JWT对SpringCloud进行认证和鉴权

JWT(JSON WEB TOKEN)是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的，所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。

JWT通常由头部(Header)，负载(Payload)，签名(Signature)三个部分组成，中间以.号分隔，其格式为Header.Payload.Signature

Header：声明令牌的类型和使用的算法

• alg：签名的算法

• typ：token的类型，比如JWT

Header   eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
Payload  eyJpc3MiOiJnZXJyeV91c2VyIiwibmFtZSI6IueJp-eggeS6uuaVmeiCs
iIsImV4cCI6MTU5MDU4NTc1OCwidHlwZSI6IjIiLCJlbWFpbCI6IjI3MTMxNDk5OEB
xcS5jb20iLCJtYXJrIjoiZ2VycnkiLCJ0cyI6IjE1OTA0OTkzNTgifQ
Signature ZQba2qY0Q9AzdnmV850Xr1QdOFexLxRrb5qa66mOvZo

Payload：也称为JWT Claims，包含用户的一些信息

系统保留的声明（Reserved claims）：

• iss (issuer)：签发人

• exp (expiration time)：过期时间

• sub (subject)：主题

• aud (audience)：受众用户

• nbf (Not Before)：在此之前不可用

• iat (Issued At)：签发时间

• jti (JWT ID)：JWT唯一标识，能用于防止JWT重复使用

公共的声明(public)：见 http://www.iana.org/assignments/jwt/jwt.xhtml

私有的声明(private claims)：根据业务需要自己定义的数据

ImmutableMap.of("name",
                        returnUser.getName(), "email", returnUser.getEmail(),
                        "type",returnUser.getType()+"","ts", Instant.now().getEpochSecond() + "", "mark", "gerry")

Signature：签名

签名格式： HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT的特点：

• JWT默认是不加密的，不能把用户敏感类信息放在Payload部分。

• JWT 不仅可以用于认证，也可以用于交换信息。

• JWT的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限。

• JWT本身包含认证信息，为了减少盗用，JWT的有效期不宜设置太长。

• 为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。

• 首次生成token比较慢，比较耗CPU，在高并发的情况下需要考虑CPU占用问题。

• 生成的token比较长，可能需要考虑流量问题。

• oauth2

认证原理：

• 客户端向服务器申请授权，服务器认证以后，生成一个token字符串并返回给客户端，此后客户端在请求受保护的资源时携带这个token，服务端进行验证再从这个token中解析出用户的身份信息。

JWT的使用方式：一种做法是放在HTTP请求的头信息Authorization字段里面，格式如下：

Authorization: <token>

需要将服务器设置为接受来自所有域的请求，用Access-Control-Allow-Origin: *

另一种做法是，跨域的时候，JWT就放在POST请求的数据体里面。

对JWT实现token续签的做法：

1、额外生成一个refreshToken用于获取新token，refreshToken需存储于服务端，其过期时间比JWT的过期时间要稍长。

2、用户携带refreshToken参数请求token刷新接口，服务端在判断refreshToken未过期后，取出关联的用户信息和当前token。

3、使用当前用户信息重新生成token，并将旧的token置于黑名单中，返回新的token。