背景
这两天在整理之前研发的单体服务时,偶然发现了一个好玩的东西:JWT。该服务中集成了用户登陆和权鉴功能,用户登陆后,通过JWT将用户的基本信息进行签名,存储到cookie里,后面的请求自动带上cookie,通过过滤器检查cookie里的用户信息是否存在,是否过期,是否被篡改,从而达到校验用户身份的效果。而这些信息的签名,解析,校验,仅通过JWT用几行代码就可以实现。我当时看到这个只觉眼前一亮:嘿,这小东西还挺别致哈,必须得拿来给宝子们分享下!
JWT介绍
JWT是JSON Web Token的缩写。它是一种用于在网络应用之间安全传递信息的方式。JWT由三部分组成,分别是Header(头部),Payload(负载)和Signature(签名)。
Header(头部)用于描述关于该JWT的最基本的信息,比如JWT的类型(typ)和签名算法(alg)等。JWT的头部信息和负载信息都是经过Base64编码的,并通过"."连接起来形成最终的JWT。设置头部信息的作用有以下几点:
1) 指定JWT的类型:JWT可以分为JWS(JSON Web Signature)和JWE(JSON Web Encryption),JWT三种类型。JWS用于签名,JWE用于加密。在头部信息中,可以通过设置typ字段来指定JWT的类型,方便客户端进行相应的处理。
2) 指定JWT的签名算法:JWT的签名算法决定了JWT的安全性和可靠性。在头部信息中,可以通过设置alg字段来指定JWT的签名算法。常见的签名算法包括HS256、RS256等。(一般不在header里设置,而是用.sign(Algorithm)来设置签名算法)。
3) 添加自定义头部信息:在头部信息中,还可以添加自定义的字段,用于传递额外的信息。比如,可以添加kid字段来指定签名密钥的ID,方便客户端进行密钥管理。
Payload(负载)包含了需要传递的用户信息,如用户ID、角色、权限等。Signature(签名)则是对Header和Payload进行签名,防止信息被篡改。
JWT的优点是易于使用和传递,由于信息已经被签名,可以防止信息篡改,因此可以实现无状态的分布式系统。但是,由于JWT中包含了用户信息,因此一旦被窃取,可能会导致安全问题。因此在使用JWT时需要注意安全性,并采取相应的措施,如使用HTTPS协议等。
在使用JWT时,服务端会生成一个JWT并将其返回给客户端。客户端之后每次请求时都会将该JWT加入到请求头部中,服务端会验证该JWT的合法性,并根据其中的信息进行相应的操作。由于JWT中已包含了用户信息,因此无需再次查询数据库,可以提高系统的性能。
JWT实践
闲话不多说,咱们这就来实践JWT的数据签名和信息获取。
1、引入依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.2<
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
