Java安全驗證之jwt(json web token)

原創 江凌 2020-02-24 22:39

http://blog.csdn.net/u012017645/article/details/53585872


jwt token安全驗證流程:用戶發起登錄請求,服務端創建一個加密後的jwt信息,作爲token返回值,在後續請求中jwt信息作爲請求頭,服務端正確解密後可獲取到存儲的用戶信息,表示驗證通過;解密失敗說明token無效或者已過期。

jwt token的組成:header.poyload.sign

  • header:頭部,主要包括參數的類型--JWT,加密算法---RS512,頭部由json字符串用base64編碼生成;
  • poload:載荷,存放需要保存的一些用戶信息,主要包括主題、簽發者、接受者、到期時間等,載荷也由json字符串用base64編碼生成,不能存放敏感數據;
  • sign:簽名,防止惡意篡改數據。

依賴:

		<!-- 使用JWT在用戶和服務器之間傳遞安全可靠的信息 -->
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.6.0</version>
		</dependency>

jwt加解密的工具類:

package cn.lsh.util;

import java.security.Key;
import java.util.Date;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import org.apache.commons.lang.exception.ExceptionUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;




import cn.lsh.entity.User;
import cn.lsh.vo.security.Audience;
import cn.lsh.vo.security.LoginParamter;

public class JwtUtils {
	private static final Logger LOGGER=LoggerFactory.getLogger(JwtUtils.class);
	
	private JwtUtils(){
		
	}

	/*
	 * 驗證jwt是否合法,即解密
	 */
	public static Claims parseJWT(String jsonWebToken,String base64Security){
		try {
			return Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
					.parseClaimsJws(jsonWebToken)
					.getBody();		
		} catch (Exception e) {
			// TODO: handle exception
			LOGGER.error("exception message is: {}", ExceptionUtils.getStackTrace(e));
			return null;
		}
	}
	
	/*
	 * 創建jwt,即加密
	 */
	public static String createJWT(LoginParamter loginParamter,User user,Audience audience){
		long ttlmillis=audience.getExpiresSecond()*1000;
		String base64Security=audience.getBase64Secret();
		Date now=new Date(System.currentTimeMillis());
        
		//生成簽名密鑰
		byte[] apiKeySecretBytes=DatatypeConverter.parseBase64Binary(base64Security);
		Key signingKey=new SecretKeySpec(apiKeySecretBytes, SignatureAlgorithm.HS256.getJcaName());
		
		//添加構成JWT的參數		
		JwtBuilder builder=Jwts.builder().setHeaderParam("typ", "JWT")//typ表示token的類型
				.claim("role", user.getRole())// 自定義屬性
				.claim("unique_name", loginParamter.getUserName())
				.claim("userid", user.getName())
				.setIssuer(audience.getName())// 簽發者
				.setAudience(audience.getClientId())//接受者
				.signWith(SignatureAlgorithm.HS256, signingKey);// 簽名算法以及密匙
		
        //添加Token過期時間
		if(ttlmillis>=0){
			Date exp=new Date(System.currentTimeMillis()+ttlmillis);
			builder.setExpiration(exp)// 過期時間
			.setNotBefore(now);// 失效時間
		}
		
		//生成JWT
		return builder.compact();
	}
	
	public static void main(String[] args) {
		Claims c=parseJWT("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoi566h55CG5ZGYIiwidW5pcXVlX25hbWUiOiJsaXVzaGlodWEiLCJ1c2VyaWQiOiJsaXVzaGlodWEiLCJpc3MiOiJsaXVzaGlodWEiLCJhdWQiOiIwOThmNmJjZDQ2MjFkMzczY2FkZTRlODMyNjI3YjRmNiIsImV4cCI6MTUwMjM1OTQ1NSwibmJmIjoxNTAyMzUyMjU0fQ.OeDN4deNUlDiUmwROjxw5_xrurJt46b1RZ0K5yNKH88", 
				"MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=");
		System.out.println(c);
	}
}

audience包含token的一些信息:

package cn.lsh.vo.security;

import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import lombok.Data;

@Data
//綁定屬性的配置信息到該bean中,配置信息前綴爲audience
@ConfigurationProperties(prefix="audience")
@Component
@ApiModel(value="JWT")
public class Audience {

	@ApiModelProperty(value="傳入的客戶端id,相當於微信的openID",required=true)
	private String clientId;
	@ApiModelProperty(value="64位公鑰",required=true)
	private String base64Secret;
	@ApiModelProperty(value="令牌發行者姓名",required=true)
	private String name;
	@ApiModelProperty(value="令牌有效時間,單位爲秒",required=true)
	private int expiresSecond;
}

一、在用戶登錄是生成token,返回給客戶端

String accessToken=JwtUtils.createJWT(loginParamter, user, audience);

二、在用戶下次請求是驗證token

	private boolean isValidJwt(HttpServletRequest request){
		LOGGER.info("{} request to {}",request.getMethod(),request.getRequestURL());
		String authorization=request.getHeader("Authorization");
		LOGGER.info("authorization is: {}",authorization);
		//access_token的頭信息,定義爲bearer
		String headString=authorization.substring(0, 6).toLowerCase();
		//compareTo逐個比較兩個字符串中相對字符的ascll值,所有字符都相同返回0,發現小於時返回正整數,大於時返回負整數,即ascll值的差值。
		if(headString.compareTo(Constants.BEARER)==0){
			authorization=authorization.substring(6, authorization.length());
			if(JwtUtils.parseJWT(authorization, audience.getBase64Secret())!=null){
				return true;
			}
		}
		return false;
	}





發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring與mybatis項目出現錯誤 Caused by:org.springframework.jdbc.UncategorizedSqlException:

Caused by:org.springframework.jdbc.UncategorizedSqlException:… 在項目開發中,我們常常需要根據條件批量查詢數據庫,這個時候就會用到mybatis的動態sql功能,在編寫

macfuliming 2020-07-06 17:24:29

數據庫知識面試總結

                                                        數據庫面試知識總結 數據庫範式 數據庫範式,是設計關係型數據庫時的規範要求,範式越高,數據冗餘越小。   Mysql數據庫的設

BOY_IT_IT 2020-07-05 08:15:25

SpringMVC中@ResponseBody轉JSON

在SpringMVC中可以利用@ResponseBody,將一個對象轉換成JSON返回給客戶端。當然,這需要配置 (本示例Spring版本是3.1.1) ①引入jackson的包,如jackson-all-1.7.6.jar ②在appl

鹤立鸭群 2020-07-02 14:52:10

gitlab 403 forbidden

1、編輯/etc/gitlab/gitlab.rb文件 一般來說在/etc/gitlab/目錄下 可用find / -name ‘gitlab.rb’ 命令查找路徑 gitlab_rails['rack_attack_git_

俏不俏看微笑 2020-07-02 02:11:36

java.lang.NoClassDefFoundError: org/apache/commons/lang/exception/NestableRuntimeException報錯

原本是想將list轉化爲JSON字符串結果運行的時候一直在報 java.lang.NoClassDefFoundError: org/apache/commons/lang/exception/NestableRuntimeExcepti

不死哦 2020-07-01 17:53:39

頁面加載時隱藏列表某列

  從網上找了好多關於jquery/js隱藏表格某列/行的但是都沒有效果,可能是我寫錯了只能用最簡單的方法了 要是以後找到了再補充   window.onload = function(){       document.getEleme

不死哦 2020-07-01 17:53:39

爲什麼Collections.addAll()比arrays.addAll()性能好?

1. Collections.addAll()比arrays.addAll()更快嗎? 在《Java核心編程》這本書中,“持有對象”這一章有個地方講到: Collections.addAll()比arrays.addAll()方

探云观海 2020-07-01 16:25:20

深入分析javaweb技術內幕5---Jetty、Spring、Spring MVC

Jetty的工作原理解析 1.Jetty的基本架構 2.Jetty也是一個Servlet引擎,也可以基於AJP(定向包協議)工作,一般基於AJP 3.Jetty的基本的數據模型是Handler,所有被拓展的組件都可以被作爲一個Handl

Z. ZHANG 2020-07-01 16:14:45

對Cookie的操作

Servlet端: package com.Servlet; import java.io.IOException; import javax.servlet.ServletException; import javax.servle

Z. ZHANG 2020-07-01 16:14:43

深入分析javaweb技術內幕筆記4---Servlet、Session與Cookie、Tomcat

Servlet工作原理解析 1.Servlet對應的tomcat容器模型: 2.context容器直接管理Servlet在容器的包裝類Wrapper 3.一個context對應一個web工程 4.將servlet包裝成context容器

Z. ZHANG 2020-07-01 16:14:43

svn教程與git區別

轉載:http://blog.csdn.net/fwzkj/article/details/47988885 今天由於項目的需要安裝了SVN,在這裏和大家分享一下SVN安裝的詳細過程和分享一些資料。 (1)首先是客戶端的安裝。

Z. ZHANG 2020-07-01 16:14:43

軟件開發架構平臺技術-------Struts2之Web容器對象的使用

                         Struts2之Web容器對象的使用            前段時間確實也比較忙的,忙着考試,忙着寫實驗,各種忙碌以至於迷失了自己,這兩天稍稍輕鬆點,坐在高大上的中南新校圖書館裏面的咖啡

张东轩 2020-06-30 04:33:54

onlinexam開發準備-software

【開發環境】 操作系統:windows7/10 本地java:jdk8 jdk8的下載、安裝、配置(java開發環境搭建) 集成開發工具:IDEA / eclipse IDEA是付費軟件,如爲了學習,急需用而條件不允許,可以自行網絡

truelico 2020-06-28 09:03:34

happens-before的官方解釋

直接先把官方的內容粘貼過來,後續有時間翻譯整理,參考鏈接 https://docs.oracle.com/javase/specs/jls/se7/html/jls-17.html#jls-17.4.5 Two actions c

西城xml 2020-06-27 20:47:56

如何在對外接口中合理地使用枚舉

首先貼出阿里java開發手冊華山版第39頁的一句話 【強制】 二方庫裏可以定義枚舉類型,參數可以使用枚舉類型,但是接口返回值不允許使用 枚舉類型或者包含枚舉類型的 POJO 對象 關於這句話,講一個業務場景:近期因業務發展,我們的

西城xml 2020-06-27 20:47:55