一、认证机制种类:

1、HTTP-Basic-Auth

每次请求接口必须提供账号信息【username + password】

但是信息有暴露风险,配合RestFul风格使用,逐渐淘汰

2、Cookie-Auth

首次请求在客户端和服务端分别创建Cookie + Session 对象

通过两者的对象匹配实现状态管理,浏览器关闭会让Cookie对象销毁

可以设置Cookie过期时间

3、Open-Authorization [ Oauth ]

开放授权,授权给第三方应用来访问服务资源

4、Token-Auth

基于令牌的验证,所有权限控制的判断全部以令牌为凭证通行访问

二、Json Web Token [ JWT ]

标准描述:

https://tools.ietf.org/html/rfc7519

官网地址:

https://jwt.io/

以前后端数据交互标准的JSON作为传输载体实现Token-Auth

https://www.bilibili.com/video/BV12D4y1U7D8?p=39

三、Java - JWT

创建一个SpringBoot项目。

需要Web组件和JJWT组件两个坐标:

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-web</artifactId>

</dependency>

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.9.1</version>

</dependency>

1、创建JWT

JWT令牌生成测试:

package cn.zeal4j;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        creatTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

    }

}

打印的令牌字符串:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg1OTk5fQ.BM0CHf0kawFz6uTBjcF8aeFDYdX0M4CN0PswEPm9W0U

令牌使用点号分割令牌的各个信息

eyJhbGciOiJIUzI1NiJ9 # 头部信息

.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg1OTk5fQ    # 荷载信息

.

BM0CHf0kawFz6uTBjcF8aeFDYdX0M4CN0PswEPm9W0U    # 签发信息

2、解析JWT

解密处理:

package cn.zeal4j;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        creatTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

    }

}

输出结果:

- - - - - JWT-Token-Decoder!!! - - - -

tokenHead -> {"alg":"HS256"}

tokenCarrier -> {"jti":"8848","sub":"userL8","iat":1601386514

tokenSignature -> *�2ɥr�ԻjNz�4�����RzЂ97�+f

签名是被盐加密过了的,所以就算用算法解密了,但是有盐打乱,还是不能知道原文是什么

另外每次生成的Token信息的也会有不同的区别:

eyJhbGciOiJIUzI1NiJ9.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NTE0fQ.

KuQyyaVys9S7_ak56pTSWkJbtotxSetCCOTeeBitmmw

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

eyJhbGciOiJIUzI1NiJ9.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.

LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0

头密文是一直的,但是荷载密文是在结尾有区别,原因是我们加了签发日期

而下面的签发密文是盐加密的,每次都会算出不一样的密文结果

package cn.zeal4j;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        // creatTokenTest();

        parseJwtTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

    }

    void parseJwtTokenTest() {

        // 模拟客户端发送的JWT令牌

        final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

        System.out.println("from JwsHeader KeyId -> " + keyId);

        System.out.println("from ClaimsBody id -> " + id);

        System.out.println("ClaimsBody subject -> " + subject);

        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

        System.out.println("signature -> " + signature);

    }

}

打印结果:

from JwsHeader KeyId -> null

from ClaimsBody id -> 8848

ClaimsBody subject -> userL8

ClaimsBody issuedAt -> Tue Sep 29 21:39:16 CST 2020

signature -> LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0

3、Token过期时间设置

package cn.zeal4j;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.text.SimpleDateFormat;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        // 1、creatTokenTest();

        // 2、parseJwtTokenTest();

        // 3、parseExpiredJwtTokenTest(creatTokenTest());

        parseExpiredJwtTokenTest(creatTokenTest());

    }

    String creatTokenTest() {

        long currentTimeMillis = System.currentTimeMillis();

        long theExpireTimeMills = currentTimeMillis + (60 * 1000); // 1毫秒 * 1000(1秒) * 60 = 1 分钟

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setExpiration(new Date(theExpireTimeMills)).

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

        return jwtToken;

    }

    void parseJwtTokenTest() {

        // 模拟客户端发送的JWT令牌

        final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

        System.out.println("from JwsHeader KeyId -> " + keyId);

        System.out.println("from ClaimsBody id -> " + id);

        System.out.println("ClaimsBody subject -> " + subject);

        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

        System.out.println("signature -> " + signature);

    }

    void parseExpiredJwtTokenTest(String jwtToken) {

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(jwtToken);

        // eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDEzODgzODYsImp0aSI6Ijg4NDgiLCJzdWIiOiJ1c2VyTDgiLCJpYXQiOjE2MDEzODgzMjZ9.Ve0n_TylzsCFHnk4vrjWKM_fZPGteupsx2aLbJU2E0k

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

//        System.out.println("from JwsHeader KeyId -> " + keyId);

//        System.out.println("from ClaimsBody id -> " + id);

//

//        System.out.println("ClaimsBody subject -> " + subject);

//        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

//        System.out.println("signature -> " + signature);



        SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

        String signTime = simpleDateFormat.format(body.getIssuedAt());

        String expireTime = simpleDateFormat.format(body.getExpiration());

        String thisTime = simpleDateFormat.format(new Date());

        System.out.println("- - - JwtTokenTimeExpireTest - - -");

        System.out.println("签发时间 -> " + signTime);

        System.out.println("过期时间 -> " + expireTime);

        System.out.println("现在时间 -> " + thisTime);

    }

}

结果打印:

- - - JwtTokenTimeExpireTest - - -

签发时间 -> 2020-09-29 22:05:26

过期时间 -> 2020-09-29 22:06:26

现在时间 -> 2020-09-29 22:05:26

超过过期时间解析Token会让程序抛出TokenExpireException异常,详细信息自测,不赘述了

4、自定义申明:

String creatTokenTest() {

    long currentTimeMillis = System.currentTimeMillis();

    long theExpireTimeMills = currentTimeMillis + (60 * 1000); // 1毫秒 * 1000(1秒) * 60 = 1 分钟



    Map<String, Object> map = new HashMap<>();

    map.put("k1", "v1");

    map.put("k2", "v2");

    map.put("k3", "v3");

    // ......

    JwtBuilder jwtBuilder = Jwts.builder();

    jwtBuilder.

            setExpiration(new Date(theExpireTimeMills)).

            setId("8848").  // ID标识

            setSubject("userL8").   // 用户主体

            setIssuedAt(new Date()).    // 签发时间

            claim("customClaimKey01", "customClaimValue01"). // 自定义申明方式一

            claim("customClaimKey02", "customClaimValue02").

            addClaims(map). // 自定义申明方式二

            signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

    // 生成的JWT令牌

    String jwtToken = jwtBuilder.compact();

    System.out.println(jwtToken);

    System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

    String[] tokenParts = jwtToken.split("\\.");

    String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

    String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

    String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

    System.out.println("tokenHead -> " + tokenHead);

    System.out.println("tokenCarrier -> " + tokenCarrier);

    System.out.println("tokenSignature -> " + tokenSignature);

    return jwtToken;

}

void parseJwtTokenTest() {

    // 模拟客户端发送的JWT令牌

    final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

    Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

    JwsHeader header = claimsJws.getHeader();

    String keyId = header.getKeyId(); // 获取ID标识

    // 负载对象

    Claims body = claimsJws.getBody();

    String subject = body.getSubject(); // 获取签发主体

    Date issuedAt = body.getIssuedAt(); // 获取签发时间

    String id = body.getId(); // 这也能获取ID?



    Object o = body.get("key-name"); // 获取申明

    String signature = claimsJws.getSignature(); // 签名

    System.out.println("from JwsHeader KeyId -> " + keyId);

    System.out.println("from ClaimsBody id -> " + id);

    System.out.println("ClaimsBody subject -> " + subject);

    System.out.println("ClaimsBody issuedAt -> " + issuedAt);

    System.out.println("signature -> " + signature);

}

【Spring-Security】Re12 JsonWebToken的更多相关文章

  1. 【Spring Security】七、RememberMe配置

    一.概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自动登录.这 ...

  2. 【Spring Security】六、自定义认证处理的过滤器

    这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程.在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为Usern ...

  3. 【Spring Security】五、自定义过滤器

    在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资 ...

  4. 【Spring Security】四、自定义页面

    在前面例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果. ...

  5. 【Spring Security】三、自定义数据库实现对用户信息和权限信息的管理

    一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改.这里只要新建三张表即可,user表.role表.user_role表.其中user用户表,role角色表为保存用户权限 ...

  6. 【Spring Security】二、数据库管理用户权限

    一 引入相关的jar包 这个例子用的是mysql数据库和c3p0开源的jdbc连接池,在项目的pom.xml中引入jar包 <!-- Mysql --> <dependency> ...

  7. 【Spring Security】一、快速入手

    一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架.它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权.这 ...

  8. 【Spring Security】1.快速入门

    1 导入Spring Security的相关依赖 <dependency> <groupId>org.springframework.boot</groupId> ...

  9. 【Spring实战】----开篇(包含系列目录链接)

    [Spring实战]----开篇(包含系列目录链接) 置顶2016年11月10日 11:12:56 阅读数:3617 终于还是要对Spring进行解剖,接下来Spring实战篇系列会以应用了Sprin ...

  10. 【Spring开发】—— Spring Core

    原文:[Spring开发]-- Spring Core 前言 最近由于一些工作的需要,还有自己知识的匮乏再次翻开spring.正好整理了一下相关的知识,弥补了之前对spring的一些错误认知.这一次学 ...

随机推荐

  1. vue3 Suspense

    在Vue.js 3中,Suspense 是一个用于处理异步组件的特殊组件,它允许你在等待异步组件加载时展示备用内容.这对于优化用户体验.处理懒加载组件或异步数据获取时非常有用.Suspense 的主要 ...

  2. sql server 怎么在原有表上加自增长主键列,并指定主键名

    sql server 怎么在原有表上加自增长主键列,并指定主键名: ALTER TABLE [Merchant_black] ADD  Id bigint identity(1,1)   constr ...

  3. Vue学习:14.工程化开发&脚手架

    0基础如何进入IT行业? 简介:对于没有任何相关背景知识的人来说,如何才能成功进入IT行业?是否有一些特定的方法或技巧可以帮助他们实现这一目标? 方向一:学习路径 1.明确兴趣和目标:首先确定你对IT ...

  4. 什么是 MyBatis 的接口绑定,有什么好处?

    接口映射就是在 MyBatis 中任意定义接口,然后把接口里面的方法和 SQL 语句绑定,我们直接调用接口方法就可以,这样比起原来了 SqlSession 提供的方法我们可以有更加灵活的选择和设置.

  5. leetcode-3-无重复字符的最长子串-javascript

    题目 给定一个字符串,请你找出其中不含有重复字符的 最长子串 的长度. 示例 1: 输入: "abcabcbb" 输出: 3 解释: 因为无重复字符的最长子串是 "abc ...

  6. Java代码忽略https证书:解决No subject alternative names present问题 HttpURLConnection https请求

    Java代码忽略https证书:解决No subject alternative names present问题 import org.slf4j.Logger; import org.slf4j.L ...

  7. excel计算日期天数和表格冻结首行

    excel计算日期天数和表格冻结首行 1.在单元格E35中输入公式DATEDIF(A35.B35."MD")MD表起始日期.结束日期天数差."Y" 时间段中的整 ...

  8. 洛谷 P1216 数字三角形

    题目链接:数字三角形 思路 dp:金字塔顶的元素为起点,金字塔每行的最左侧数字只能从上一层的最左侧数字到达,如7 -> 3 -> 8 -> 2 -> 4,这些数字中的每一个(除 ...

  9. Linux 内核:设备树中的特殊节点

    Linux 内核:设备树中的特殊节点 背景 在解析设备树dtb格式的时候,发现了这个,学习一下. 参考: https://blog.csdn.net/weixin_45309916/article/d ...

  10. Oracle常用统计

    测试, 这是测消息 1.按天 select to_char(t.STARTDATE+15/24, 'YYYY-MM-DD') as 天,sum(1) as 数量from HOLIDAY tgroup ...