随着现代Web应用的发展,特别是在微服务架构和跨域访问场景中,传统的基于会话的状态管理机制(如Cookie和Session)已经不能很好地满足需求。JSON Web Tokens (JWT) 成为了解决这些问题的一种流行方案。本文将详细介绍JWT的基本概念、工作原理以及如何在实际项目中使用JWT进行身份验证。
什么是JWT?
JWT是一种开放标准(RFC 7519),用于在各方之间以安全的方式传输信息。JWT是一个自包含的令牌,其中包含了用户身份信息和其他自定义声明,被编码成一个紧凑的URL安全字符串。JWT的设计目的是用于身份验证和信息交换,它允许信息在不受信任的环境中以安全的方式传递。
JWT的结构
JWT由三个部分组成,分别用.连接:
- 头部 (Header): 描述了令牌的类型和签名算法。
- 载荷 (Payload): 包含了需要传递的信息。
- 签名 (Signature): 用于验证信息的完整性和发送方的身份。
头部 (Header)
头部是一个包含类型(typ)和签名算法(alg)的JSON对象。例如:
1{
2 "typ": "JWT",
3 "alg": "HS256"
4}载荷 (Payload)
载荷也是一个JSON对象,包含了声明(claims),例如:
1{
2 "sub": "1234567890",
3 "name": "John Doe",
4 "iat": 1516239022
5}其中:
sub表示主题,通常是用户ID。name表示用户名。iat表示签发时间。
签名 (Signature)
签名部分是由头部、载荷和一个密钥通过指定的签名算法计算得出的。例如,使用HMAC SHA-256算法时,签名计算如下:
1Signature = HMACSHA256(
2 base64UrlEncode(header) + "." +
3 base64UrlEncode(payload),
4 secret
5)JWT的工作原理
JWT的工作流程如下:
-
用户登录:
- 用户提交登录凭据。
- 服务器验证凭据。
- 如果验证成功,服务器会生成一个JWT,并将其发送回客户端。
-
客户端存储令牌:
- 客户端通常将JWT存储在浏览器的localStorage或sessionStorage中。
-
客户端发送请求:
- 客户端在每次向服务器发送请求时,都会将JWT附加在
Authorization头部中。
- 客户端在每次向服务器发送请求时,都会将JWT附加在
-
服务器验证令牌:
- 服务器收到请求后,会验证JWT的有效性。
- 如果验证成功,服务器会处理请求并返回相应的资源。
-
令牌过期:
- JWT可以设置一个过期时间,过期后将无法使用。
使用JWT进行身份验证
下面是一个简单的示例,展示了如何在Spring Boot项目中使用JWT进行身份验证。
创建JWT
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;import java.util.Date;public class JwtUtil {public static final long EXPIRE = 1000 * 60 * 60 * 24; // 1天public static final String APP_SECRET = "your-secret-key"; // 生成一个安全的密钥public static String getJwToken(Long userId, String username) {return Jwts.builder().setHeaderParam("typ", "JWT").setHeaderParam("alg", "HS256").setSubject("sys_user").setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + EXPIRE)).claim("userId", userId).claim("username", username).signWith(SignatureAlgorithm.HS256, APP_SECRET).compact();}
}验证JWT
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;public class JwtUtil {public static boolean checkToken(String jwtToken) {if (jwtToken == null || jwtToken.isEmpty()) return false;try {Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);return true;} catch (Exception e) {return false;}}public static Claims getUserByJwtToken(String jwtToken) {return Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken).getBody();}public static Long getUserId(String token) {if (token == null || token.isEmpty()) return null;Claims claims = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(token).getBody();return (Long) claims.get("userId");}
}安全密钥
为了确保JWT的安全性,我们使用io.jsonwebtoken.security.Keys类中的secretKeyFor(SignatureAlgorithm.HS256)方法来生成一个符合安全要求的密钥:
import io.jsonwebtoken.security.Keys;
import io.jsonwebtoken.SignatureAlgorithm;public class JwtUtil {public static final long EXPIRE = 1000 * 60 * 60 * 24; // 1天public static final Key APP_SECRET = Keys.secretKeyFor(SignatureAlgorithm.HS256); // 生成一个安全的密钥// ...
}
