2. 程式人生 > >JWT(Json Web Token)框架 jjwt 教程

JWT(Json Web Token)框架 jjwt 教程

阿新 發佈:2018-11-23

JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替換了 SessionId 的資源訪問和狀態的保持。基於JWT的Token認證的方式有很多優點,本文將介紹 JJWT 的相關用法。

jwt是什麼?

JWTs是JSON物件的編碼表示。JSON物件由零或多個名稱/值對組成,其中名稱為字串,值為任意JSON值。JWT有助於在clear(例如在URL中)傳送這樣的資訊,可以被信任為不可讀(即加密的)、不可修改的(即簽名)和URL – safe(即Base64編碼的)。

jwt的組成

  • Header: 標題包含了令牌的元資料,並且在最小包含簽名和/或加密演算法的型別
  • Claims: Claims包含您想要簽署的任何資訊
  • JSON Web Signature (JWS): 在header中指定的使用該演算法的數字簽名和宣告

jwt 的認證過程

  1. 使用者登入系統;
  2. 服務端驗證,將認證資訊通過指定的演算法(例如HS256)進行加密,例如對使用者名稱和使用者所屬角色進行加密,加密私鑰是儲存在伺服器端的,將加密後的結果傳送給客戶端,加密的字串格式為三個"." 分隔的字串 Token,分別對應頭部、載荷與簽名,頭部和載荷都可以通過 base64 解碼出來,簽名部分不可以;
  3. 客戶端拿到返回的 Token,儲存到 local storage 或本地資料庫;
  4. 下次客戶端再次發起請求,將 Token 附加到 header 中;
  5. 服務端獲取 header 中的 Token ,通過相同的演算法對 Token 中的使用者名稱和所屬角色進行相同的加密驗證,如果驗證結果相同,則說明這個請求是正常的,沒有被篡改。這個過程可以完全不涉及到查詢 Redis 或其他儲存;

JWT 安全性

  • 有很多庫可以幫助您建立和驗證JWT,但是當使用JWT時,仍然可以做一些事情來限制您的安全風險。在您信任JWT中的任何資訊之前,請始終驗證簽名。這應該是給定的。換句話說,如果您正在傳遞一個祕密簽名金鑰到驗證簽名的方法,並且簽名演算法被設定為“none”,那麼它應該失敗驗證。
  • 確保簽名的祕密簽名,用於計算和驗證簽名。祕密簽名金鑰只能由發行者和消費者訪問,不能在這兩方之外訪問。
  • 不要在JWT中包含任何敏感資料。這些令牌通常是用來防止操作(未加密)的,因此索賠中的資料可以很容易地解碼和讀取。
  • 如果您擔心重播攻擊,包括一個nonce(jti索賠)、過期時間(exp索賠)和建立時間(iat索賠)。這些在JWT規範中定義得很好。

jwt的優點

  • 使用 json 作為資料傳輸,有廣泛的通用型,並且體積小,便於傳輸;
  • 不需要在伺服器端儲存相關資訊;
  • jwt 載荷部分可以儲存業務相關的資訊(非敏感的),例如使用者資訊、角色等;

JJWT

JJWT是一個提供端到端的JWT建立和驗證的Java庫。永遠免費和開源(Apache License,版本2.0),JJWT很容易使用和理解。它被設計成一個以建築為中心的流暢介面,隱藏了它的大部分複雜性。

  • JJWT的目標是最容易使用和理解用於在JVM上建立和驗證JSON Web令牌(JWTs)的庫。
  • JJWT是基於JWT、JWS、JWE、JWK和JWA RFC規範的Java實現。
  • JJWT還添加了一些不屬於規範的便利擴充套件,比如JWT壓縮和索賠強制。

JJWT 規範相容

  • 建立和解析明文壓縮JWTs

  • 建立、解析和驗證所有標準JWS演算法的數字簽名緊湊JWTs(又稱JWSs):

    • HS256: HMAC using SHA-256

    • HS384: HMAC using SHA-384

    • HS512: HMAC using SHA-512

    • RS256: RSASSA-PKCS-v1_5 using SHA-256

    • RS384: RSASSA-PKCS-v1_5 using SHA-384

    • RS512: RSASSA-PKCS-v1_5 using SHA-512

    • PS256: RSASSA-PSS using SHA-256 and MGF1 with SHA-256

    • PS384: RSASSA-PSS using SHA-384 and MGF1 with SHA-384

    • PS512: RSASSA-PSS using SHA-512 and MGF1 with SHA-512

    • ES256: ECDSA using P-256 and SHA-256

    • ES384: ECDSA using P-384 and SHA-384

    • ES512: ECDSA using P-521 and SHA-512

下面我們根據 https://github.com/jwtk/jjwt 上的demo,來介紹下 JJWT 的用法。

jjwt 安裝

jjwt 提供了 Maven 和 Gradle 兩種構建方式,Maven 配置如下即可使用 JJWT。

1

2

3

4

5

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.9.0</version>

</dependency>

Gradle 使用方式如下:

1

2

3

dependencies {

    compile 'io.jsonwebtoken:jjwt:0.9.0'

}

注意:JJWT依賴於Jackson 2.x. 如果您已經在您的應用程式中使用了舊版本的 Jackson 請升級相關配置。

建立簽名金鑰

1

2

3

4

5

6

7

8

9

10

11

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import io.jsonwebtoken.impl.crypto.MacProvider;

import java.security.Key;

// 建立簽名金鑰,通常將從應用程式配置中讀取。

// 業餘草:www.xttblog.com

Key key = MacProvider.generateKey();

String compactJws = Jwts.builder()

  .setSubject("Joe")

  .signWith(SignatureAlgorithm.HS512, key)

  .compact();

驗證JWT

1

assert Jwts.parser().setSigningKey(key).parseClaimsJws(compactJws).getBody().getSubject().equals("Joe");

SignatureException 異常

簽名驗證失敗呢?你可以捕捉SignatureException並作出相應的反應。

1

2

3

4

5

6

7

try {

    Jwts.parser().setSigningKey(key).parseClaimsJws(compactJws);

    //OK, we can trust this JWT

    //業餘草:www.xttblog.com

catch (SignatureException e) {

    //don't trust the JWT!

}

壓縮簽名

1

2

3

4

5

String compactJws =  Jwts.builder()

    .setSubject("Joe")

    .compressWith(CompressionCodecs.DEFLATE)

    .signWith(SignatureAlgorithm.HS512, key)

    .compact();

解析時,可以指定某些宣告必須存在並設定為特定值。

1

2

3

4

5

6

7

8

9

10

11

12

try {

    Jws<Claims> claims = Jwts.parser()

        .requireSubject("Joe")

        .require("hasMotorcycle"true)

        .setSigningKey(key)

        .parseClaimsJws(compactJws);

catch (MissingClaimException e) {

    // we get here if the required claim is not present

catch (IncorrectClaimException e) {

    // we get here if the required claim has the wrong value

    //業餘草:www.xttblog.com

}

參考資料

相關推薦

JWTJson Web Token框架 jjwt 教程

JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替換了 SessionId 的資源訪問和狀態的保持。基於JWT

什麽是JWTJSON WEB TOKEN

加密 string style 直接 協議 策略 ade aud images 什麽是JWT Json web token(JWT)是為了網絡應用環境間傳遞聲明而執行的一種基於JSON的開發標準(RFC 7519),該token被設計為緊湊且安全的,特別適用於分

JWT JSON WEB Token正確使用場景

頁面包含 eth token 生成 example 各類 場景 bottom container https://www.jianshu.com/p/af8360b83a9f 講真,別再使用JWT了! ThoughtWorks中國 2017.08.16 08

理解JWTJSON Web Token認證及python實踐

原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本認證是一種用來允許Web瀏覽器或其他客戶端程式在請求時

JWTJson Web Token

 跨域認證的問題 網際網路服務離不開使用者認證。一般流程是下面這樣。         1、使用者向伺服器傳送使用者名稱和密碼。         2、伺服器驗證通過後,在當前對話(session)裡面儲存相關資料,比如使用者角色、登入時間等等。         3、伺服

Python實現JWTJSON Web Token認證

作者介紹 張龍(zero),一線運維老鳥。致力於LINUX/PYTHON/開源技術研究。 常見認證方法 首先要明白,認證和授權是不同的。認證是判定使用者的合法性,授權是判定使用者的許可權級別是否可執行後續操作。這裡所講的僅含認證。 basic認證 這是http協議中所帶帶基本認證,是一

什麼是JWTJSON WEB TOKEN

原文傳送門 什麼是JWT Json web token(JWT)是為了網路應用環境間傳遞宣告而執行的一種基於JSON的開發標準(RFC 7519),該token被設計為緊湊且安全的,特別適用於分散式站點的單點登陸(SSO)場景。JWT的宣告一般被用來在

JWTJSON WEB TOKENS-一種無狀態的認證機制

轉載自:http://www.tuicool.com/articles/R7Rj6r3 JWT(JSON Web Tokens ) ———— 一種無狀態的認證機制 一、什麼是JWT? JWT是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT作

APP使用者登入解決方案——JWTjava web token生成Token

什麼是JSON Web Token?JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊且自包含的方式,用於在各方之間以JSON物件安全傳輸資訊。這些資訊可以通過數字簽名進行驗證和信任。可以使用祕密(使用HMAC演算法)或使用RSA的公

初識JWTjava web token

JWT(Json Web Token)是JSON風格輕量級的授權和身份認證規範,可實現無狀態、分散式的Web應用授權。個人理解 我認為它是分散式session的替代物,在沒有jwt之前,我們可以用re

JWTJSON Web Tokens的使用

由來 做了這麼長時間的web開發,從JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到現在的nodejs,我自己的看法是越來越喜歡乾淨整潔的web層,之前用jsf開發做view層的時候,用的

Json Web TokenJWT

.json import form hid color 執行 加密方法 isa dep Json web token (JWT),是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519)。該token被設計為緊湊且安全的,特別適用於分布式站點的

[認證授權] 2.OAuth2授權 & JWT(JSON Web Token)

har 表示 一個 wii body 是什麽 ibm 其他 user 1 RFC6749還有哪些可以完善的? 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是只提供了如何獲

JSON Web TokenJWT的詳解

1、傳統身份驗證和JWT的身份驗證 傳統身份驗證:       HTTP 是一種沒有狀態的協議,也就是它並不知道是誰是訪問應用。這裡我們把使用者看成是客戶端,客戶端使用使用者名稱還有密碼通過了身份驗證,不過下回這個客戶端再發送請求時候,還得再驗證一下。 解決的方法就是,

JSON Web TokenJWT原理和用法介紹

JSON Web Token(JWT)是目前最流行的跨域身份驗證解決方案。今天給大家介紹一下JWT的原理和用法。 一、跨域身份驗證 Internet服務無法與使用者身份驗證分開。一般過程如下。 1. 使用者向伺服器傳送使用者名稱和密碼。 2. 驗證伺服器後,相關資料(如使用者角色,登入時間等)將儲存在

JSON Web TokenJWT使用步驟說明 JSON Web TokenJWT原理和用法介紹

在JSON Web Token(JWT)原理和用法介紹中,我們瞭解了JSON Web Token的原理和用法的基本介紹。本文我們著重講一下其使用的步驟: 一、JWT基本使用 Gradle下依賴 : compile 'com.auth0:java-jwt:3.4.0' 示例介紹: im

Spring Boot入門教程(五十一): JSON Web TokenJWT

一:認證 在瞭解JWT之前先來回顧一下傳統session認證和基於token認證。 1.1 傳統session認證 http協議是一種無狀態協議,即瀏覽器傳送請求到伺服器,伺服器是不知道這個請求是哪個使用者發來的。為了讓伺服器知道請求是哪個使用者發來的,需要讓使用者提供

[認證授權] 2.OAuth2授權 & JWT(JSON Web Token)

1 RFC6749還有哪些可以完善的? 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是隻提供瞭如何獲得access_token,並未說明怎麼來撤銷一個access_token。關於這部分OAuth2單獨定義

JSON WEB TOKENJWT的分析

工作 增加 敏感信息 我們 一段時間 數據量 數據結構 定時 session JSON WEB TOKEN(JWT)的分析 一般情況下,客戶的會話數據會存在文件中,或者引入redis來存儲,實現session的管理,但是這樣操作會存在一些問題,使用文件來存儲的時候,在多臺機

JSON Web Token的使用轉載

過期 多臺 hcm 完整 協議 客戶端 word https協議 rod 定義JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。適用場景1、用於向Web應用傳遞一些非敏感信息。例如完成加好友、下訂單的