JWT令牌详细解析

前言

主要介绍了SpringBoot集成JWT令牌详细说明,JWT方式校验方式更加简单便捷化，无需通过redis缓存，而是直接根据token取出保存的用户信息，以及对token可用性校验，单点登录，验证token更为简单。

一、JWT是什么？

JWT简称JSON、Web、Token，也就是通过JSON形式作为web与应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
JSON、Web、Token是一个开放标准，它定义了一种紧凑的、自包含的方式，用于在各方之间以JSON对象安全的传输信息。此信息可以验证和信任，因为它是数字签名的，JWT可以使用秘密或使用RSA或ECDSA的公钥/私钥对进行签名。
官网：http://jwt.io/introduction/

二、JWT与传统Cookie+Session的对比

1. 在传统的用户登录认证中，因为http是无状态的，所以都是采用session方式。用户登录成功，服务端会保证一个session，当然会给客户端一个sessionId，客户端会把sessionId保存在cookie中，每次请求都会携带这个sessionId。

传统Cookie+ Session认证

2. cookie+session这种模式通常是保存在内存中，而且服务从单服务到多服务会面临的session共享问题，随着用户量的增多，开销就会越大。而JWT不是这样的，只需要服务端生成token，客户端保存这个token，每次请求携带这个token，服务端认证解析就可。

3. JWT方式校验方式更加简单便捷化，无需通过redis缓存，而是直接根据token取出保存的用户信息，以及对token可用性校验，单点登录，验证token更为简单。

JWT 认证
用户进行认证，向服务器发送请求，服务器响应请求并进行认证，认证通过后生成JWT即token，响应给前端；后面的每次请求都携带JWT，服务器拦截请求验证token的有效性，正确的token执行业务逻辑响应数据，错误的token返回错误信息给前端，前端展示相应的的信息。

三、JWT

1. JWT的功能

JWT主要的功能有授权、信息交互两种
授权： 用户的授权，一旦用户登录后获得了token，后续一些需要用户权限的请求就不会拒绝请求。
信息交互： JSON Web Token是在各方之间安全传输信息的好方法。因为可以对JWT进行签名（例如：使用公钥/私钥对），所以可以确保发送方信息，由于签名是使用标头和有效负载计算的，因此可以验证内容是否遭到篡改，保证信息的完整性。

2. JWT的结构

本质是一个字符串，token ====> header.payload.singnature
令牌的组成： 标头（header） 、有效负荷（payload） 、签名（singnature）
JWT通常所示：xxxxxx.yyyyyy.zzzzzz

• header: 标头通常由两部分组成即令牌的类型（JWT）和使用的算法类型。【通常使用Base64编码组成JWT结构的第一部分】

{
  "alg":"HS256",
  "typ":"JWT"
}

• payload: 有效负载，存储用户的相关的信息和其他数据的声明。【通常使用Base64编码组成JWT结构的第二部分】

{
  "username":"qiumin",
  "password":"123456"
}

• singnature: 签名，与前面两个部分生成JWT，该签名不能让其他人知道，是保证token不被串改，保证信息的安全。【通常使用Base64编码组成JWT结构的第二部分】

header+"."+payload+"."+singnature ---> 组成唯一的token

3. JWT的使用

1. 导入JWT依赖

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.10.3</version>
</dependency>

2. 生成token

@Test
    public void contentLoad(){
        HashMap<String,Object> map = new HashMap<>();
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,180);
        String token = JWT.create()
                .withHeader(map)  //header
                .withClaim("username", "qiumin") //payload
                .withClaim("password", "123456") //payload
                .withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256("!FhSD!#VDZF%#FDBD"));//签名

        System.out.println(token);
    }

3. 验证解析token

 @Test
    public void Auth(){
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256("!FhSD!#VDZF%#FDBD")).build();
        DecodedJWT verify = verifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsImV4cCI6MTY1NzQzODUxNSwidXNlcm5hbWUiOiJxaXVtaW4ifQ.1TIUuWP1d1-vHc71oTw2pH5LAxtCehiiRnaK3tIZob8");
        System.out.println(verify.getHeader());
        System.out.println("payload: "+verify.getClaim("username").asString());
        System.out.println("payload: "+verify.getClaim("password").asString());
        System.out.println("过期时间: "+verify.getExpiresAt());
    }

4. 常见的JWT异常，封装成工具类JwtUtils
   SignatureVerificationException: 无效签名。
   TokenExpiredException: token过期。
   AlgorithmMismatchException: token算法不一致。
   InvalidClaimException: 失效payload异常。

package com.qiumin.utils;


import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

/**
 * @author qiumin
 * @classname JWTUtils
 * @Description love code
 * @date 2022-07-10 15:33
 */

public class JwtUtils {

    private static final String SING = "!FhSD!#VhDZF%#FDBD";

    /**
     * 获得Token
     * @param map1 header
     * @param map2 payload
     * */
    public static String getToken(Map<String,Object> map1, Map<String,String> map2){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,180); //过期时间

        JWTCreator.Builder builder = JWT.create();
        builder.withHeader(map1); //header

        map2.forEach((k,v)->{builder.withClaim(k,v);}); //payload
        builder.withExpiresAt(instance.getTime()); //过期时间
        String token = builder.sign(Algorithm.HMAC256(SING));//签名
        return token;
    }

    /**
     * 验证token
     * @param token 令牌
     * */
    public static void verify(String token){
        JWTVerifier build = JWT.require(Algorithm.HMAC256(SING)).build();
        build.verify(token);
    }

    /**
     * 获取token中的信息
     * @param token 令牌
     * */
    public static DecodedJWT analysis(String token){
        return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }

}

6. 拦截器配置验证token
   创建拦截器的类，配置WebMvcConfigurer，将自己的自定义拦截器装配到容器中

package com.qiumin.interceptor;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.qiumin.utils.JwtUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;

/**
 * JwtInterceptor拦截器类
 *
 * @author qiumin
 * @classname JwtInterceptor
 * @Description love code
 * @date 2022-07-14 13:14
 */

public class JwtInterceptor implements HandlerInterceptor {

    /**
     * 拦截器
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        HashMap<String, Object> map = new HashMap<>();
        JwtUtils jwtUtils = new JwtUtils();
        try {
            jwtUtils.verify(token);
            return true;
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名！");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期！");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","token算法不一致！");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效！");
        }
        map.put("state",false);
        response.setContentType("application/json;charset=UTF-8");
      //响应给前端
        response.getWriter().println(new ObjectMapper().writeValueAsString(map));
      return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}

配置拦截器

package com.qiumin.config;

import com.qiumin.interceptor.JwtInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author qiumin
 * @classname InterceptorConfig
 * @Description love code
 * @date 2022-07-14 13:37
 */

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtInterceptor())
                .addPathPatterns("/user/test2")  //拦截的路径请求
                .excludePathPatterns("/user/login");  //放行的请求路径
    }
}

参考文章：https://blog.csdn.net/m0_57752520/article/details/125785908
如有问题可联系博主