學(xué)習(xí)目標(biāo)

(資料圖)

了解JWT基本概念

掌握J(rèn)WT基本使用

掌握如何在SpringBoot項(xiàng)目中使用JWT

了解跨域解決方案和HandlerInterceptor攔截器

SpringBoot整合JWT教學(xué)視頻見：【JWT】袁庭新老師SpringBoot+JWT快速上手1小時(shí)輕松搞定JWT

1 JWT簡介

JWT官方網(wǎng)址：。

什么是JWT

JSON Web Token，簡稱JWT。通過數(shù)字簽名的方式，以JSON對(duì)象為載體，在不同的服務(wù)終端之間安全的傳輸信息。JWT是目前最流行的跨域認(rèn)證解決方案。

JWT有什么用

JWT通常用于Web應(yīng)用程序中的身份驗(yàn)證和授權(quán)目的。一旦用戶登錄，后續(xù)每個(gè)請(qǐng)求都將包含JWT，系統(tǒng)在每次處理用戶請(qǐng)求之前，都要先進(jìn)行JWT安全校驗(yàn)，通過之后再進(jìn)行處理。

什么是JWT結(jié)構(gòu)

JWT由Header、Playload、Signature三部分組成，由.拼接。令牌最終的格式像這樣：。在傳輸?shù)臅r(shí)候，會(huì)將JWT的三個(gè)部分分別進(jìn)行Base64編碼后，拼接成最終傳輸?shù)淖址簿褪俏覀兊腏son Web Token。

Header

Header-標(biāo)頭。JWT頭是一個(gè)描述JWT元數(shù)據(jù)的JSON對(duì)象。報(bào)頭通常由兩部分組成：令牌的類型和所使用的簽名算法。

typ屬性：表示令牌的類型，JWT令牌統(tǒng)一寫為"JWT"

alg屬性：表示使用的簽名算法，默認(rèn)為HMAC SHA256（寫為HS256），或者RSA

然后，這個(gè)JSON被Base64Url編碼，以形成JWT的第一部分。

Payload

playload-載荷。存放用戶自定義的信息，通常會(huì)把用戶信息和令牌到期時(shí)間放在這里，同樣是一個(gè)JSON對(duì)象。

然后，有效負(fù)載被Base64Url編碼，以形成JWT的第二部分。

請(qǐng)注意，對(duì)于已簽名的令牌，這些信息雖然受到保護(hù)，不會(huì)被篡改，但任何人都可以讀取。除非經(jīng)過加密，否則不要將機(jī)密信息放入JWT的payload或header中。

Payload中有七個(gè)默認(rèn)字段供選擇，默認(rèn)字段并不要求強(qiáng)制使用。我們還可以自定義私有字段，一般會(huì)把包含用戶信息的非保密數(shù)據(jù)放到Payload中。

?Signature

Signature-簽名。要?jiǎng)?chuàng)建簽名部分，您必須獲取編碼的標(biāo)頭（Header）、編碼的有效載荷（Payload）、機(jī)密（secret）、標(biāo)頭中指定的算法（如HS256），并對(duì)其進(jìn)行簽名。

例如，如果要使用HMAC SHA256算法，則將以以下方式創(chuàng)建簽名：

使用標(biāo)頭的算法和私鑰對(duì)第一部分和第二部分進(jìn)行加密，通過Base64Url編碼后形成JWT的第三部分。

Signature用于驗(yàn)證消息在發(fā)送過程中沒有更改，在使用私鑰簽名的令牌的情況下，它還可以驗(yàn)證JWT的發(fā)送者是否就是它所說的那個(gè)人。

Putting all together

輸出是三個(gè)由點(diǎn)分隔的Base64-URL字符串，可以在HTML和HTTP環(huán)境中輕松傳遞，同時(shí)與基于XML的標(biāo)準(zhǔn)（如SAML）相比更緊湊。

以下顯示了一個(gè)JWT，該JWT具有以前的標(biāo)頭和有效載荷編碼，并使用秘密簽名。

如果你想玩JWT并將這些概念付諸實(shí)踐，你可以使用/#debugger-io來解碼、驗(yàn)證和生成JWT。

JWT執(zhí)行流程

JWT的具體執(zhí)行流程見下：

JWT優(yōu)點(diǎn)

基于Token的認(rèn)證方式相比傳統(tǒng)的Session認(rèn)證方式能夠解決移動(dòng)端和分布式開發(fā)中跨域問題，具有下列優(yōu)點(diǎn)：

減少服務(wù)器壓力：服務(wù)端不需要存儲(chǔ)Session信息，Token可以攜帶登錄用戶服務(wù)器所需信息

支持跨域訪問：將Token放到請(qǐng)求頭中，就不需要Cookie存儲(chǔ)信息，所以跨域后不會(huì)因?yàn)镃ookie是無法跨域而導(dǎo)致信息丟失

更適用于移動(dòng)端：當(dāng)客戶端是非瀏覽器平臺(tái)時(shí)或者Cookie被禁止時(shí)，采用Token認(rèn)證方式會(huì)簡單很多

更適用CDN：可以通過內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求服務(wù)端的所有資料

無需考慮CSRF：由于不再依賴Cookie，所以采用Token認(rèn)證方式不會(huì)發(fā)生CSRF，所以也就無需考慮CSRF的防御

2 JWT使用

JWT基本使用

1.使用IDEA創(chuàng)建一個(gè)【Spring Initializr】類型的項(xiàng)目名稱為【springboot_jwt】的工程。

2.在項(xiàng)目的配置文件中添加JWT相關(guān)依賴。

3.在_包下創(chuàng)建JwtTests測試類，演示JWT的基本使用。

SpringBoot+JWT

1.在_包下創(chuàng)建User實(shí)體類。

2.在_包下創(chuàng)建響應(yīng)統(tǒng)一結(jié)果集ResponseResult工具類。

3.在_包下創(chuàng)建JWT操作的工具類。

4.在_包下創(chuàng)建UserController控制層類。

5.使用ApiPost測試工具向http://localhost:8080/users/login接口發(fā)送POST類型的請(qǐng)求并提交JSON格式的數(shù)據(jù)。

6.使用ApiPost測試工具將上一個(gè)接口返回的JWT字符串?dāng)?shù)據(jù)，作為本次請(qǐng)求token參數(shù)的數(shù)據(jù)放在Header中提交給服務(wù)進(jìn)行驗(yàn)證。

HandlerInterceptor攔截器

1.創(chuàng)建攔截器類，并實(shí)現(xiàn)接口。

2.創(chuàng)建LoginInterceptorConfigurer攔截器的配置類并實(shí)現(xiàn)接口，配置類需要添加@Configruation注解修飾。

?跨域解決方案

解決在前后端分離項(xiàng)目中的跨域問題。通過實(shí)現(xiàn)WebMvcConfigurer接口，并重寫addCorsMappings(CorsRegistry registry)方法來實(shí)現(xiàn)。

關(guān)鍵詞：