今天就跟大家聊聊有關(guān)使用JWT怎么對(duì)API授權(quán)訪問，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

創(chuàng)新互聯(lián)是一家專業(yè)提供秦州企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作、網(wǎng)站建設(shè)、H5開發(fā)、小程序制作等業(yè)務(wù)。10年已為秦州眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

什么是JWT

JWT(JSON Web Token)是一個(gè)開放標(biāo)準(zhǔn)（RFC 7519），它定義了一種緊湊且獨(dú)立的方式，可以在各個(gè)系統(tǒng)之間用JSON作為對(duì)象安全地傳輸信息，并且可以保證所傳輸?shù)男畔⒉粫?huì)被篡改。

「JWT」由三部分構(gòu)成

• 信息頭：指定了使用的簽名算法

• 聲明部分：其中也可以包含超時(shí)時(shí)間

• 基于指定的算法生成的簽名

通過這三部分信息，API 服務(wù)端可以根據(jù)「JWT」信息頭和聲明部分的信息重新生成簽名。之所以可以這樣做，是因?yàn)樯珊灻枰拿罔€存放在服務(wù)器端。

jwtauth.New("HS256", []byte("K8UeMDPyb9AwFkzS"), nil)

如果這個(gè)簽名秘鑰比較簡(jiǎn)單，建議立刻換一個(gè)復(fù)雜一些的，更改以后會(huì)使所有已經(jīng)產(chǎn)生的「JWT」 失效，強(qiáng)制客戶端重新從服務(wù)器獲取授權(quán)。

JWT通常有兩種應(yīng)用場(chǎng)景：

• 授權(quán)。這是最常見的JWT使用場(chǎng)景。一旦用戶登錄，每個(gè)后續(xù)請(qǐng)求將包含一個(gè)JWT，作為該用戶訪問資源的令牌。

• 信息交換?？梢岳肑WT在各個(gè)系統(tǒng)之間安全地傳輸信息，JWT的特性使得接收方可以驗(yàn)證收到的內(nèi)容是否被篡改。

本文討論第一點(diǎn)，如何利用JWT來實(shí)現(xiàn)對(duì)API的授權(quán)訪問。這樣就只有經(jīng)過授權(quán)的用戶才可以調(diào)用API。

JWT的結(jié)構(gòu)

JWT由三部分組成，用.分割開。

Header

第一部分為Header，通常由兩部分組成：令牌的類型，即JWT，以及所使用的加密算法。

{
 "alg": "HS256",
 "typ": "JWT"
}

Base64加密后，就變成了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

第二部分為Payload，里面可以放置自定義的信息，以及過期時(shí)間、發(fā)行人等。

{
 "sub": "1234567890",
 "name": "John Doe",
 "iat": 1516239022
}

Base64加密后，就變成了:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature

第三部分為Signature，計(jì)算此簽名需要四部分信息：

• Header里的算法信息

• Header

• Payload

• 一個(gè)自定義的秘鑰

接受到JWT后，利用相同的信息再計(jì)算一次簽名，然年與JWT中的簽名對(duì)比，如果不相同則說明JWT中的內(nèi)容被篡改。

解碼后的JWT

將上面三部分都編碼后再合在一起就得到了JWT。

需要注意的是，JWT的內(nèi)容并不是加密的，只是簡(jiǎn)單的Base64編碼。也就是說，JWT一旦泄露，里面的信息可以被輕松獲取，因此不應(yīng)該用JWT保存任何敏感信息。

JWT是怎樣工作的

• 應(yīng)用程序或客戶端向授權(quán)服務(wù)器請(qǐng)求授權(quán)。這里的授權(quán)服務(wù)器可以是單獨(dú)的一個(gè)應(yīng)用，也可以和API集成在同一個(gè)應(yīng)用里。

• 授權(quán)服務(wù)器向應(yīng)用程序返回一個(gè)JWT。

• 應(yīng)用程序?qū)WT放入到請(qǐng)求里（通常放在HTTP的Authorization頭里）

• 服務(wù)端接收到請(qǐng)求后，驗(yàn)證JWT并執(zhí)行對(duì)應(yīng)邏輯。

在JAVA里使用JWT

引入依賴

<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt</artifactId>
</dependency>

這里使用了一個(gè)叫JJWT(Java JWT)的庫(kù)。

JWT Service

生成JWT

public String generateToken(String payload) {
  return Jwts.builder()
    .setSubject(payload)
    .setExpiration(new Date(System.currentTimeMillis() + 10000))
    .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
    .compact();
 }

這里設(shè)置過期時(shí)間為10秒，因此生成的JWT只在10秒內(nèi)能通過驗(yàn)證。

需要提供一個(gè)自定義的秘鑰。

解碼JWT

public String parseToken(String jwt) {
  return Jwts.parser()
    .setSigningKey(SECRET_KEY)
    .parseClaimsJws(jwt)
    .getBody()
    .getSubject();
 }

解碼時(shí)會(huì)檢查JWT的簽名，因此需要提供秘鑰。

驗(yàn)證JWT

public boolean isTokenValid(String jwt) {
  try {
   parseToken(jwt);
  } catch (Throwable e) {
   return false;
  }
  return true;
 }

JJWT并沒有提供判斷JWT是否合法的方法，但是在解碼非法JWT時(shí)會(huì)拋出異常，因此可以通過捕獲異常的方式來判斷是否合法。

注冊(cè)/登錄

@GetMapping("/registration")
 public String register(@RequestParam String username, HttpServletResponse response) {
  String jwt = jwtService.generateToken(username);
  response.setHeader(JWT_HEADER_NAME, jwt);

  return String.format("JWT for %s :\n%s", username, jwt);
 }

需要為還沒有獲取到JWT的用戶提供一個(gè)這樣的注冊(cè)或者登錄入口，來獲取JWT。

獲取到響應(yīng)里的JWT后，要在后續(xù)的請(qǐng)求里包含JWT，這里放在請(qǐng)求的Authorization頭里。

驗(yàn)證JWT

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
  HttpServletRequest httpServletRequest = (HttpServletRequest) request;
  HttpServletResponse httpServletResponse = (HttpServletResponse) response;

  String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
  if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
   chain.doFilter(request, response);
  } else if (isTokenValid(jwt)) {
   updateToken(httpServletResponse, jwt);
   chain.doFilter(request, response);
  } else {
   httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
  }
 }
 
private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
  String payload = jwtService.parseToken(jwt);
  String newToken = jwtService.generateToken(payload);
  httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
 }

將驗(yàn)證操作放在Filter里，這樣除了登錄入口，其它的業(yè)務(wù)代碼將感覺不到JWT的存在。

將登錄入口放在WHITE_LIST里，跳過對(duì)這些入口的驗(yàn)證。

需要刷新JWT。如果JWT是合法的，那么應(yīng)該用同樣的Payload來生成一個(gè)新的JWT，這樣新的JWT就會(huì)有新的過期時(shí)間，用此操作來刷新JWT，以防過期。

如果使用Filter，那么刷新的操作要在調(diào)用doFilter()之前，因?yàn)檎{(diào)用之后就無法再修改response了。

API

private final static String JWT_HEADER_NAME = "Authorization";

 @GetMapping("/api")
 public String testApi(HttpServletRequest request, HttpServletResponse response) {
  String oldJwt = request.getHeader(JWT_HEADER_NAME);
  String newJwt = response.getHeader(JWT_HEADER_NAME);

  return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
 }

看完上述內(nèi)容，你們對(duì)使用JWT怎么對(duì)API授權(quán)訪問有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

分享標(biāo)題：使用JWT怎么對(duì)API授權(quán)訪問-創(chuàng)新互聯(lián)
URL地址：http://www.rwnh.cn/article2/doeiic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、電子商務(wù)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站收錄、營(yíng)銷型網(wǎng)站建設(shè)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)