一、认证机制种类:

1、HTTP-Basic-Auth

每次请求接口必须提供账号信息【username + password】

但是信息有暴露风险,配合RestFul风格使用,逐渐淘汰

2、Cookie-Auth

首次请求在客户端和服务端分别创建Cookie + Session 对象

通过两者的对象匹配实现状态管理,浏览器关闭会让Cookie对象销毁

可以设置Cookie过期时间

3、Open-Authorization [ Oauth ]

开放授权,授权给第三方应用来访问服务资源

4、Token-Auth

基于令牌的验证,所有权限控制的判断全部以令牌为凭证通行访问

二、Json Web Token [ JWT ]

标准描述:

https://tools.ietf.org/html/rfc7519

官网地址:

https://jwt.io/

以前后端数据交互标准的JSON作为传输载体实现Token-Auth

https://www.bilibili.com/video/BV12D4y1U7D8?p=39

三、Java - JWT

创建一个SpringBoot项目。

需要Web组件和JJWT组件两个坐标:

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-web</artifactId>

</dependency>

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.9.1</version>

</dependency>

1、创建JWT

JWT令牌生成测试:

package cn.zeal4j;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        creatTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

    }

}

打印的令牌字符串:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg1OTk5fQ.BM0CHf0kawFz6uTBjcF8aeFDYdX0M4CN0PswEPm9W0U

令牌使用点号分割令牌的各个信息

eyJhbGciOiJIUzI1NiJ9 # 头部信息

.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg1OTk5fQ    # 荷载信息

.

BM0CHf0kawFz6uTBjcF8aeFDYdX0M4CN0PswEPm9W0U    # 签发信息

2、解析JWT

解密处理:

package cn.zeal4j;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        creatTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

    }

}

输出结果:

- - - - - JWT-Token-Decoder!!! - - - -

tokenHead -> {"alg":"HS256"}

tokenCarrier -> {"jti":"8848","sub":"userL8","iat":1601386514

tokenSignature -> *�2ɥr�ԻjNz�4�����RzЂ97�+f

签名是被盐加密过了的,所以就算用算法解密了,但是有盐打乱,还是不能知道原文是什么

另外每次生成的Token信息的也会有不同的区别:

eyJhbGciOiJIUzI1NiJ9.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NTE0fQ.

KuQyyaVys9S7_ak56pTSWkJbtotxSetCCOTeeBitmmw

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

eyJhbGciOiJIUzI1NiJ9.

eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.

LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0

头密文是一直的,但是荷载密文是在结尾有区别,原因是我们加了签发日期

而下面的签发密文是盐加密的,每次都会算出不一样的密文结果

package cn.zeal4j;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        // creatTokenTest();

        parseJwtTokenTest();

    }

    void creatTokenTest() {

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

    }

    void parseJwtTokenTest() {

        // 模拟客户端发送的JWT令牌

        final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

        System.out.println("from JwsHeader KeyId -> " + keyId);

        System.out.println("from ClaimsBody id -> " + id);

        System.out.println("ClaimsBody subject -> " + subject);

        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

        System.out.println("signature -> " + signature);

    }

}

打印结果:

from JwsHeader KeyId -> null

from ClaimsBody id -> 8848

ClaimsBody subject -> userL8

ClaimsBody issuedAt -> Tue Sep 29 21:39:16 CST 2020

signature -> LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0

3、Token过期时间设置

package cn.zeal4j;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.Base64Codec;

import org.junit.jupiter.api.Test;

import org.springframework.boot.test.context.SpringBootTest;

import sun.misc.BASE64Decoder;

import java.text.SimpleDateFormat;

import java.util.Date;

@SpringBootTest

class JJwtApplicationTests {

    @Test

    void contextLoads() {

        // 1、creatTokenTest();

        // 2、parseJwtTokenTest();

        // 3、parseExpiredJwtTokenTest(creatTokenTest());

        parseExpiredJwtTokenTest(creatTokenTest());

    }

    String creatTokenTest() {

        long currentTimeMillis = System.currentTimeMillis();

        long theExpireTimeMills = currentTimeMillis + (60 * 1000); // 1毫秒 * 1000(1秒) * 60 = 1 分钟

        JwtBuilder jwtBuilder = Jwts.builder();

        jwtBuilder.

                setExpiration(new Date(theExpireTimeMills)).

                setId("8848").  // ID标识

                setSubject("userL8").   // 用户主体

                setIssuedAt(new Date()).    // 签发时间

                signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

        // 生成的JWT令牌

        String jwtToken = jwtBuilder.compact();

        System.out.println(jwtToken);

        System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

        String[] tokenParts = jwtToken.split("\\.");

        String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

        String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

        String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

        System.out.println("tokenHead -> " + tokenHead);

        System.out.println("tokenCarrier -> " + tokenCarrier);

        System.out.println("tokenSignature -> " + tokenSignature);

        return jwtToken;

    }

    void parseJwtTokenTest() {

        // 模拟客户端发送的JWT令牌

        final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

        System.out.println("from JwsHeader KeyId -> " + keyId);

        System.out.println("from ClaimsBody id -> " + id);

        System.out.println("ClaimsBody subject -> " + subject);

        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

        System.out.println("signature -> " + signature);

    }

    void parseExpiredJwtTokenTest(String jwtToken) {

        Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(jwtToken);

        // eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDEzODgzODYsImp0aSI6Ijg4NDgiLCJzdWIiOiJ1c2VyTDgiLCJpYXQiOjE2MDEzODgzMjZ9.Ve0n_TylzsCFHnk4vrjWKM_fZPGteupsx2aLbJU2E0k

        JwsHeader header = claimsJws.getHeader();

        String keyId = header.getKeyId(); // 获取ID标识

        // 负载对象

        Claims body = claimsJws.getBody();

        String subject = body.getSubject(); // 获取签发主体

        Date issuedAt = body.getIssuedAt(); // 获取签发时间

        String id = body.getId(); // 这也能获取ID?

        String signature = claimsJws.getSignature(); // 签名

//        System.out.println("from JwsHeader KeyId -> " + keyId);

//        System.out.println("from ClaimsBody id -> " + id);

//

//        System.out.println("ClaimsBody subject -> " + subject);

//        System.out.println("ClaimsBody issuedAt -> " + issuedAt);

//        System.out.println("signature -> " + signature);



        SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

        String signTime = simpleDateFormat.format(body.getIssuedAt());

        String expireTime = simpleDateFormat.format(body.getExpiration());

        String thisTime = simpleDateFormat.format(new Date());

        System.out.println("- - - JwtTokenTimeExpireTest - - -");

        System.out.println("签发时间 -> " + signTime);

        System.out.println("过期时间 -> " + expireTime);

        System.out.println("现在时间 -> " + thisTime);

    }

}

结果打印:

- - - JwtTokenTimeExpireTest - - -

签发时间 -> 2020-09-29 22:05:26

过期时间 -> 2020-09-29 22:06:26

现在时间 -> 2020-09-29 22:05:26

超过过期时间解析Token会让程序抛出TokenExpireException异常,详细信息自测,不赘述了

4、自定义申明:

String creatTokenTest() {

    long currentTimeMillis = System.currentTimeMillis();

    long theExpireTimeMills = currentTimeMillis + (60 * 1000); // 1毫秒 * 1000(1秒) * 60 = 1 分钟



    Map<String, Object> map = new HashMap<>();

    map.put("k1", "v1");

    map.put("k2", "v2");

    map.put("k3", "v3");

    // ......

    JwtBuilder jwtBuilder = Jwts.builder();

    jwtBuilder.

            setExpiration(new Date(theExpireTimeMills)).

            setId("8848").  // ID标识

            setSubject("userL8").   // 用户主体

            setIssuedAt(new Date()).    // 签发时间

            claim("customClaimKey01", "customClaimValue01"). // 自定义申明方式一

            claim("customClaimKey02", "customClaimValue02").

            addClaims(map). // 自定义申明方式二

            signWith(SignatureAlgorithm.HS256, "This is a simple salty"); // 签名算法和盐

    // 生成的JWT令牌

    String jwtToken = jwtBuilder.compact();

    System.out.println(jwtToken);

    System.out.println("- - - - - JWT-Token-Decoder!!! - - - -");

    String[] tokenParts = jwtToken.split("\\.");

    String tokenHead = Base64Codec.BASE64.decodeToString(tokenParts[0]);

    String tokenCarrier = Base64Codec.BASE64.decodeToString(tokenParts[1]);

    String tokenSignature = Base64Codec.BASE64.decodeToString(tokenParts[2]);

    System.out.println("tokenHead -> " + tokenHead);

    System.out.println("tokenCarrier -> " + tokenCarrier);

    System.out.println("tokenSignature -> " + tokenSignature);

    return jwtToken;

}

void parseJwtTokenTest() {

    // 模拟客户端发送的JWT令牌

    final String simulationClientJwtToken = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODQ4Iiwic3ViIjoidXNlckw4IiwiaWF0IjoxNjAxMzg2NzU2fQ.LSnm3uzBW6T6fHqGLszv5jsoIoIIiKZRx_rMAwylLV0";

    Jws<Claims> claimsJws = Jwts.parser().setSigningKey("This is a simple salty").parseClaimsJws(simulationClientJwtToken);

    JwsHeader header = claimsJws.getHeader();

    String keyId = header.getKeyId(); // 获取ID标识

    // 负载对象

    Claims body = claimsJws.getBody();

    String subject = body.getSubject(); // 获取签发主体

    Date issuedAt = body.getIssuedAt(); // 获取签发时间

    String id = body.getId(); // 这也能获取ID?



    Object o = body.get("key-name"); // 获取申明

    String signature = claimsJws.getSignature(); // 签名

    System.out.println("from JwsHeader KeyId -> " + keyId);

    System.out.println("from ClaimsBody id -> " + id);

    System.out.println("ClaimsBody subject -> " + subject);

    System.out.println("ClaimsBody issuedAt -> " + issuedAt);

    System.out.println("signature -> " + signature);

}

【Spring-Security】Re12 JsonWebToken的更多相关文章

  1. 【Spring Security】七、RememberMe配置

    一.概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自动登录.这 ...

  2. 【Spring Security】六、自定义认证处理的过滤器

    这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程.在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为Usern ...

  3. 【Spring Security】五、自定义过滤器

    在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资 ...

  4. 【Spring Security】四、自定义页面

    在前面例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果. ...

  5. 【Spring Security】三、自定义数据库实现对用户信息和权限信息的管理

    一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改.这里只要新建三张表即可,user表.role表.user_role表.其中user用户表,role角色表为保存用户权限 ...

  6. 【Spring Security】二、数据库管理用户权限

    一 引入相关的jar包 这个例子用的是mysql数据库和c3p0开源的jdbc连接池,在项目的pom.xml中引入jar包 <!-- Mysql --> <dependency> ...

  7. 【Spring Security】一、快速入手

    一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架.它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权.这 ...

  8. 【Spring Security】1.快速入门

    1 导入Spring Security的相关依赖 <dependency> <groupId>org.springframework.boot</groupId> ...

  9. 【Spring实战】----开篇(包含系列目录链接)

    [Spring实战]----开篇(包含系列目录链接) 置顶2016年11月10日 11:12:56 阅读数:3617 终于还是要对Spring进行解剖,接下来Spring实战篇系列会以应用了Sprin ...

  10. 【Spring开发】—— Spring Core

    原文:[Spring开发]-- Spring Core 前言 最近由于一些工作的需要,还有自己知识的匮乏再次翻开spring.正好整理了一下相关的知识,弥补了之前对spring的一些错误认知.这一次学 ...

随机推荐

  1. 【Java面试题-基础知识01】Java数据类型四连问?

    一.Java中的基础数据类型有哪些? Java中的基本数据类型包括: 1. byte:8位有符号整数,范围为-128到127.2. short:16位有符号整数,范围为-32768到32767.3. ...

  2. Python + redis操作Redis数据库

    Redis redis是一个key-value存储系统.和Memcached类似,它支持存储的value类型相对更多,包括string(字符串).list(链表).set(集合).zset(sorte ...

  3. INFINI Labs 产品更新 | Easysearch 1.7.1发布

    INFINI Labs 产品又更新啦~,包括 Console,Gateway,Agent 1.23.0 和 Easysearch 1.7.1.此次版本重点修复历史遗留 Bug .网友们提的一些需求等. ...

  4. INFINI Labs 产品更新 | 统一版本号 1.22.0

    INFINI Labs 产品又更新啦~,包括 Console,Gateway,Loadgen,Agent 1.22.0.为了避免版本不同带来的困扰,以后发布均统一版本号,此次版本重点修复历史遗留 Bu ...

  5. INFINI Easysearch 与兆芯完成产品兼容互认证

    近日,极限科技旗下软件产品 INFINI Easysearch 搜索引擎软件 V1.0 与兆芯完成兼容性测试,功能与稳定性良好,并获得兆芯产品兼容互认证书. 此次兼容适配基于银河麒麟高级服务器操作系统 ...

  6. com.netflix.hystrix.exception.HystrixBadRequestException: null

    com.netflix.hystrix.exception.HystrixBadRequestException: null 排查方法:如果有多个feign接口的调用,可以在每个调用的方法加上try- ...

  7. IDEA 报错:无效的源发行版 sourceCompatibility

    IDEA 报错:无效的源发行版 sourceCompatibility 检查配置文件中的jdk版本的配置,//错误:sourceCompatibility = '18'//修改成正确的如下:sourc ...

  8. 苹果应用商店上传应用卡在了“Authenticating with the iTunes Store”

    在终端中依次运行下面代码 cd ~ mv .itmstransporter/ .old_itmstransporter/ "/Applications/Xcode.app/Contents/ ...

  9. 多核处理器与MP架构

    多核处理器也称片上多核处理器(Chip Multi-Processor,CMP). 多核处理器的流行 多核出现前,商业化处理器都致力于单核处理器的发展,其性能已经发挥到极致,仅仅提高单核芯片的速度会产 ...

  10. k8s livenessprobe和readinessprobe详解

    一.为什么需要容器探针 如何保持Pod健康 只要将pod调度到某个节点,Kubelet就会运行pod的容器,如果该pod的容器有一个或者所有的都终止运行(容器的主进程崩溃),Kubelet将重启容器, ...