一、认证机制种类:

1、HTTP-Basic-Auth

每次请求接口必须提供账号信息【username + password】

但是信息有暴露风险,配合RestFul风格使用,逐渐淘汰

2、Cookie-Auth

首次请求在客户端和服务端分别创建Cookie + Session 对象

通过两者的对象匹配实现状态管理,浏览器关闭会让Cookie对象销毁

可以设置Cookie过期时间

3、Open-Authorization [ Oauth ]

开放授权,授权给第三方应用来访问服务资源

4、Token-Auth

基于令牌的验证,所有权限控制的判断全部以令牌为凭证通行访问

二、Json Web Token [ JWT ]

标准描述:

https://tools.ietf.org/html/rfc7519

官网地址:

https://jwt.io/

以前后端数据交互标准的JSON作为传输载体实现Token-Auth

https://www.bilibili.com/video/BV12D4y1U7D8?p=39

三、Java - JWT

创建一个SpringBoot项目。

需要Web组件和JJWT组件两个坐标:

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-web</artifactId>

</dependency>

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.9.1</version>

</dependency>

1、创建JWT

JWT令牌生成测试:

package cn.zeal4j;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        creatTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

    }

}

打印的令牌字符串:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg1OTk5fQ.BM0CHf0kawFz6uTBjcF8aeFDYdX0M4CN0PswEPm9W0U

令牌使用点号分割令牌的各个信息

eyJhbGciOiJIUzI1NiJ9 # 头部信息

.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg1OTk5fQ    # 荷载信息

.

BM0CHf0kawFz6uTBjcF8aeFDYdX0M4CN0PswEPm9W0U    # 签发信息

2、解析JWT

解密处理:

package cn.zeal4j;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        creatTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

    }

}

输出结果:

- - - - - JWT-Token-Decoder!!! - - - -

tokenHead -> {"alg":"HS256"}

tokenCarrier -> {"jti":"8848","sub":"userL8","iat":1601386514

tokenSignature -> *�2ɥr�ԻjNz�4�����RzЂ97�+f

签名是被盐加密过了的,所以就算用算法解密了,但是有盐打乱,还是不能知道原文是什么

另外每次生成的Token信息的也会有不同的区别:

eyJhbGciOiJIUzI1NiJ9.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NTE0fQ.

KuQyyaVys9S7_ak56pTSWkJbtotxSetCCOTeeBitmmw

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

eyJhbGciOiJIUzI1NiJ9.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.

LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0

头密文是一直的,但是荷载密文是在结尾有区别,原因是我们加了签发日期

而下面的签发密文是盐加密的,每次都会算出不一样的密文结果

package cn.zeal4j;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        // creatTokenTest();

        parseJwtTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

    }

    void parseJwtTokenTest() {

        // 模拟客户端发送的JWT令牌

        final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

        System.out.println("from JwsHeader KeyId -> " + keyId);

        System.out.println("from ClaimsBody id -> " + id);

        System.out.println("ClaimsBody subject -> " + subject);

        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

        System.out.println("signature -> " + signature);

    }

}

打印结果:

from JwsHeader KeyId -> null

from ClaimsBody id -> 8848

ClaimsBody subject -> userL8

ClaimsBody issuedAt -> Tue Sep 29 21:39:16 CST 2020

signature -> LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0

3、Token过期时间设置

package cn.zeal4j;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.text.SimpleDateFormat;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        // 1、creatTokenTest();

        // 2、parseJwtTokenTest();

        // 3、parseExpiredJwtTokenTest(creatTokenTest());

        parseExpiredJwtTokenTest(creatTokenTest());

    }

    String creatTokenTest() {

        long currentTimeMillis = System.currentTimeMillis();

        long theExpireTimeMills = currentTimeMillis + (60 * 1000); // 1毫秒 * 1000(1秒) * 60 = 1 分钟

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setExpiration(new Date(theExpireTimeMills)).

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

        return jwtToken;

    }

    void parseJwtTokenTest() {

        // 模拟客户端发送的JWT令牌

        final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

        System.out.println("from JwsHeader KeyId -> " + keyId);

        System.out.println("from ClaimsBody id -> " + id);

        System.out.println("ClaimsBody subject -> " + subject);

        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

        System.out.println("signature -> " + signature);

    }

    void parseExpiredJwtTokenTest(String jwtToken) {

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(jwtToken);

        // eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDEzODgzODYsImp0aSI6Ijg4NDgiLCJzdWIiOiJ1c2VyTDgiLCJpYXQiOjE2MDEzODgzMjZ9.Ve0n_TylzsCFHnk4vrjWKM_fZPGteupsx2aLbJU2E0k

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

//        System.out.println("from JwsHeader KeyId -> " + keyId);

//        System.out.println("from ClaimsBody id -> " + id);

//

//        System.out.println("ClaimsBody subject -> " + subject);

//        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

//        System.out.println("signature -> " + signature);



        SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

        String signTime = simpleDateFormat.format(body.getIssuedAt());

        String expireTime = simpleDateFormat.format(body.getExpiration());

        String thisTime = simpleDateFormat.format(new Date());

        System.out.println("- - - JwtTokenTimeExpireTest - - -");

        System.out.println("签发时间 -> " + signTime);

        System.out.println("过期时间 -> " + expireTime);

        System.out.println("现在时间 -> " + thisTime);

    }

}

结果打印:

- - - JwtTokenTimeExpireTest - - -

签发时间 -> 2020-09-29 22:05:26

过期时间 -> 2020-09-29 22:06:26

现在时间 -> 2020-09-29 22:05:26

超过过期时间解析Token会让程序抛出TokenExpireException异常,详细信息自测,不赘述了

4、自定义申明:

String creatTokenTest() {

    long currentTimeMillis = System.currentTimeMillis();

    long theExpireTimeMills = currentTimeMillis + (60 * 1000); // 1毫秒 * 1000(1秒) * 60 = 1 分钟



    Map<String, Object> map = new HashMap<>();

    map.put("k1", "v1");

    map.put("k2", "v2");

    map.put("k3", "v3");

    // ......

    JwtBuilder jwtBuilder = Jwts.builder();

    jwtBuilder.

            setExpiration(new Date(theExpireTimeMills)).

            setId("8848").  // ID标识

            setSubject("userL8").   // 用户主体

            setIssuedAt(new Date()).    // 签发时间

            claim("customClaimKey01", "customClaimValue01"). // 自定义申明方式一

            claim("customClaimKey02", "customClaimValue02").

            addClaims(map). // 自定义申明方式二

            signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

    // 生成的JWT令牌

    String jwtToken = jwtBuilder.compact();

    System.out.println(jwtToken);

    System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

    String[] tokenParts = jwtToken.split("\\.");

    String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

    String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

    String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

    System.out.println("tokenHead -> " + tokenHead);

    System.out.println("tokenCarrier -> " + tokenCarrier);

    System.out.println("tokenSignature -> " + tokenSignature);

    return jwtToken;

}

void parseJwtTokenTest() {

    // 模拟客户端发送的JWT令牌

    final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

    Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

    JwsHeader header = claimsJws.getHeader();

    String keyId = header.getKeyId(); // 获取ID标识

    // 负载对象

    Claims body = claimsJws.getBody();

    String subject = body.getSubject(); // 获取签发主体

    Date issuedAt = body.getIssuedAt(); // 获取签发时间

    String id = body.getId(); // 这也能获取ID?



    Object o = body.get("key-name"); // 获取申明

    String signature = claimsJws.getSignature(); // 签名

    System.out.println("from JwsHeader KeyId -> " + keyId);

    System.out.println("from ClaimsBody id -> " + id);

    System.out.println("ClaimsBody subject -> " + subject);

    System.out.println("ClaimsBody issuedAt -> " + issuedAt);

    System.out.println("signature -> " + signature);

}

【Spring-Security】Re12 JsonWebToken的更多相关文章

  1. 【Spring Security】七、RememberMe配置

    一.概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自动登录.这 ...

  2. 【Spring Security】六、自定义认证处理的过滤器

    这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程.在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为Usern ...

  3. 【Spring Security】五、自定义过滤器

    在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资 ...

  4. 【Spring Security】四、自定义页面

    在前面例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果. ...

  5. 【Spring Security】三、自定义数据库实现对用户信息和权限信息的管理

    一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改.这里只要新建三张表即可,user表.role表.user_role表.其中user用户表,role角色表为保存用户权限 ...

  6. 【Spring Security】二、数据库管理用户权限

    一 引入相关的jar包 这个例子用的是mysql数据库和c3p0开源的jdbc连接池,在项目的pom.xml中引入jar包 <!-- Mysql --> <dependency> ...

  7. 【Spring Security】一、快速入手

    一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架.它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权.这 ...

  8. 【Spring Security】1.快速入门

    1 导入Spring Security的相关依赖 <dependency> <groupId>org.springframework.boot</groupId> ...

  9. 【Spring实战】----开篇(包含系列目录链接)

    [Spring实战]----开篇(包含系列目录链接) 置顶2016年11月10日 11:12:56 阅读数:3617 终于还是要对Spring进行解剖,接下来Spring实战篇系列会以应用了Sprin ...

  10. 【Spring开发】—— Spring Core

    原文:[Spring开发]-- Spring Core 前言 最近由于一些工作的需要,还有自己知识的匮乏再次翻开spring.正好整理了一下相关的知识,弥补了之前对spring的一些错误认知.这一次学 ...

随机推荐

  1. mongodb常用数据库指令

    通过客户端的命令进入到mongodb服务中 mongo命令进入客户端 show dbs  查看数据库 show tables/show collections 查看集合(查看当前库里面的表) db 查 ...

  2. ETL工具-nifi干货系列 第十讲 处理器RouteOnAttribute(数据流路由)

    1.今天我们一起来学习下处理器RouteOnAttribute,此处理器的作用是根据属性值进行路由进而来控制数据流的走向.类似于java中的if-else或者switch-case.如下图所示. Ge ...

  3. HDFS 常用操作命令

    HDFS 文件操作命令 注,其实常用命令不用网上搜,和linux下的命令很类似,触类旁通,直接在linux 上 hadoop fs 看一下就行了,不需要刻意去记 我把 linux 上的 help 列举 ...

  4. centos7 添加极点五笔

    打开终端,输入: yum install ibus ibus-table-wubi 遇到"Is this OK",输入y回车. 完成后重启电脑. 打开"应用程序" ...

  5. SRE心里话:要求100%服务可用性就是老板的无知

    <SRE Google 运维解密>第3章讲了拥抱风险,一些关键的观点,在这里与大家分享,融入了我自己的一些理解,希望对你有些帮助. 服务可用性必须100%?其实完全没必要 一个服务客户的产 ...

  6. Prometheus + Grafana (1) 监控

    简介 Micrometer/Prometheus/Grafana体系是当前最成熟的低成本Java监控解决方案,而且通过其他的Prometheus exporter,还可以进行诸如我们可能需要的Wind ...

  7. python 将查询到数据,处理成包含列名和数据的字典类型数据

    try: self.connect_dbserver() self.cursor.execute(sql) res = self.cursor.fetchall() # 返回的是数组的类型 print ...

  8. UITableView的使用样例(简易向)

    功能实现 构建一个UITableView,并使其默认显示a,b,c--.. 构建一个按钮,点击后列表变为英文字母 构建一个按钮,点击后列表变为数字 基本概念 实现前头文件需要签订协议(如何签订向后看) ...

  9. 【译】VisualStudio.Extensibility 17.10:用 Diagnostics Explorer 调试您的扩展

    想象一下,创建的扩展比以往任何时候都运行得更快.更流畅!如果您最近还没有跟上,我们一直在努力改进 VisualStudio. Extensibility SDK.VisualStudio. Exten ...

  10. 使用nc进行tcp测速

    # server nc -l IP PORT > /dev/null eg: nc -l 192.168.144.1 8080 > /dev/null # client bs单位块大小 c ...