使用JWT來實現對API的授權訪問

摘要： 目錄 什麼是JWT JWT(JSON Web Token)是一個開放標準（RFC 7519），它定義了一種緊湊且獨立的方式，可以在各個系統之間用JSON作為物件安全地傳輸資訊，並且可以保證所傳輸的資訊不會被篡改。 JWT通常有兩種應用場景： 授權。這是最常見的JWT使用...

目錄

什麼是JWT

JWT(JSON Web Token)是一個開放標準（RFC 7519），它定義了一種緊湊且獨立的方式，可以在各個系統之間用JSON作為物件安全地傳輸資訊，並且可以保證所傳輸的資訊不會被篡改。

JWT通常有兩種應用場景：

• 授權。這是最常見的JWT使用場景。一旦使用者登入，每個後續請求將包含一個JWT，作為該使用者訪問資源的令牌。
• 資訊交換。可以利用JWT在各個系統之間安全地傳輸資訊，JWT的特性使得接收方可以驗證收到的內容是否被篡改。

本文討論第一點，如何利用JWT來實現對API的授權訪問。這樣就只有經過授權的使用者才可以呼叫API。

JWT的結構

JWT由三部分組成，用 . 分割開。

Header

第一部分為 Header ，通常由兩部分組成：令牌的型別，即JWT，以及所使用的加密演算法。

{
"alg": "HS256",
"typ": "JWT"
}

Base64 加密後，就變成了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

第二部分為 Payload ，裡面可以放置自定義的資訊，以及過期時間、發行人等。

{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}

Base64 加密後，就變成了:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

Signature

第三部分為 Signature ，計算此簽名需要四部分資訊：

Header
Header
Payload

接受到JWT後，利用相同的資訊再計算一次簽名，然年與JWT中的簽名對比，如果不相同則說明JWT中的內容被篡改。

解碼後的JWT

將上面三部分都編碼後再合在一起就得到了JWT。

需要注意的是， JWT的內容並不是加密的，只是簡單的 Base64 編碼。 也就是說，JWT一旦洩露，裡面的資訊可以被輕鬆獲取，因此不應該用JWT儲存任何敏感資訊。

JWT是怎樣工作的

1. 應用程式或客戶端向授權伺服器請求授權。這裡的授權伺服器可以是單獨的一個應用，也可以和API整合在同一個應用裡。
2. 授權伺服器嚮應用程式返回一個JWT。
3. 應用程式將JWT放入到請求裡（通常放在 HTTP 的 Authorization 頭裡）
4. 服務端接收到請求後，驗證JWT並執行對應邏輯。

在JAVA裡使用JWT

引入依賴

<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
</dependency>

這裡使用了一個叫JJWT(Java JWT)的庫。

JWT Service

生成JWT

public String generateToken(String payload) {
return Jwts.builder()
.setSubject(payload)
.setExpiration(new Date(System.currentTimeMillis() + 10000))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}

• 這裡設定過期時間為10秒，因此生成的JWT只在10秒內能通過驗證。
• 需要提供一個自定義的祕鑰。

解碼JWT

public String parseToken(String jwt) {
return Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(jwt)
.getBody()
.getSubject();
}

• 解碼時會檢查JWT的簽名，因此需要提供祕鑰。

驗證JWT

public boolean isTokenValid(String jwt) {
try {
parseToken(jwt);
} catch (Throwable e) {
return false;
}
return true;
}

• JJWT 並沒有提供判斷JWT是否合法的方法，但是在解碼非法JWT時會丟擲異常，因此可以通過捕獲異常的方式來判斷是否合法。

註冊/登入

@GetMapping("/registration")
public String register(@RequestParam String username, HttpServletResponse response) {
String jwt = jwtService.generateToken(username);
response.setHeader(JWT_HEADER_NAME, jwt);

return String.format("JWT for %s :\n%s", username, jwt);
}

Authorization

驗證JWT

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;

String jwt = httpServletRequest.getHeader(JWT_HEADER_NAME);
if (WHITE_LIST.contains(httpServletRequest.getRequestURI())) {
chain.doFilter(request, response);
} else if (isTokenValid(jwt)) {
updateToken(httpServletResponse, jwt);
chain.doFilter(request, response);
} else {
httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED);
}
}

private void updateToken(HttpServletResponse httpServletResponse, String jwt) {
String payload = jwtService.parseToken(jwt);
String newToken = jwtService.generateToken(payload);
httpServletResponse.setHeader(JWT_HEADER_NAME, newToken);
}

• 將驗證操作放在 Filter 裡，這樣除了登入入口，其它的業務程式碼將感覺不到JWT的存在。
• 將登入入口放在 WHITE_LIST 裡，跳過對這些入口的驗證。
• 需要重新整理JWT 。如果JWT是合法的，那麼應該用同樣的 Payload 來生成一個新的JWT，這樣新的JWT就會有新的過期時間，用此操作來重新整理JWT，以防過期。
• 如果使用 Filter ，那麼重新整理的操作要在呼叫 doFilter() 之前，因為呼叫之後就無法再修改 response 了。

API

private final static String JWT_HEADER_NAME = "Authorization";

@GetMapping("/api")
public String testApi(HttpServletRequest request, HttpServletResponse response) {
String oldJwt = request.getHeader(JWT_HEADER_NAME);
String newJwt = response.getHeader(JWT_HEADER_NAME);

return String.format("Your old JWT is:\n%s \nYour new JWT is:\n%s\n", oldJwt, newJwt);
}

這時候API就處於JWT的保護下了。API可以完全不用感知到JWT的存在，同時也可以主動獲取JWT並解碼，以得到JWT裡的資訊。如上所示。

尾註

• 完整的DEMO可以在這裡找到： ofollow,noindex" target="_blank">https://github.com/Beginner258/jwt-demo
• 參考資料： https://jwt.io/