JavaScript和Haskell中使用
  • JWT是自我包涵的,它們包含了必要的所有信息,這就意味著JWT能夠傳遞關於它自己的基本信息,比如用戶信息和簽名等。
  • JWT傳遞是容易的,因為JWT是自我包涵,它們能被完美用在HTTP頭部中,當需要授權API時,你只要通過URL一起傳送它既可。

JWT易於辨識,是三段由小數點組成的字符串:

aaaaaaaaaa.bbbbbbbbbbb.cccccccccccc

這三部分含義分別是header,payload, signature

Header

頭部包含了兩個方面:類型和使用的哈希算法(如HMAC SHA256):

{
"typ": "JWT",
"alg": "HS256" 
}

對這個JSON字符進行base64encode編碼,我們就有了首個JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

JWT的第二部分是payload,也稱為 JWT Claims,這裏放置的是我們需要傳輸的信息,有多個項目如註冊的claim名稱,公共claim名稱和私有claim名稱。

註冊claim名稱有下面幾個部分:

  • iss: token的發行者
  • sub: token的題目
  • aud: token的客戶
  • exp: 經常使用的,以數字時間定義失效期,也就是當前時間以後的某個時間本token失效。
  • nbf: 定義在此時間之前,JWT不會接受處理。開始生效時間
  • iat: JWT發布時間,能用於決定JWT年齡
  • jti: JWT唯一標識. 能用於防止 JWT重復使用,一次只用一個token;如果簽發的時候這個claim的值是“1”,驗證的時候如果這個claim的值不是“1”就屬於驗證失敗

公共claim名稱用於定義我們自己創造的信息,比如用戶信息和其他重要信息。

私有claim名稱用於發布者和消費者都同意以私有的方式使用claim名稱。

下面是JWT的一個案例:

{
"iss": "scotch.io",
"exp": 1300819380,
"name": "Chris Sevilleja",
"admin": true 
}

簽名

JWT第三部分最後是簽名,簽名由以下組件組成:

  • header
  • payload
  • 密鑰

下面是我們如何得到JWT的第三部分:

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); HMACSHA256(encodedString, ‘secret‘);

這裏的secret是被服務器簽名,我們服務器能夠驗證存在的token並簽名新的token。

TWT支持的算法有:

技術分享

============================================================================================================

以上是官網的理論部分,下面會有提供一些實例:

首先 導入 依賴:

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.2.0</version>
</dependency>

1, 指定加密算法:

//HMAC
Algorithm algorithmHS = Algorithm.HMAC256("secret");

-------------------------------------------------------------------------
//RSA

Map<String,Object> keys=RSAUtils.getKeys();
RSAPublicKey publicKey = (RSAPublicKey)keys.get("public"); //Get the key instance
RSAPrivateKey privateKey = (RSAPrivateKey)keys.get("private");//Get the key instance
Algorithm algorithmRS = Algorithm.RSA256(publicKey, privateKey);

2 , 生成token

用HS256生成token

try {
    Algorithm algorithm = Algorithm.HMAC256("secret");
    String token = JWT.create()
        .withIssuer("auth0")
        .sign(algorithm);
} catch (UnsupportedEncodingException exception){
    //UTF-8 encoding not supported
} catch (JWTCreationException exception){
    //Invalid Signing configuration / Couldn‘t convert Claims.
}

用RS256生成token

 Map<String,Object> keys=RSAUtils.getKeys();
        RSAPublicKey publicKey = (RSAPublicKey)keys.get("public"); //Get the key instance
        RSAPrivateKey privateKey = (RSAPrivateKey)keys.get("private");//Get the key instance
try {
    Algorithm algorithm = Algorithm.RSA256(publicKey, privateKey);
    String token = JWT.create()
        .withIssuer("auth0")
        .sign(algorithm);
} catch (JWTCreationException exception){
    //Invalid Signing configuration / Couldn‘t convert Claims.
}

3, 驗證token

1)普通驗證

用HS256驗證token

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXUyJ9.eyJpc3MiOiJhdXRoMCJ9.AbIJTDMFc7yUa5MhvcP03nJPyCPzZtQcGEp-zWfOkEE";
try {
    Algorithm algorithm = Algorithm.HMAC256("secret");
    JWTVerifier verifier = JWT.require(algorithm)
        .withIssuer("auth0")
        .build(); //Reusable verifier instance
    DecodedJWT jwt = verifier.verify(token);
} catch (UnsupportedEncodingException exception){
    //UTF-8 encoding not supported
} catch (JWTVerificationException exception){
    //Invalid signature/claims
}

用RS256驗證token

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXUyJ9.eyJpc3MiOiJhdXRoMCJ9.AbIJTDMFc7yUa5MhvcP03nJPyCPzZtQcGEp-zWfOkEE";
RSAPublicKey publicKey = //Get the key instance
RSAPrivateKey privateKey = //Get the key instance
try {
    Algorithm algorithm = Algorithm.RSA256(publicKey, privateKey);
    JWTVerifier verifier = JWT.require(algorithm)
        .withIssuer("auth0")
        .build(); //Reusable verifier instance
    DecodedJWT jwt = verifier.verify(token);
} catch (JWTVerificationException exception){
    //Invalid signature/claims
}

2)在payLoad 是可以自定義數據,用於驗證,包括時間等。

在生成token的時候指定數據:

@Test
   public void gen1() throws IOException {
        String token ="";
        SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
        //日期轉字符串
            Calendar calendar = Calendar.getInstance();
            calendar.add(Calendar.SECOND,30 ); //特定時間的年後
            Date date = calendar.getTime();
        try {
           Algorithm algorithm = Algorithm.HMAC256("mysecrite");
            token = JWT.create()
                   .withIssuer("auth0")
                    .withSubject("xiaoming")
                    .withClaim("name", 123)
                    .withArrayClaim("array", new Integer[]{1, 2, 3})
                    .withExpiresAt(date)
                   .sign(algorithm);
           System.out.println("loglogagel:"+token);
       } catch (UnsupportedEncodingException exception){
           //UTF-8 encoding not supported
       } catch (JWTCreationException exception){
           //Invalid Signing configuration / Couldn‘t convert Claims.
       }


   }

驗證token是否過期,是否有制定的

@Test
  public void gen3(){
      String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJhdXRoMCIsImV4cCI6MTQ5NzY4NTQwOX0.DHY-90JAA63_TvI-gRZ2oHCIItMajb45zB1tdCHQ_NQ";
      try {
          Algorithm algorithm = Algorithm.HMAC256("mysecrite");

          JWTVerifier.BaseVerification verification = (JWTVerifier.BaseVerification) JWT.require(algorithm)
                  .withIssuer("auth0")
                  .withSubject("xiaomong");
          Clock clock = new Clock() {
              @Override
              public Date getToday() {
                  return new Date();
              }
          };//Must implement Clock interface
          JWTVerifier verifier = verification.build(clock);
          DecodedJWT jwt = verifier.verify(token);
          System.out.println(jwt.getAlgorithm());
          System.out.println(jwt.getType());
          System.out.println(jwt.getIssuer());
          System.out.println(jwt.getExpiresAt());
      } catch (UnsupportedEncodingException exception){
          //UTF-8 encoding not supported
          exception.printStackTrace();
      } catch (JWTVerificationException exception){
          //Invalid signature/claims
          exception.printStackTrace();
      }
}

如果 subject驗證的不一致,就會報如下錯誤:

技術分享

如果時間超過 30 秒,會報如下錯誤:

技術分享

對驗證的方法稍加修改:

 @Test
  public void gen3(){
      String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ4aWFvbWluZyIsImFycmF5IjpbMSwyLDNdLCJpc3MiOiJhdXRoMCIsIm5hbWUiOiJJYW0gcmlnaHQgZnJvbSBjbGFpbSIsImV4cCI6MTQ5NzY4OTQ4NX0.6lsXISVAgi8B2wAvaZq4tj-h9Pgd6GGaOYZLz_gPFMU";
      try {
          Algorithm algorithm = Algorithm.HMAC256("mysecrite");

          JWTVerifier.BaseVerification verification = (JWTVerifier.BaseVerification) JWT.require(algorithm)
                  .withIssuer("auth0")
                  .withSubject("xiaoming");
          Clock clock = new Clock() {
              @Override
              public Date getToday() {
                  return new Date();
              }
          };//Must implement Clock interface
          JWTVerifier verifier = verification.build(clock);
          DecodedJWT jwt = verifier.verify(token);
          Map<String, Claim> claims = jwt.getClaims();    //Key is the Claim name
          Claim claim = claims.get("name");
          System.out.println(claim.asString());    //打印出claim的值
          System.out.println(jwt.getAlgorithm());
          System.out.println(jwt.getType());
          System.out.println(jwt.getIssuer());
          System.out.println(jwt.getExpiresAt());
      } catch (UnsupportedEncodingException exception){
          //UTF-8 encoding not supported
          exception.printStackTrace();
      } catch (JWTVerificationException exception){
          //Invalid signature/claims
          exception.printStackTrace();
      }

驗證後的最後結果:

技術分享

4,claim的添加,獲取

1) 內置的payload主要有以下幾個,如果沒有就返回null

Issuer ("iss") :發布者

String issuer = jwt.getIssuer();

Subject ("sub")

String subject = jwt.getSubject();

Audience ("aud")

List<String> audience = jwt.getAudience();

Expiration Time ("exp")

Date expiresAt = jwt.getExpiresAt();

Not Before ("nbf")

Date notBefore = jwt.getNotBefore();

Issued At ("iat")

Date issuedAt = jwt.getIssuedAt();

JWT ID ("jti")

String id = jwt.getId();

2)定義私有的claim

添加:

String token = JWT.create()
        .withClaim("name", 123)
        .withArrayClaim("array", new Integer[]{1, 2, 3})
        .sign(algorithm);

獲取:

JWTVerifier verifier = JWT.require(algorithm)
    .withClaim("name", 123)
    .withArrayClaim("array", 1, 2, 3)
    .build();
DecodedJWT jwt = verifier.verify("my.jwt.token");

目前,官方支持claim的類型的有:Boolean, Integer, Double, String, Date , String[] 和 Integer.

5, Header Claims

1)header claims 是定義header部分的內容,基本都是默認定義,不需要自己去設置的,內置的有:

Algorithm ("alg")

String algorithm = jwt.getAlgorithm();

Type ("typ")

String type = jwt.getType();

Content Type ("cty")

String contentType = jwt.getContentType();

Key Id ("kid")

String keyId = jwt.getKeyId();

2)添加:

Map<String, Object> headerClaims = new HashMap();
headerClaims.put("owner", "auth0");
String token = JWT.create()
        .withHeader(headerClaims)
        .sign(algorithm);

3)獲取:

Claim claim = jwt.getHeaderClaim("owner");

總結: 看了其他人的一些博客,發現他們的api都是相對老一點的版本,生成token是一步一步來,新的確實簡單方便很多。分享就這裏,歡迎交流。

參考地址:https://github.com/auth0/java-jwt

JSON Web Tokens(JWT)

相關推薦

JSON Web TokensJWT

header xiaomi 含義 安全 glog format creation json hash 現在API越來越流行,如何安全保護這些API? JSON Web Tokens(JWT)能提供基於JSON格式的安全認證。它有以下特點: JWT是跨不同語言的,JWT可以

Json Web TokenJWT

.json import form hid color 執行 加密方法 isa dep Json web token (JWT),是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519)。該token被設計為緊湊且安全的,特別適用於分布式站點的

JSON Web TokenJWT的詳解

1、傳統身份驗證和JWT的身份驗證 傳統身份驗證:       HTTP 是一種沒有狀態的協議,也就是它並不知道是誰是訪問應用。這裡我們把使用者看成是客戶端,客戶端使用使用者名稱還有密碼通過了身份驗證,不過下回這個客戶端再發送請求時候,還得再驗證一下。 解決的方法就是,

JSON Web TokenJWT原理和用法介紹

JSON Web Token(JWT)是目前最流行的跨域身份驗證解決方案。今天給大家介紹一下JWT的原理和用法。 一、跨域身份驗證 Internet服務無法與使用者身份驗證分開。一般過程如下。 1. 使用者向伺服器傳送使用者名稱和密碼。 2. 驗證伺服器後,相關資料(如使用者角色,登入時間等)將儲存在

JSON Web TokenJWT使用步驟說明 JSON Web TokenJWT原理和用法介紹

在JSON Web Token(JWT)原理和用法介紹中,我們瞭解了JSON Web Token的原理和用法的基本介紹。本文我們著重講一下其使用的步驟: 一、JWT基本使用 Gradle下依賴 : compile 'com.auth0:java-jwt:3.4.0' 示例介紹: im

Spring Boot入門教程(五十一): JSON Web TokenJWT

一:認證 在瞭解JWT之前先來回顧一下傳統session認證和基於token認證。 1.1 傳統session認證 http協議是一種無狀態協議,即瀏覽器傳送請求到伺服器,伺服器是不知道這個請求是哪個使用者發來的。為了讓伺服器知道請求是哪個使用者發來的,需要讓使用者提供

JSON WEB TOKENJWT的分析

工作 增加 敏感信息 我們 一段時間 數據量 數據結構 定時 session JSON WEB TOKEN(JWT)的分析 一般情況下,客戶的會話數據會存在文件中,或者引入redis來存儲,實現session的管理,但是這樣操作會存在一些問題,使用文件來存儲的時候,在多臺機

JWTJSON WEB TOKENS-一種無狀態的認證機制

轉載自:http://www.tuicool.com/articles/R7Rj6r3 JWT(JSON Web Tokens ) ———— 一種無狀態的認證機制 一、什麼是JWT? JWT是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT作

介面的安全控制 JWT JSON Web Tokens

前言 如果你的介面是開放的,誰都可以成功呼叫,那麼會非常危險。因此除非你真的想做開放式服務,否則要對使用者的請求做許可權控制 舉例:假如我想自己寫一個“張三版新浪微博”的APP。 新浪微博開放了微博的介面,所有人可以呼叫這些介面“發微博”、“看微博”等。當然不是隨便呼叫,而

JWTJSON Web Tokens的使用

由來 做了這麼長時間的web開發,從JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到現在的nodejs,我自己的看法是越來越喜歡乾淨整潔的web層,之前用jsf開發做view層的時候,用的

5 Easy Steps to Understanding JSON Web Tokens (JWT)

5 Easy Steps to Understanding JSON Web Tokens (JWT)In this article, the fundamentals of what JSON Web Tokens (JWT) are, and why they are used will be expla

微服務架構中的身份驗證問題 :JSON Web Tokens( JWT)

場景介紹 軟體安全是一件很負責的問題,由於微服務系統中每個服務都要處理安全問題,所以在微服務場景下會更加複雜,一般我們會四種面向微服務系統的身份驗證方案。 在傳統的單體架構中,單個服務儲存所有的使用者資料,可以校驗使用者,並在認證成功後建立HTTP會

Java Web控制層傳送Json物件資料

Ext資料查詢類表顯示: 案例:學生管理系統,採用Ext中AJax非同步獲取資料庫中資料並且展現在網頁前端 1、客戶端簡單實現: createWindow : function(){ var desktop = this.app.getDesktop();

一種大氣簡單的Web管理陳列版面設計

borde absolut setup hid color 正常的 for pre == 在頁面的設計中,多版面是一種常見的設計樣式。本文命名一種 這種樣式。能夠簡單描寫敘述為一行top,一列左文件夾,剩余的右下的空間為內容展示區。這種樣式,便於高速定位

探秘如何操作 ASP.NET Web API

asp ajax請求 log pic margin div 判斷 out turn 經過我三篇文章的解惑,webapi我相信大家沒有問題了! 先創建了一個UserModel public class UserModel { public string UserI

使用bottle進行web開發1:hello world

matches 動態 bsp allow 模塊 開發 code spec converter 為什麽使用bottle?因為簡單,就一個py文件,和其他模塊沒有依賴,3000多行代碼。 http://www.bottlepy.org/docs/dev/ 既然開始學習

web框架之基礎簡介

-a 程序 我想 pos 客戶 創建 當前 自動 art http的請求聲明周期:域名----DNS服務器---IP地址---基於tcp協議的http協議發送請求協議,服務端返回響應頭+響應體(我們所看到的頁面(是經過js渲染的,接收的是字符串))服務端(web服務)根據我

使用bottle進行web開發5:Generating Content

方便 () strings 系統 end byte 導致 res 名稱 在純粹的 WSGI中,你的應用能返回的數據類型是十分有限的,你必須返回可叠代的字符串,你能返回字符串是因為字符串是可以叠代的,但是這導致服務器將你的內容按一字符一字符的傳送,這個時候,Unicode 字

使用bottle進行web開發4:HTTPError

instead bject hat red uil tle ott class not from bottle import error @error(404) def error404(error): return ‘Nothing here, sorry‘

【安全牛學習筆記】Web掃描器1

安全 web 漏洞 1.偵察httrack可將目標網站的網頁全部爬取下來,減少偵察過程中與目標服務器發生的交互。 2.Nikto(1).檢測對象 掃描軟件版本 搜索存在安全隱患的文件 配置漏洞