使用JWT來實現對API的授權訪問
目錄
什麼是JWT
JWT(JSON Web Token)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,可以在各個系統之間用JSON作為物件安全地傳輸資訊,並且可以保證所傳輸的資訊不會被篡改。
JWT通常有兩種應用場景:
- 授權。這是最常見的JWT使用場景。一旦使用者登入,每個後續請求將包含一個JWT,作為該使用者訪問資源的令牌。
- 資訊交換。可以利用JWT在各個系統之間安全地傳輸資訊,JWT的特性使得接收方可以驗證收到的內容是否被篡改。
本文討論第一點,如何利用JWT來實現對API的授權訪問。這樣就只有經過授權的使用者才可以呼叫API。
JWT的結構
JWT由三部分組成,用 .
分割開。
Header
第一部分為 Header
,通常由兩部分組成:令牌的型別,即JWT,以及所使用的加密演算法。
{ "alg": "HS256", "typ": "JWT" }
Base64
加密後,就變成了:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
第二部分為 Payload
,裡面可以放置自定義的資訊,以及過期時間、發行人等。
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }
Base64
加密後,就變成了:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
Signature
第三部分為 Signature
,計算此簽名需要四部分資訊:
Header Header Payload
接受到JWT後,利用相同的資訊再計算一次簽名,然年與JWT中的簽名對比,如果不相同則說明JWT中的內容被篡改。
解碼後的JWT
將上面三部分都編碼後再合在一起就得到了JWT。
需要注意的是, JWT的內容並不是加密的,只是簡單的 Base64
編碼。 也就是說,JWT一旦洩露,裡面的資訊可以被輕鬆獲取,因此不應該用JWT儲存任何敏感資訊。
JWT是怎樣工作的
- 應用程式或客戶端向授權伺服器請求授權。這裡的授權伺服器可以是單獨的一個應用,也可以和API整合在同一個應用裡。
- 授權伺服器嚮應用程式返回一個JWT。
- 應用程式將JWT放入到請求裡(通常放在
HTTP
的Authorization
頭裡) - 服務端接收到請求後,驗證JWT並執行對應邏輯。
在JAVA裡使用JWT
引入依賴
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency>
這裡使用了一個叫JJWT(Java JWT)的庫。
JWT Service
生成JWT
public String generateToken(String payload) { return Jwts.builder() .setSubject(payload) .setExpiration(new Date(System.currentTimeMillis() + 10000)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); }
- 這裡設定過期時間為10秒,因此生成的JWT只在10秒內能通過驗證。
- 需要提供一個自定義的祕鑰。
解碼JWT
public String parseToken(String jwt) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(jwt) .getBody() .getSubject(); }
- 解碼時會檢查JWT的簽名,因此需要提供祕鑰。
驗證JWT
public boolean isTokenValid(String jwt) { try { parseToken(jwt); } catch (Throwable e) { return false; } return true; }
-
JJWT
並沒有提供判斷JWT是否合法的方法,但是在解碼非法JWT時會丟擲異常,因此可以通過捕獲異常的方式來判斷是否合法。
註冊/登入
@GetMapping("/registration") public String register(@RequestParam String username, HttpServletResponse response) { String jwt = jwtService.generateToken(username); response.setHeader(JWT_HEADER_NAME, jwt); return String.format("JWT for %s :\n%s", username, jwt); }
Authorization
驗證JWT
@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpServletRequest = (HttpServletRequest) request; HttpServletResponse httpServletResponse = (HttpServletResponse) response; String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME); if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) { chain.doFilter(request, response); } else if (isTokenValid(jwt)) { updateToken(httpServletResponse, jwt); chain.doFilter(request, response); } else { httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED); } } private void updateToken(HttpServletResponse httpServletResponse, String jwt) { String payload = jwtService.parseToken(jwt); String newToken = jwtService.generateToken(payload); httpServletResponse.setHeader(JWT_HEADER_NAME, newToken); }
- 將驗證操作放在
Filter
裡,這樣除了登入入口,其它的業務程式碼將感覺不到JWT的存在。 - 將登入入口放在
WHITE_LIST
裡,跳過對這些入口的驗證。 - 需要重新整理JWT 。如果JWT是合法的,那麼應該用同樣的
Payload
來生成一個新的JWT,這樣新的JWT就會有新的過期時間,用此操作來重新整理JWT,以防過期。 - 如果使用
Filter
,那麼重新整理的操作要在呼叫doFilter()
之前,因為呼叫之後就無法再修改response
了。
API
private final static String JWT_HEADER_NAME = "Authorization"; @GetMapping("/api") public String testApi(HttpServletRequest request, HttpServletResponse response) { String oldJwt = request.getHeader(JWT_HEADER_NAME); String newJwt = response.getHeader(JWT_HEADER_NAME); return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt); }
這時候API就處於JWT的保護下了。API可以完全不用感知到JWT的存在,同時也可以主動獲取JWT並解碼,以得到JWT裡的資訊。如上所示。
尾註
- 完整的DEMO可以在這裡找到: ofollow,noindex" target="_blank">https://github.com/Beginner258/jwt-demo
- 參考資料: https://jwt.io/