现在开发前后端分离的系统或者开发 APP 的项目时,在验证用户是否登录时都会使用 Token 的方式,使用 Token 也是为系统后续可以进行拆分的第一步。
Token 的生成规则可以任意,只要最终可以通过 Token 去匹配到合适的用户即可。不过我们可以使用 JWT 类库来帮助我们生成 Token。JWT 是 Json Web Token 的意思,是一种通过 Json 格式在 Web 中进行传递的 Token。
JWT 的使用
先来看看关于 JWT 的使用,它的使用是比较简单的。
创建一个 Spring Boot 的项目,然后引入 JWT 的依赖,依赖如下:
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency>
然后创建一个 Util,用来生成 Token,代码如下:
public static String createToken(String subject) { return Jwts.builder() .setSubject(subject) .signWith(SignatureAlgorithm.HS256, secret) .compact(); }
方法中,subject 就是要生成 token 的值,比如这里可以是用户名、用户 ID 等。signWith 是设置一个签名的算法,其中 HS256 是 HMAC-SHA256,HMAC 是基于哈希的消息验证码,SHA256 是一种哈希算法。secret 是我们自己定义的一个密钥,这个密钥很重要。
调用 createToken 就可以生成 Token 了,写一个单元测试,代码如下:
String name = "木瓜"; String token = TokenUtil.createToken(name); System.out.println("木瓜的token:" + token); name = "西瓜"; token = TokenUtil.createToken(name); System.out.println("西瓜的token:" + token);
运行它,输出如下:
木瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s 西瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLopb_nk5wifQ.HcPdzxH0IFcyr_m0QZMPiX18dToPh07fQn4pDMWxdi0
可以看出,两个不同的 name 生成了不同的 Token。
我们同样可以使用 JWT 类库来对 Token 进行验证,代码如下:
public static String parseToken(String token) { Claims body = null; try { body = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } catch (io.jsonwebtoken.ExpiredJwtException e) { return e.getMessage(); } return body.getSubject(); }
修改单元测试的代码,代码如下:
String name = "木瓜"; String token = TokenUtil.createToken(name); System.out.println("木瓜的token:" + token); System.out.println("parseToken:" + TokenUtil.parseToken(token)); name = "西瓜"; token = TokenUtil.createToken(name); System.out.println("西瓜的token:" + token); System.out.println("parseToken:" + TokenUtil.parseToken(token));
运行结果如下:
木瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s parseToken:木瓜 西瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLopb_nk5wifQ.HcPdzxH0IFcyr_m0QZMPiX18dToPh07fQn4pDMWxdi0 parseToken:西瓜
可以看到,我们的 name 被还原回来了,这样就可以进行验证匹配了。
JWT 还可以设置 Token 的过期时间等,那些就不再描述了。
JWT 的原理
JWT 的原理其实并不复杂,简单的看一眼代码,并给出它的原理。
在介绍其原理之前,先使用一个在线工具来对 JWT 生成的 Token 进行一下解密,如下图。
可以看出,我们的 Token 被还原了。我们的签名算法和名字都被解析了出来。慌吗?这是什么情况呢!
上面 JWT 生成的 Token 包含三部分,并使用“点”号分隔。使用前面的 Token 来进行说明,Token 如下:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s
上面的 Token 实际分为三部分,分别如下:
eyJhbGciOiJIUzI1NiJ9 eyJzdWIiOiLmnKjnk5wifQ PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s
上面每行代表一部分,第一行表示签名算法,第二行是我们的用户名或用户ID,第三行是签名。
第一部分和第二部分是用 base64 算法进行编码的,只要通过 base64 的解码算法进行解码就可以得到相关的内容,解码如下。
从图中可以看出,对第一部分和第二部分进行解码后,都是一个 Json 串。
第三部分是对第一部分加第二部分内容的一个签名。
大体流程如下图。
大致来看一下源码。回顾 JWT 生成 Token 的方法,代码如下:
return Jwts.builder() .setSubject(subject) .signWith(SignatureAlgorithm.HS256, secret) .compact();
我们关键来看 signWith 和 compact 两个方法。
先来看一下 signWith 方法,代码如下:
public JwtBuilder signWith(SignatureAlgorithm alg, byte[] secretKey) { Assert.notNull(alg, "SignatureAlgorithm cannot be null."); Assert.notEmpty(secretKey, "secret key byte array cannot be null or empty."); Assert.isTrue(alg.isHmac(), "Key bytes may only be specified for HMAC signatures. If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead."); this.algorithm = alg; this.keyBytes = secretKey; return this; } public JwtBuilder signWith(SignatureAlgorithm alg, String base64EncodedSecretKey) { Assert.hasText(base64EncodedSecretKey, "base64-encoded secret key cannot be null or empty."); Assert.isTrue(alg.isHmac(), "Base64-encoded key bytes may only be specified for HMAC signatures. If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead."); byte[] bytes = TextCodec.BASE64.decode(base64EncodedSecretKey); return this.signWith(alg, bytes); }
上面的代码主要就是设置了 签名算法 和 secretKey,secretKey 使用 base64 解码算法,除此并没有太多的处理。
再来看一下 compact 方法,代码如下:
public String compact() { if (this.payload == null && Collections.isEmpty(this.claims)) { throw new IllegalStateException("Either 'payload' or 'claims' must be specified."); } else if (this.payload != null && !Collections.isEmpty(this.claims)) { throw new IllegalStateException("Both 'payload' and 'claims' cannot both be specified. Choose either one."); } else if (this.key != null && this.keyBytes != null) { throw new IllegalStateException("A key object and key bytes cannot both be specified. Choose either one."); } else { Header header = this.ensureHeader(); Key key = this.key; if (key == null && !Objects.isEmpty(this.keyBytes)) { // 生成了key key = new SecretKeySpec(this.keyBytes, this.algorithm.getJcaName()); } Object jwsHeader; if (header instanceof JwsHeader) { jwsHeader = (JwsHeader)header; } else { jwsHeader = new DefaultJwsHeader(header); } if (key != null) { ((JwsHeader)jwsHeader).setAlgorithm(this.algorithm.getValue()); } else { ((JwsHeader)jwsHeader).setAlgorithm(SignatureAlgorithm.NONE.getValue()); } if (this.compressionCodec != null) { ((JwsHeader)jwsHeader).setCompressionAlgorithm(this.compressionCodec.getAlgorithmName()); } // 对{"alg": "HS256"}进行base64编码 String base64UrlEncodedHeader = this.base64UrlEncode(jwsHeader, "Unable to serialize header to json."); String base64UrlEncodedBody; if (this.compressionCodec != null) { byte[] bytes; try { bytes = this.payload != null ? this.payload.getBytes(Strings.UTF_8) : this.toJson(this.claims); } catch (JsonProcessingException var9) { throw new IllegalArgumentException("Unable to serialize claims object to json."); } base64UrlEncodedBody = TextCodec.BASE64URL.encode(this.compressionCodec.compress(bytes)); } else { // 对{"sub": "木瓜"}进行base64编码 base64UrlEncodedBody = this.payload != null ? TextCodec.BASE64URL.encode(this.payload) : this.base64UrlEncode(this.claims, "Unable to serialize claims object to json."); } // 两个base64字符串拼接 String jwt = base64UrlEncodedHeader + '.' + base64UrlEncodedBody; if (key != null) { // 生成签名 JwtSigner signer = this.createSigner(this.algorithm, (Key)key); String base64UrlSignature = signer.sign(jwt); // 拼接字符串 jwt = jwt + '.' + base64UrlSignature; } else { jwt = jwt + '.'; } return jwt; } }
以上就是 JWT 生成 Token 的流程了。整个代码流程并不复杂。
总结
JWT 生成 Token 的流程比较简单的,通过 base64 解码算法也可以轻松的拿到原始数据和签名算法。对于 JWT 库,不但可以对原始数据和签名算法进行还原,也会根据提前预定的 secret 来验证签名,确保数据没有被篡改。看了 JWT 后可能觉得,这个东西没有加密,的确是这样的。JWT 中的签名也是通常意义上的签名,只用来保证数据的完整性、抗抵赖性的,并不是起加密作用的。而对于签名算法中最为重要的 secret 可以使用暴力破解的方式来进行猜测,一旦猜测成功,JWT 就不安全了。
