Json Web Token(JWT) 快速入门
推荐视频:【从零开始掌握JWT】
目录
第一章 会话跟踪
01 使用Cookie和Session,jsessionid
02 使用token
例子一:自定义token
例子二:使用redis存储token
第二章 会用JWT
1)TOKEN的特点
2)什么时候使用JWT
3)JWS-JWE-Base64Url
4)Base64
5)Base64URL
第一章 会话跟踪
应用背景 :浏览器访问web应用,基于HTTP协议发送报文,HTTP是一种无状态协议,每当用户发出请求时,服务器就会做出响应,客户端与服务器之间的联系是离散的、非连续的。 服务器不知道是谁发的请求。当用户在同一网站的多个页面之间转换时,需要知道用户是谁时,会话跟踪技术就可以解决这个问题。
会话跟踪主要使用的技术:
URL重写,隐藏表单域,cookie,session
# 1、URL重写技术
就是在URL结尾添加一个附加数据以标识该会话,把会话ID通过URL的信息传递过去,以便在服务端进行识别不同的用户# 2、隐藏表单域:
将会话ID添加到HTML表单元素中提交到服务器,此表单不再客户端显示# 3、cookie
Cookie是web服务器发送给客户端的一小段信息,客户端请求时可以读取该信息发送到服务器端,进而进行用户的识别。对于客户端的每次请求,服务器都会将Cookie发送到客户端,在客户端可以进行保存,以便下次使用。# 4、session
在服务器端会创建一个session对象,产生一个sessionID来标识这个session对象然后将这个sessionID放入到Cookie中发送到客户端,下一次访问时,sessionID会发送到服务器,在服务器端进行识别不同的用户session是依赖Cookie的,如果cookie被禁用,那么session也将失效 ,session默认的会话时长为30分钟。
01 使用Cookie和Session,jsessionid
项目背景:进行一次请求转发,产生一次会话。
项目场景:
- @WebServlet 是Java Servlet规范中的注解,用于标识一个Servlet类,并指定该Servlet处理的URL模式等配置信息。
- @ServletComponentScan 是Spring Boot提供的注解,用于扫描并注册使用@WebServlet、@WebFilter和@WebListener注解标记的Servlet、Filter和Listener类。
package com.demo.servlet;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.http.HttpRequest;@WebServlet("myserlet")
public class MyServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {//输出 sessionidSystem.out.println("session="+req.getSession().getId());// 转发到show.jspreq.getRequestDispatcher("/show.jsp").forward(req, resp);}
}
<html>
<body><h2>Hello World!</h2>
</body>
<a herf="myservlet">访问servlet</a>
</html>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head><title>Title</title>
</head>
<body><h3>show.jsp</h3>
</body>
</html>
会话id:
02 使用token
token是什么?
token是什么:翻译是令牌,访问系统的凭证,令牌证明你是谁,你能做什么。
token是服务端生成的一串字符串,客户端首先请求一个令牌,当第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。
例子一:自定义token
1.创建springboot项目
2.加入依赖,spring-web依赖,jquery (webjar)
3.在static目录下创建htm1目录,新建login.html
4.login.html登录页面,获取token
5.新建Logincontroller,模拟登录业务逻辑,使用UUID生成一个token,返回给请求
6.新建main.html作为业务逻辑处理页面,定义一个查询按钮,发起ajax请求,参数有token
7.创建一个处理query的方法,使用token验证登录用户信息。根据验证结果处理其他业务。
1)加入依赖,spring-web依赖,jquery (webjar)
<dependency><groupId>org.webjars</groupId><artifactId>jquery</artifactId><version>3.6.0</version></dependency>
2)在static目录下创建html目录,新建login.html
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>登录</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div style="margin-left: 300px" ><h3>登录页面</h3><form id="loginFrm" action="" method="post">用户名:<input type="text" name="name"> <br/>密 码:<input type="text" name="pwd"> <br/><input type="button" id="loginBtn" value="登录"></form></div><script type="text/javascript">$(function () {$("#loginBtn").on("click", function (){$.ajax({url:"app/login",type:"post",data:$("#loginFrm").serialize(),dataType:"json",success:function (resp){// 存放到cookie$.cookie("accessToken",resp.data);alert("resp="+resp.msg+", token="+resp.data);}})})})</script>
</body>
</html>
3)login.html登录页面,获取token
@RequestParam("name") String name
表示从请求中获取名为 "name" 的参数的值,并将其赋给名为name
的 String 类型变量。@RequestParam("pwd") String pwd
表示从请求中获取名为 "pwd" 的参数的值,并将其赋给名为pwd
的 String 类型变量。
UUID.randomUUID()
:UUID
类是 Java 中用于表示统一唯一标识符的类。randomUUID()
方法会生成一个新的随机 UUID 对象。
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import java.util.Map;
import java.util.UUID;
import java.util.concurrent.ConcurrentHashMap;@RestController
public class LoginController {Map<String,String> tokenMap = new ConcurrentHashMap<>();//登录方法@PostMapping("/app/login")public ResultObject login(@RequestParam("name") String name, @RequestParam("pwd") String pwd){ResultObject ro = new ResultObject();if ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","");ro.setCode(0);ro.setMsg("登录成功,返回token");ro.setData(token);//存储tokentokenMap.put(token, name);}else{ro.setCode(1000);ro.setMsg("登录失败,没有token");ro.setData("");}return ro;}}
分别对应Code;Msg;Token;
4)带上token访问前端API
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div><input type="text" name="studentId" id="studentId" value="1001"><br/><input type="button" name="queryBtn" id="queryBtn" value="访问api需要带上token"><br/></div><script type="text/javascript">$(function(){$("#queryBtn").on("click", function (){$.ajax({url:"app/query",type:"post",data:{"studentId":$("#studentId").val(),"accessToken":$.cookie("accessToken")},dataType:"json",success:function (resp){alert("resp="+resp.msg);}})})})
</script></body>
</html>
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import java.util.Map;
import java.util.UUID;
import java.util.concurrent.ConcurrentHashMap;@RestController
public class LoginController {Map<String,String> tokenMap = new ConcurrentHashMap<>();//登录方法@PostMapping("/app/login")public ResultObject login(@RequestParam("name") String name, @RequestParam("pwd") String pwd){ResultObject ro = new ResultObject();if ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","");ro.setCode(0);ro.setMsg("登录成功,返回token");ro.setData(token);//存储tokentokenMap.put(token, name);}else{ro.setCode(1000);ro.setMsg("登录失败,没有token");ro.setData("");}return ro;}@PostMapping("/app/query")public ResultObject query(Integer studentId, String accessToken){ResultObject ro = new ResultObject();// 判断tokenif(tokenMap.containsKey(accessToken)){//执行业务逻辑,查询学生ro.setCode(0);ro.setMsg("执行业务逻辑是成功的");ro.setData("学生是id"+studentId);}else {ro.setCode(1);ro.setMsg("不能访问系统");ro.setData("");}return ro;}}
例子二:使用redis存储token
stringRedisTemplate
:这是 Spring Data Redis 提供的用于操作 Redis 数据库的模板类。opsForHash()
:这是StringRedisTemplate
提供的用于操作哈希表数据结构的方法,返回一个HashOperations
对象,通过这个对象可以进行哈希表的各种操作。putAll(key, map)
:这是HashOperations
接口中的一个方法,用于向指定哈希表key
中批量 添加 字段和对应的值。参数map
是一个 Java Map 对象,其中包含要添加到哈希表中的字段和值。entries(key)
:这是HashOperations
接口中的一个方法,用于 获取 指定哈希表key
中的所有字段和对应的值,并以 Map 的形式返回结果。
1)向redis存储token
pom.xml
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency>
application.properties:
# 设置redis
spring.data.redis.host=localhost
spring.data.redis.port=6379
login2.html:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>登录</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div style="margin-left: 300px" ><h3>登录页面redis</h3><form id="loginFrm" action="" method="post">用户名:<input type="text" name="name"> <br/>密 码:<input type="text" name="pwd"> <br/><input type="button" id="loginBtn" value="登录"></form></div><script type="text/javascript">$(function () {$("#loginBtn").on("click", function (){$.ajax({url:"app/redis/login",type:"post",data:$("#loginFrm").serialize(),dataType:"json",success:function (resp){// 消息框alert("redis resp="+resp.msg+", token="+resp.data);// 存放到cookie$.cookie("accessRedisToken", resp.data);}})})})</script>
</body>
</html>
LoginController2.java:
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.data.redis.core.StringRedisTemplate;import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.TimeUnit;@RestController
public class LoginController2 {private String TOKEN_KEY = "TOKEN:";@Autowiredprivate StringRedisTemplate stringRedisTemplate;//获取token,redis存储token@PostMapping("/app/redis/login")public ResultObject loginAccessToken(@RequestParam("name") String name,@RequestParam("pwd") String pwd) {ResultObject ro = new ResultObject();// 登录处理,返回tokenif ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","").toUpperCase();// 准备数据Map<String,String> map = new HashMap<>();map.put("userId","1001");map.put("name","lisi");map.put("role","admin");// 其他数据// 存储数据到redisString key = TOKEN_KEY + token;stringRedisTemplate.opsForHash().putAll(key, map);// 有效会话时间 20minstringRedisTemplate.expire(key, 20, TimeUnit.MINUTES);// 返回结果ro.setCode(0);ro.setMsg("登录成功");ro.setData(token);}else {ro.setCode(1);ro.setMsg("认证失败");ro.setData("");}return ro;}}
redis安装和配置:Window下Redis的安装和部署详细图文教程(Redis的安装和可视化工具的使用)_redis安装-CSDN博客
注意访问:localhost:8080/login2.html
2) 从redis取数据访问前端API
main2.html:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div><input type="text" name="studentId" id="studentId" value="1001"><br/><input type="button" name="queryBtn" id="queryBtn" value="访问api需要带上token(redis)"><br/></div><script type="text/javascript">$(function(){$("#queryBtn").on("click", function (){$.ajax({// 指定了AJAX请求的目标 URL到 controller类url:"app/redis/query",type:"post",data:{"studentId":$("#studentId").val(),//获取 cookie"accessToken":$.cookie("accessRedisToken")},dataType:"json",// 设置请求成功后的处理函数success:function (resp){alert("resp="+resp.msg);}})})})
</script></body>
</html>
LoginController.java:
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.data.redis.core.StringRedisTemplate;import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.TimeUnit;@RestController
public class LoginController2 {private String TOKEN_KEY = "TOKEN:";@Autowiredprivate StringRedisTemplate stringRedisTemplate;//获取token,redis存储token@PostMapping("/app/redis/login")public ResultObject loginAccessToken(@RequestParam("name") String name,@RequestParam("pwd") String pwd) {ResultObject ro = new ResultObject();// 登录处理,返回tokenif ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","").toUpperCase();// 准备数据Map<String,String> map = new HashMap<>();map.put("userId","1001");map.put("name","lisi");map.put("role","admin");// 其他数据// 存储数据到redisString key = TOKEN_KEY + token;stringRedisTemplate.opsForHash().putAll(key, map);// 有效会话时间 20minstringRedisTemplate.expire(key, 20, TimeUnit.MINUTES);// 返回结果ro.setCode(0);ro.setMsg("登录成功");ro.setData(token);}else {ro.setCode(1);ro.setMsg("认证失败");ro.setData("");}return ro;}//模拟业务处理方法@PostMapping("app/redis/query")public ResultObject query(Integer studentId, String accessToken){ResultObject ro = new ResultObject();// 检查tokenString key = TOKEN_KEY + accessToken;if(stringRedisTemplate.hasKey(key)){// 获取redis存储数据,userId,role等Map<Object, Object> map = stringRedisTemplate.opsForHash().entries(key);String userId = (String) map.get("userId");String role = (String) map.get("role");String name = (String) map.get("name");// 处理业务逻辑if("admin".equals(role)){ro.setCode(0);ro.setMsg("可以执行admin的操作");ro.setData("执行查询学生是"+studentId+"姓名是:"+name);}}return ro;}}
第二章 会用JWT
01 TOKEN的特点
1. 无状态,可扩展。无需session,可以把token数据从一个服务传递到其他服务,从网关发送到其他服务也很容易。
2. 安全性,token是可以进行加密处理,不存储敏感数据,而且token有实效的,有过期的,过期后需要重写验证。
3. 可扩展,token能实现不同应用之间的通信。 比如使用token访问第三方应用。
4. 跨平台,现代化的应用可能接入不同的设备和其他应用。使用一个有效 token可以在手机app,web应用等访问应用。
JWT规范,允许我们使用JWT在两个组织之间传递安全可靠的信息。
JWT是一个凭证。
JWT的工作原理:
用户先到服务器认证身份,认证后服务器返回一个json,就像这个样子。
以后用户再发起请求,就是带着这个ison数据,服务器拿这个ison对象确定用户身份,判断用户能执行操作,获取数据。为了防止用户篡改数据,服务器在生成这个json对象的时候,会加上签名。
服务器就不保存任何 session 数据了,也无需使用redis存储,服务器变成无状态了,从而比较容易实现扩展。
02 什么时候使用JWT
1)授权Authorization:这是使用WT的最常见方案。用户登录后,每个后续请求都将包含JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用IWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
2)信息交换(Information Exchange):JSON Web令牌是在各方之间安全地传输信息的一种好方法。因为可以对]WT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被算改。
3)客户端会话(无Session)。
JWT 的三个部分依次如下。
- Header(头部)
- Payload(负载)
- Signature(签名)
以上三个部分是 " . " 作为分隔,是一行显示:xxxx.yyyy.zzz
- Header: 是一个json对象,存储元数据
- alg
- typ
- Payload:负载,是一个json对象。是存放传递的数据,数据分为Public的和Private的。
- Signature:签名。签名是对Header和Payload两部分的签名,目的是防止数据被篡改。
- base64UrlEncode(header)
- base64UrlEncode(payload)
- secret
最后把 base64URL 的 Header,base64URL 的 payload、Signature 签名的值三个部分拼成一个字符串,每个部分之间用“点”分隔,就可以返回给用户。
例如:evJhbGci0iJICJ9.eyIzdmFtZSOljoxNTE21j15IDIyf0.Sf1KxwRJ6POk6yJV_adOssw5c
03 JWS-JWE-Base64Url
- JSON Web Signature (WS):JSON Web 签名,带有Signature部分的JWT就是]WS,默认WT是没有Signature这部分的
- JSON Web Encryption (WE):把payload部分加密,变为不可读的密文数据
- JSON Web Key (WK):JWK密钥,也就是我们常说的 secret; 关于秘钥的生成,秘钥内容,长度等相关的
04 Base64
所谓Base64,就是说选出64个字符---小写字母a-z、大写字母A-Z、数字0-9、符号"+"、"-”(再加上作为垫字的"=",实际上是65个字符)----作为一个基本字符集。然后,其他所有符号都转换成这个字符集中的字符。
05 Base64URL
URL Base64的某些方面有别于Base64,它不需要定义每行字符数及行末回车换行符,同时,根据URL相关要求,符号“+"和符号””是不允许出现在URL中的,于是采用“-"和“”符号取代。
Ps:就是把Base64编码的内容,把不能在url中使用的字符 使用”-”,“”替换
Apache Commons Codec 库实现了UrlBase64算法,可以在java中使用。
06 java实现JWT ✫✫✫✫
- Mac类: javax.crypto.Mac 提供消息验证码算法的功能。
- MAC: 是Message Authentication Code 缩写。
- java类中Mac支持的算法。
https://docs.oracle.com/javase/8/docs/api/index.html: 有算法名称说明
生成jwt内容
1)创建spring boot 项目,不用选择依赖
2)加入依赖 base64依赖
<dependency><groupId>commons-codec</groupId><artifactId>commons-codec</artifactId><version>1.15</version></dependency>
3)创建Header
package com.example.jwtjava;import org.apache.commons.codec.binary.Base64;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;import java.io.UnsupportedEncodingException;@SpringBootTest
class JwtJavaApplicationTests {@Testpublic void getHeader() throws UnsupportedEncodingException {// 规定:签名算法名称;令牌类型String header = "{\"alg\":\"HS256\",\"typ\":\"JWT\"}";// 编码:把header的json转为base64URL编码字符串String header64 = Base64.encodeBase64URLSafeString(header.getBytes("UTF-8"));System.out.println("header64:"+header64);}
}
- HttpServlet 是Java Servlet API 的一个抽象类,用于处理来自客户端的HTTP请求并生成HTTP响应。开发人员可以通过继承HttpServlet类并重写其中的doGet()、doPost()等方法来处理特定的HTTP请求。
- doGet(HttpServletRequest request, HttpServletResponse response): 处理HTTP GET请求的方法。开发人员可以重写这个方法来处理GET请求,并生成相应的响应。
- doPost(HttpServletRequest request, HttpServletResponse response): 处理HTTP POST请求的方法。开发人员可以重写这个方法来处理POST请求,并生成相应的响应。
- doPut(HttpServletRequest request, HttpServletResponse response): 处理HTTP PUT请求的方法。
- doDelete(HttpServletRequest request, HttpServletResponse response): 处理HTTP DELETE请求的方法。
HttpServletRequest常用方法:
- getParameter(String name): 获取HTTP请求中的参数值。
- getMethod(): 获取HTTP请求的方法,如GET、POST等。
- getRequestURL(): 获取请求的URL。
- getSession(): 获取与该请求关联的会话,如果没有会话存在,则创建一个新的会话。
- getHeader(String name): 获取指定名称的请求头的值。
- getCookies(): 获取包含该请求的所有Cookie的数组。
HttpServletResponse常用方法:
- setContentType(String type): 设置响应的内容类型。
- setStatus(int sc): 设置响应的状态码(如200、404等)。
- getWriter(): 返回一个PrintWriter对象,用于向客户端发送文本数据。
- sendRedirect(String location): 发送一个重定向响应到指定的URL。
- addHeader(String name, String value): 添加一个响应头。
- setCookie(Cookie cookie): 将Cookie添加到响应中。