在SpringBoot中集成JWT鑒權(quán)的方法？這個問題可能是我們?nèi)粘W(xué)習(xí)或工作經(jīng)常見到的。希望通過這個問題能讓你收獲頗深。下面是小編給大家?guī)淼膮⒖純?nèi)容，讓我們一起來看看吧！

創(chuàng)新互聯(lián)是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),雅安服務(wù)器托管、主機(jī)租用、主機(jī)托管，四川、重慶、廣東電信服務(wù)器租用,四川雅安電信機(jī)房，成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國大陸、港澳臺以及歐美等多個國家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

1、關(guān)于JWT

1.1 什么是JWT

老生常談的開頭，我們要用這樣一種工具，首先得知道以下幾個問題。

• 這個工具是什么，這個工具解決了什么問題
• 是否適用于當(dāng)前我們所處得業(yè)務(wù)場景
• 用了之后是否會帶來任何其他問題
• 怎么用才是最佳實(shí)踐

那什么是JWT呢？以下是我對jwt官網(wǎng)上對JWT介紹的翻譯。

JSON Web Token （JWT）是一種定義了一種緊湊并且獨(dú)立的，用于在各方之間使用JSON對象安全的傳輸信息的一個開放標(biāo)準(zhǔn)（RFC 7519）。

現(xiàn)在我們知道，JWT其實(shí)是一種開放標(biāo)準(zhǔn)，用于在多點(diǎn)之間安全地傳輸用JSON表示的數(shù)據(jù)。在傳輸?shù)倪^程中，JWT以字符串的形式出現(xiàn)在我們的視野中。該字符串中的信息可以通過數(shù)字簽名進(jìn)行驗(yàn)證和信任。（推薦：Java教程）

1.2 應(yīng)用場景

JWT在實(shí)際的開發(fā)中，有哪些應(yīng)用場景呢？

1.2.1 授權(quán)

這應(yīng)該算是JWT最常見的使用場景。在前端界面中，一旦用戶登錄成功，會接收到后端返回的JWT。后續(xù)的請求都會包含后端返回的JWT，作為對后端路由、服務(wù)以及資源的訪問的憑證。

1.2.2 信息交換

利用JWT在多方之間相互傳遞信息具有一定的安全性，例如JWT可以用HMAC、RSA非對稱加密算法以及ECDSA數(shù)字簽名算法對JWT進(jìn)行簽名，可以確保消息的發(fā)送者是真的發(fā)送者，而且使用header和payload進(jìn)行的簽名計(jì)算，我們還可以驗(yàn)證發(fā)送的消息是否被篡改了。

2.JWT的結(jié)構(gòu)

通俗來講JWT由header.payload.signature三部分組成的字符串，網(wǎng)上有太多帖子介紹這一塊了，所以在這里就簡單介紹一下就好了。

2.1 header

header由使用的簽名算法和令牌的類型的組成，例如令牌的類型就是JWT這種開放標(biāo)準(zhǔn)，而使用的簽名算法就是HS256，也就是HmacSHA256算法。其他的加密算法還有HmacSHA512、SHA512withECDSA等等。

然后將這個包含兩個屬性的JSON對象轉(zhuǎn)化為字符串然后使用Base64編碼，最終形成了JWT的header。

2.2 payload

payload說直白一些就類似你的requestBody中的數(shù)據(jù)。只不過是分了三種類型，預(yù)先申明好的、自定義的以及私有的。像iss發(fā)件人，exp過期時間都是預(yù)先注冊好的申明。

預(yù)先申明在載荷中的數(shù)據(jù)不是強(qiáng)制性的使用，但是官方建議使用。然后這串類似于requestBody的JSON經(jīng)過Base64編碼形成了JWT的第二部分。

2.3 signature

如果要生成signature，就需要使用jwt自定義配置項(xiàng)中的secret，也就是Hmac算法加密所需要的密鑰。將之前經(jīng)過Base64編碼的header和payload用.相連，再使用自定義的密鑰，對該消息進(jìn)行簽名，最終生成了簽名。

生成的簽名用于驗(yàn)證消息在傳輸?shù)倪^程中沒有被更改。在使用非對稱加密算法進(jìn)行簽名的時候，還可以用于驗(yàn)證JWT的發(fā)件人是否與payload中申明的發(fā)件人是同一個人。

3.JWT在Spring項(xiàng)目中的應(yīng)用場景

3.1 生成JWT

代碼如下。

public String createJwt(String userId, String projectId) throws IllegalArgumentException, UnsupportedEncodingException {
    Algorithm al = Algorithm.HMAC256(secret);
    Instant instant = LocalDateTime.now().plusHours(outHours).atZone(ZoneId.systemDefault()).toInstant();
    Date expire = Date.from(instant);
    String token = JWT.create()
            .withIssuer(issuer)
            .withSubject("userInfo")
            .withClaim("user_id", userId)
            .withClaim("project_id", projectId)
            .withExpiresAt(expire)
            .sign(al);
    return token;
}

傳入的兩個Claim是項(xiàng)目里自定義的payload，al是選擇的算法，而secret就是對信息簽名的密鑰，subject則是該token的主題，withExpiresAt標(biāo)識了該token的過期時間。

3.2 返回JWT

在用戶登錄系統(tǒng)成功之后，將token作為返回參數(shù)，返回給前端。

3.3 驗(yàn)證token

在token返回給前端之后，后端要做的就是驗(yàn)證這個token是否是合法的，是否可以訪問服務(wù)器的資源。主要可以通過以下幾種方式去驗(yàn)證。

3.3.1 解析token

使用JWTVerifier解析token，這是驗(yàn)證token是否合法的第一步，例如前端傳過來的token是一串沒有任何意義的字符串，在這一步就可以拋出錯誤。示例代碼如下。

try {
    Algorithm algorithm = Algorithm.HMAC256(secret);
    JWTVerifier verifier = JWT.require(algorithm).build();
    DecodedJWT jwt = verifier.verify(token);
} catch (JWTVerificationException e) {
    e.printStackTrace();
}

JWTVerifier可以使用用制定secret簽名的算法，指定的claim來驗(yàn)證token的合法性。

3.3.2 判斷token時效性

判斷了token是有效的之后，再對token的時效性進(jìn)行驗(yàn)證。

try {
    Algorithm algorithm = Algorithm.HMAC256(secret);
    JWTVerifier verifier = JWT.require(algorithm).build();
    DecodedJWT jwt = verifier.verify(token);
    if (jwt.getExpiresAt().before(new Date())) {
        System.out.println("token已過期");
        return null;
    }
} catch (JWTVerificationException e) {
    e.printStackTrace();
    return null;
}

如果該token過期了，則不允許訪問服務(wù)器資源。具體的流程如下。

3.3.3 刷新過期時間

上面創(chuàng)建token的有效時間是可以配置的，假設(shè)是2個小時，并且用戶登錄進(jìn)來連續(xù)工作了1小時59分鐘，在進(jìn)行一個很重要的操作的時候，點(diǎn)擊確定，這個時候token過期了。如果程序沒有保護(hù)策略，那么用戶接近兩個小時的工作就成為了無用功。

遇到這樣的問題，我們之前的流程設(shè)計(jì)必然面對一次重構(gòu)?？赡艽蠹視幸蓡?，不就是在用戶登錄之后，每次操作對去刷新一次token的過期時間嗎？

那么問題來了，我們知道token是由header.payload.signature三段內(nèi)容組成的，而過期時間則是屬于payload，如果改變了過期的時間，那么最終生成的payload的hash則勢必與上一次生成的不同。

換句話說，這是一個全新的token。前端要怎么接收這個全新的token呢？可想到的解決方案無非就是每次請求，根據(jù)response header中的返回不斷的刷新的token。但是這樣的方式侵入了前端開發(fā)的業(yè)務(wù)層。使其每一個接口都需要去刷新token。

大家可能會說，無非就是加一個攔截器嘛，對業(yè)務(wù)侵入不大啊。即使這部分邏輯是寫在攔截器里的，但是前端因?yàn)閠oken鑒權(quán)的邏輯而多出了這部分代碼。而這部分代碼從職能分工上來說，其實(shí)是后端的邏輯。

說的直白一些，刷新token，對token的時效性進(jìn)行管理，應(yīng)該是由后端來做。前端不需要也不應(yīng)該去關(guān)心這一部分的邏輯。

3.3.4 redis大法好

綜上所述，刷新token的過期時間勢必要放到后端，并且不能通過判斷JWT中payload中的expire來判斷token是否有效。

所以，在用戶登錄成功之后并將token返回給前端的同時，需要以某一個唯一表示為key，當(dāng)前的token為value，寫入Redis緩存中。并且在每次用戶請求成功后，刷新token的過期時間，流程如下所示。

經(jīng)過這樣的重構(gòu)之后，流程就變成了這樣。

在流程中多了一個刷新token的流程。只要用戶登錄了系統(tǒng)，每一次的操作都會刷新token的過期時間，就不會出現(xiàn)之前說的在進(jìn)行某個操作時突然失效所造成數(shù)據(jù)丟失的情況。

在用戶登錄之后的兩個小時內(nèi)，如果用戶沒有進(jìn)行任何操作，那么2小時后再次請求接口就會直接被服務(wù)器拒絕訪問。

4.總結(jié)

總的來說，JWT中是不建議放特別敏感信息的。如果沒有用非對稱加密算法的話，把token復(fù)制之后直接可以去jwt官網(wǎng)在線解析。如果請求被攔截到了，里面的所有信息等于是透明的。

但是JWT可以用來當(dāng)作一段時間內(nèi)運(yùn)行訪問服務(wù)器資源的憑證。例如JWT的payload中帶有userId這個字段，那么就可以對該token標(biāo)識的用戶的合法性進(jìn)行驗(yàn)證。例如，該用戶當(dāng)前狀態(tài)是否被鎖定？該userId所標(biāo)識的用戶是否存在于我們的系統(tǒng)？等等。

并且通過實(shí)現(xiàn)token的公用，可以實(shí)現(xiàn)用戶的多端同時登錄。像之前的登錄之后創(chuàng)建token，就限定了用戶只能同時在一臺設(shè)備上登錄。

感謝各位的閱讀！看完上述內(nèi)容，你們對在SpringBoot中集成JWT鑒權(quán)的方法大概了解了嗎？希望文章內(nèi)容對大家有所幫助。如果想了解更多相關(guān)文章內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁題目：在SpringBoot中集成JWT鑒權(quán)的方法
網(wǎng)頁地址：http://aaarwkj.com/article22/ispgjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、全網(wǎng)營銷推廣、域名注冊、網(wǎng)站設(shè)計(jì)、自適應(yīng)網(wǎng)站、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)