用戶登錄認證是 Web 應用中非常常見的一個業務,一般的流程是這樣的:
- 客戶端向服務器端發送用戶名和密碼
- 服務器端驗證通過後,在當前會話(session)中保存相關數據,比如說登錄時間、登錄 IP 等。
- 服務器端向客戶端返回一個 session_id,客戶端將其保存在 Cookie 中。
- 客戶端再向服務器端發起請求時,將 session_id 傳回給服務器端。
- 服務器端拿到 session_id 後,對用戶的身份進行鑑定。
單機情況下,這種模式是沒有任何問題的,但對於前後端分離的 Web 應用來說,就非常痛苦了。於是就有了另外一種解決方案,服務器端不再保存 session 數據,而是將其保存在客戶端,客戶端每次發起請求時再把這個數據發送給服務器端進行驗證。JWT(JSON Web Token)就是這種方案的典型代表。
一、關於 JWT
JWT,是目前最流行的一個跨域認證解決方案:客戶端發起用戶登錄請求,服務器端接收並認證成功後,生成一個 JSON 對象(如下所示),然後將其返回給客戶端。
{
"sub": "wanger",
"created": 1645700436900,
"exp": 1646305236
}
客戶端再次與服務器端通信的時候,把這個 JSON 對象捎帶上,作爲前後端互相信任的一個憑證。服務器端接收到請求後,通過 JSON 對象對用戶身份進行鑑定,這樣就不再需要保存任何 session 數據了。
假如我現在使用用戶名 wanger 和密碼 123456 進行訪問編程喵(Codingmore)的 login 接口,那麼實際的 JWT 是一串看起來像是加過密的字符串。
爲了讓大家看的更清楚一點,我將其複製到了 jwt 的官網。
左側 Encoded 部分就是 JWT 密文,中間用「.」分割成了三部分(右側 Decoded 部分):
- Header(頭部),描述 JWT 的元數據,其中
alg屬性表示簽名的算法(當前爲 HS512); - Payload(負載),用來存放實際需要傳遞的數據,其中
sub屬性表示主題(實際值爲用戶名),created屬性表示 JWT 產生的時間,exp屬性表示過期時間 - Signature(簽名),對前兩部分的簽名,防止數據篡改;這裏需要服務器端指定一個密鑰(只有服務器端才知道),不能泄露給客戶端,然後使用 Header 中指定的簽名算法,按照下面的公式產生簽名:
HMACSHA512(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
your-256-bit-secret
)
算出簽名後,再把 Header、Payload、Signature 拼接成一個字符串,中間用「.」分割,就可以返回給客戶端了。
客戶端拿到 JWT 後,可以放在 localStorage,也可以放在 Cookie 裏面。
const TokenKey = '1D596CD8-8A20-4CEC-98DD-CDC12282D65C' // createUuid()
export function getToken () {
return Cookies.get(TokenKey)
}
export function setToken (token) {
return Cookies.set(TokenKey, token)
}
以後客戶端再與服務器端通信的時候,就帶上這個 JWT,一般放在 HTTP 的請求的頭信息 Authorization 字段裏。
Authorization: Bearer <token>
服務器端接收到請求後,再對 JWT 進行驗證,如果驗證通過就返回相應的資源。
二、實戰 JWT
第一步,在 pom.xml 文件中添加 JWT 的依賴。
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
第二步,在 application.yml 中添加 JWT 的配置項。
jwt:
tokenHeader: Authorization #JWT存儲的請求頭
secret: codingmore-admin-secret #JWT加解密使用的密鑰
expiration: 604800 #JWT的超期限時間(60*60*24*7)
tokenHead: 'Bearer ' #JWT負載中拿到開頭
第三步,新建 JwtTokenUtil.java 工具類,主要有三個方法:
generateToken(UserDetails userDetails):根據登錄用戶生成 tokengetUserNameFromToken(String token):從 token 中獲取登錄用戶validateToken(String token, UserDetails userDetails):判斷 token 是否仍然有效
public class JwtTokenUtil {
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expiration}")
private Long expiration;
@Value("${jwt.tokenHead}")
private String tokenHead;
/**
* 根據用戶信息生成token
*/
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
claims.put(CLAIM_KEY_CREATED, new Date());
return generateToken(claims);
}
/**
* 根據用戶名、創建時間生成JWT的token
*/
private String generateToken(Map<String, Object> claims) {
return Jwts.builder()
.setClaims(claims)
.setExpiration(generateExpirationDate())
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
/**
* 從token中獲取登錄用戶名
*/
public String getUserNameFromToken(String token) {
String username = null;
Claims claims = getClaimsFromToken(token);
if (claims != null) {
username = claims.getSubject();
}
return username;
}
/**
* 從token中獲取JWT中的負載
*/
private Claims getClaimsFromToken(String token) {
Claims claims = null;
try {
claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
} catch (Exception e) {
LOGGER.info("JWT格式驗證失敗:{}", token);
}
return claims;
}
/**
* 驗證token是否還有效
*
* @param token 客戶端傳入的token
* @param userDetails 從數據庫中查詢出來的用戶信息
*/
public boolean validateToken(String token, UserDetails userDetails) {
String username = getUserNameFromToken(token);
return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
}
/**
* 判斷token是否已經失效
*/
private boolean isTokenExpired(String token) {
Date expiredDate = getExpiredDateFromToken(token);
return expiredDate.before(new Date());
}
/**
* 從token中獲取過期時間
*/
private Date getExpiredDateFromToken(String token) {
Claims claims = getClaimsFromToken(token);
return claims.getExpiration();
}
}
第四步, 在 UsersController.java 中新增 login 登錄接口,接收用戶名和密碼,並將 JWT 返回給客戶端。
@Controller
@Api(tags="用戶")
@RequestMapping("/users")
public class UsersController {
@Autowired
private IUsersService usersService;
@Value("${jwt.tokenHeader}")
private String tokenHeader;
@Value("${jwt.tokenHead}")
private String tokenHead;
@ApiOperation(value = "登錄以後返回token")
@RequestMapping(value = "/login", method = RequestMethod.POST)
@ResponseBody
public ResultObject login(@Validated UsersLoginParam users, BindingResult result) {
String token = usersService.login(users.getUserLogin(), users.getUserPass());
if (token == null) {
return ResultObject.validateFailed("用戶名或密碼錯誤");
}
// 將 JWT 傳遞迴客戶端
Map<String, String> tokenMap = new HashMap<>();
tokenMap.put("token", token);
tokenMap.put("tokenHead", tokenHead);
return ResultObject.success(tokenMap);
}
}
第五步,在 UsersServiceImpl.java 中新增 login 方法,根據用戶名從數據庫中查詢用戶,密碼驗證通過後生成 JWT。
@Service
public class UsersServiceImpl extends ServiceImpl<UsersMapper, Users> implements IUsersService {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private JwtTokenUtil jwtTokenUtil;
public String login(String username, String password) {
String token = null;
//密碼需要客戶端加密後傳遞
try {
// 查詢用戶+用戶資源
UserDetails userDetails = loadUserByUsername(username);
// 驗證密碼
if (!passwordEncoder.matches(password, userDetails.getPassword())) {
Asserts.fail("密碼不正確");
}
// 返回 JWT
token = jwtTokenUtil.generateToken(userDetails);
} catch (AuthenticationException e) {
LOGGER.warn("登錄異常:{}", e.getMessage());
}
return token;
}
}
第六步,新增 JwtAuthenticationTokenFilter.java,每次客戶端發起請求時對 JWT 進行驗證。
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
private static final Logger LOGGER = LoggerFactory.getLogger(JwtAuthenticationTokenFilter.class);
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private JwtTokenUtil jwtTokenUtil;
@Value("${jwt.tokenHeader}")
private String tokenHeader;
@Value("${jwt.tokenHead}")
private String tokenHead;
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain chain) throws ServletException, IOException {
// 從客戶端請求中獲取 JWT
String authHeader = request.getHeader(this.tokenHeader);
// 該 JWT 是我們規定的格式,以 tokenHead 開頭
if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
// The part after "Bearer "
String authToken = authHeader.substring(this.tokenHead.length());
// 從 JWT 中獲取用戶名
String username = jwtTokenUtil.getUserNameFromToken(authToken);
LOGGER.info("checking username:{}", username);
// SecurityContextHolder 是 SpringSecurity 的一個工具類
// 保存應用程序中當前使用人的安全上下文
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
// 根據用戶名獲取登錄用戶信息
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
// 驗證 token 是否過期
if (jwtTokenUtil.validateToken(authToken, userDetails)) {
// 將登錄用戶保存到安全上下文中
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails,
null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authentication);
LOGGER.info("authenticated user:{}", username);
}
}
}
chain.doFilter(request, response);
}
}
JwtAuthenticationTokenFilter 繼承了 OncePerRequestFilter,該過濾器能確保一次請求只通過一次 filter,而不需要重複執行。也就是說,客戶端每發起一次請求,該過濾器就會執行一次。
這個過濾器非常關鍵啊,基本上每行代碼我都添加了註釋,當然了,爲了確保大家都能搞清楚這個類到底做了什麼,我再來畫一幅流程圖,這樣就一清二楚了。
SpringSecurity 是一個安全管理框架,可以和 Spring Boot 應用無縫銜接,SecurityContextHolder 是其中非常關鍵的一個工具類,持有安全上下文信息,裏面保存有當前操作的用戶是誰,用戶是否已經被認證,用戶擁有的權限等關鍵信息。
SecurityContextHolder 默認使用了 ThreadLocal 策略來存儲認證信息,ThreadLocal 的特點是存在它裏邊的數據,哪個線程存的,哪個線程才能訪問到。這就意味着不同的請求進入到服務器端後,會由不同的 Thread 去處理,例如線程 A 將請求 1 的用戶信息存入了 ThreadLocal,線程 B 在處理請求 2 的時候是無法獲取到用戶信息的。
所以說 JwtAuthenticationTokenFilter 過濾器會在每次請求過來的時候進行一遍 JWT 的驗證,確保客戶端過來的請求是安全的。然後 SpringSecurity 纔會對接下來的請求接口放行。這也是 JWT 和 Session 的根本區別:
- JWT 需要每次請求的時候驗證一次,並且只要 JWT 沒有過期,哪怕服務器端重啓了,認證仍然有效。
- Session 在沒有過期的情況下是不需要重新對用戶信息進行驗證的,當服務器端重啓後,用戶需要重新登錄獲取新的 Session。
也就是說,在 JWT 的方案下,服務器端保存的密鑰(secret)一定不能泄露,否則客戶端就可以根據簽名算法僞造用戶的認證信息了。
三、Swagger 中添加 JWT 驗證
對於後端開發人員來說,如何在 Swagger(整合了 Knife4j 進行美化) 中添加 JWT 驗證呢?
第一步,訪問 login 接口,輸入用戶名和密碼進行登錄,獲取服務器端返回的 JWT。
第二步,收集服務器端返回的 tokenHead 和 token,將其填入 Authorize(注意 tokenHead 和 token 之間有一個空格)完成登錄認證。
第三步,再次請求其他接口時,Swagger 會自動將 Authorization 作爲請求頭信息發送到服務器端。
第四步,服務器端接收到該請求後,會通過 JwtAuthenticationTokenFilter 過濾器對 JWT 進行校驗。
到此爲止,整個流程全部打通了,完美!
四、總結
綜上來看,用 JWT 來解決前後端分離項目中的跨域認證還是非常絲滑的,這主要得益於 JSON 的通用性,可以跨語言,JavaScript 和 Java 都支持;另外,JWT 的組成非常簡單,非常便於傳輸;還有 JWT 不需要在服務器端保存會話信息(Session),非常易於擴展。
當然了,爲了保證 JWT 的安全性,不要在 JWT 中保存敏感信息,因爲一旦私鑰泄露,JWT 是很容易在客戶端被解密的;如果可以,請使用 HTTPS 協議。
參考鏈接:
阮一峯:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
春夏秋冬過:https://segmentfault.com/a/1190000012557493
江南一點雨:https://cloud.tencent.com/developer/article/1612175
Dearmadman:https://www.jianshu.com/p/576dbf44b2ae
mcarozheng:http://www.macrozheng.com/
源碼路徑:
本篇已收錄至 GitHub 上星標 1.6k+ star 的開源專欄《Java 程序員進階之路》,據說每一個優秀的 Java 程序員都喜歡她,風趣幽默、通俗易懂。內容包括 Java 基礎、Java 併發編程、Java 虛擬機、Java 企業級開發、Java 面試等核心知識點。學 Java,就認準 Java 程序員進階之路😄。
https://github.com/itwanger/toBeBetterJavaer
star 了這個倉庫就等於你擁有了成爲了一名優秀 Java 工程師的潛力。也可以戳下面的鏈接跳轉到《Java 程序員進階之路》的官網網址,開始愉快的學習之旅吧。
沒有什麼使我停留——除了目的,縱然岸旁有玫瑰、有綠蔭、有寧靜的港灣,我是不繫之舟。