如何基于JWT实现接口的授权访问详解

什么是jwt

jwt(json web token)是一个开放标准（rfc 7519），它定义了一种紧凑且独立的方式，可以在各个系统之间用json作为对象安全地传输信息，并且可以保证所传输的信息不会被篡改。

jwt通常有两种应用场景：

授权。这是最常见的jwt使用场景。一旦用户登录，每个后续请求将包含一个jwt，作为该用户访问资源的令牌。信息交换。可以利用jwt在各个系统之间安全地传输信息，jwt的特性使得接收方可以验证收到的内容是否被篡改。

本文讨论第一点，如何利用jwt来实现对api的授权访问。这样就只有经过授权的用户才可以调用api。

jwt的结构

jwt由三部分组成，用.分割开。

header

第一部分为header，通常由两部分组成：令牌的类型，即j山水诗大全wt，以及所使用的加密算法。

ba64加密后，就变成了:

payload

第二部分为payload，里面可以放置自定义的信息，以及过期时间、发行人等。

ba64加密后，就变成了:

signature

第三部分为signature，计算此签名需要四部分信息：

header里的算法信息headerpayload一个自定义的秘钥

接受到jwt后，利用相同的信息再计算一次签名，然年与jwt中的签名对比，如果不相同则说明jwt中的内容被篡改。

解码后的jwt

​将上面三部分都编码后再合在一起就得到了jwt。

需要注意的是，jwt的内容并不是加密的，只是简单的ba64编码。 也就是说，jwt三元一次方程一旦泄露，里面的信息可以被轻松获取，因此不应该用jwt保存任何敏感信息。

jwt是怎样工作的

应用程序或客户端向授权服务器请求授权。这里的授权服务器可以是单独的一个应用，也可以和api集成在同一个应用里。授权服务器向应用程序返回一个jwt。应用程序将jwt放入到请求里（通常放在http的authorization头里）服务端接收到请求后，验证jwt并执行对应逻辑。

在java里使用jwt

引入依赖

这里使用了一个叫jjwt(java jwt)的库。

jwt rvice

生成jwt

这里设置过期时间为10秒，因此生成的jwt只在10秒内能通椭圆的面积过验证。需要提供一个自定义的秘钥。

解码jwt

解码时会检查jwt的签名，因此需要提供秘钥。

验证jwt

jwt并没有提供判断jwt是否合法的方法，但是在解码非法jwt时会抛出异常，因此可以通过捕获异常的方式来判断是否合法。

注册/登录

需要为还没有获取到jwt的用户提供一个这样的注册或者登录入口，来获取jwt。获取到响应里的jwt后，要在后续的请求里包含jwt，这里放在请求的authorization头里。

验证jwt

将验证操作放在filter里，这样除了登录入口，其它的业务代码将感觉不到jwt的存在。将登录入口放在white_list里，跳过对这些入口的验证tired比较级。需要刷新jwt。如果jwt是合法的，那么应该用同样的payload来生成一个新的jwt，这样新的jwt就会有新的过期时间，用此操作来刷新jwt，以防过期。如果使用filter，那么刷新的操作要在调用dofilter()之前，因为调用之后就无法再修改respon了。

api

这时候api就处于jwt的保护下了。api可以完全不用感知到jwt的存在，同时也可以主动获取jwt并解码，以得到jwt里的信息。如上所示。

demo：github.com/beginner258…

参考资料：jwt.io/

雷锋电影下载

总结

到此这篇关于如何基于jwt实现接口的授权访问的文章就介绍到这了,更多相关jwt接口的授权访问内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com！