51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

让JWT来保护你的接口服务

作者:大尧
网络 通信技术
以前写过一篇关于接口服务规范的文章,原文在此,里面关于安全性问题重点讲述了通过appid,appkey,timestamp,nonce以及sign来获取token,使用token来保障接口服务的安全。今天我们来讲述一种更加便捷的方式,使用jwt来生成token。

大家好,我是大尧。

以前写过一篇关于接口服务规范的文章,原文在此,里面关于安全性问题重点讲述了通过appid,appkey,timestamp,nonce以及sign来获取token,使用token来保障接口服务的安全。今天我们来讲述一种更加便捷的方式,使用jwt来生成token。

一、JWT是什么

JSON Web Token(JWT) 定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT可以设置有效期。

JWT是一个很长的字符串,包含了Header,Playload和Signature三部分内容,中间用.进行分隔。

Headers

Headers部分描述的是JWT的基本信息,一般会包含签名算法和令牌类型,数据如下:

  2.     "alg""RS256"
  3.     "typ""JWT" 

Playload

Playload就是存放有效信息的地方,JWT规定了以下7个字段,建议但不强制使用:

  1. iss: jwt签发者 
  2. sub: jwt所面向的用户 
  3. aud: 接收jwt的一方 
  4. exp: jwt的过期时间,这个过期时间必须要大于签发时间 
  5. nbf: 定义在什么时间之前,该jwt都是不可用的 
  6. iat: jwt的签发时间 
  7. jti: jwt的唯一身份标识,主要用来作为一次性token 

除此之外,我们还可以自定义内容

  2.     "name":"Java旅途"
  3.     "age":18 

Signature

Signature是将JWT的前面两部分进行加密后的字符串,将Headers和Playload进行base64编码后使用Headers中规定的加密算法和密钥进行加密,得到JWT的第三部分。

二、JWT生成和解析token

在应用服务中引入JWT的依赖

  1. <dependency> 
  2.     <groupId>io.jsonwebtoken</groupId> 
  3.     <artifactId>jjwt</artifactId> 
  4.     <version>0.9.0</version> 
  5. </dependency> 

 

根据JWT的定义生成一个使用RSA算法加密的,有效期为30分钟的token

  1. public static String createToken(User user) throws Exception{ 
  2.  
  3.     return Jwts.builder() 
  4.         .claim("name",user.getName()) 
  5.         .claim("age",user.getAge()) 
  6.         // rsa加密 
  7.         .signWith(SignatureAlgorithm.RS256, RsaUtil.getPrivateKey(PRIVATE_KEY)) 
  8.         // 有效期30分钟 
  9.         .setExpiration(DateTime.now().plusSeconds(30 * 60).toDate()) 
  10.         .compact(); 

登录接口验证通过后,调用JWT生成带有用户标识的token响应给用户,在接下来的请求中,头部携带token进行验签,验签通过后,正常访问应用服务。

  1. public static Claims parseToken(String token) throws Exception{ 
  2.     return Jwts 
  3.         .parser() 
  4.         .setSigningKey(RsaUtil.getPublicKey(PUBLIC_KEY)) 
  5.         .parseClaimsJws(token) 
  6.         .getBody(); 

三、token续签问题

上面讲述了关于JWT验证的过程,现在我们考虑这样一个问题,客户端携带token访问下单接口,token验签通过,客户端下单成功,返回下单结果,然后客户端带着token调用支付接口进行支付,验签的时候发现token失效了,这时候应该怎么办?只能告诉用户token失效,然后让用户重新登录获取token?这种体验是非常不好的,oauth2在这方面做的比较好,除了签发token,还会签发refresh_token,当token过期后,会去调用refresh_token重新获取token,如果refresh_token也过期了,那么再提示用户去登录。现在我们模拟oauth2的实现方式来完成JWT的refresh_token。

思路大概就是用户登录成功后,签发token的同时,生成一个加密串作为refresh_token,refresh_token存放在redis中,设置合理的过期时间(一般会将refresh_token的过期时间设置的比较久一点)。然后将token和refresh_token响应给客户端。伪代码如下:

  1. @PostMapping("getToken"
  2. public ResultBean getToken(@RequestBody LoingUser user){ 
  3.  
  4.     ResultBean resultBean = new ResultBean(); 
  5.     // 用户信息校验失败,响应错误 
  6.     if(!user){ 
  7.         resultBean.fillCode(401,"账户密码不正确"); 
  8.         return resultBean; 
  9.     } 
  10.     String token = null
  11.     String refresh_token = null
  12.     try { 
  13.         // jwt 生成的token 
  14.         token = JwtUtil.createToken(user); 
  15.         // 刷新token 
  16.         refresh_token = Md5Utils.hash(System.currentTimeMillis()+""); 
  17.         // refresh_token过期时间为24小时 
  18.         redisUtils.set("refresh_token:"+refresh_token,token,30*24*60*60); 
  19.     } catch (Exception e) { 
  20.         e.printStackTrace(); 
  21.     } 
  22.  
  23.     Map<String,Object> map = new HashMap<>(); 
  24.     map.put("access_token",token); 
  25.     map.put("refresh_token",refresh_token); 
  26.     map.put("expires_in",2*60*60); 
  27.     resultBean.fillInfo(map); 
  28.     return resultBean; 

客户端调用接口时,在请求头中携带token,在拦截器中拦截请求,验证token的有效性,如果验证token失败,则去redis中判断是否是refresh_token的请求,如果refresh_token验证也失败,则给客户端响应鉴权异常,提示客户端重新登录,伪代码如下:

  1. HttpHeaders headers = request.getHeaders(); 
  2. // 请求头中获取令牌 
  3. String token = headers.getFirst("Authorization"); 
  4. // 判断请求头中是否有令牌 
  5. if (StringUtils.isEmpty(token)) { 
  6.     resultBean.fillCode(401,"鉴权失败,请携带有效token"); 
  7.     return resultBean; 
  9. if(!token.contains("Bearer")){ 
  10.     resultBean.fillCode(401,"鉴权失败,请携带有效token"); 
  11.     return resultBean; 
  13.  
  14. token = token.replace("Bearer ",""); 
  15. // 如果请求头中有令牌则解析令牌 
  16. try { 
  17.     Claims claims = TokenUtil.parseToken(token).getBody(); 
  18. } catch (Exception e) { 
  19.     e.printStackTrace(); 
  20.     String refreshToken = redisUtils.get("refresh_token:" + token)+""
  21.     if(StringUtils.isBlank(refreshToken) || "null".equals(refreshToken)){ 
  22.         resultBean.fillCode(403,"refresh_token已过期,请重新获取token"); 
  23.         return resultbean; 
  24.     } 

refresh_token来换取token的伪代码如下:

  1. @PostMapping("refreshToken"
  2. public Result refreshToken(String token){ 
  3.  
  4.     ResultBean resultBean = new ResultBean(); 
  5.     String refreshToken = redisUtils.get(TokenConstants.REFRESHTOKEN + token)+""
  6.     String access_token = null
  7.     try { 
  8.         Claims claims = JwtUtil.parseToken(refreshToken); 
  9.         String username = claims.get("username")+""
  10.         String password = claims.get("password")+""
  11.         LoginUser loginUser = new LoginUser(); 
  12.         loginUser.setUsername(username); 
  13.         loginUser.setPassword(password); 
  14.         access_token = JwtUtil.createToken(loginUser); 
  15.     } catch (Exception e) { 
  16.         e.printStackTrace(); 
  17.     } 
  18.     Map<String,Object> map = new HashMap<>(); 
  19.     map.put("access_token",access_token); 
  20.     map.put("refresh_token",token); 
  21.     map.put("expires_in",30*60); 
  22.     resultBean.fillInfo(map); 
  23.     return resultBean; 

通过上面的分析,我们简单的实现了token的签发,验签以及续签问题,JWT作为一个轻量级的鉴权框架,使用起来非常方便,但是也会存在一些问题,

  • JWT的Playload部分只是经过base64编码,这样我们的信息其实就完全暴露了,一般不要将敏感信息存放在JWT中。
  • JWT生成的token比较长,每次在请求头中携带token,导致请求偷会比较大,有一定的性能问题。
  • JWT生成后,服务端无法废弃,只能等待JWT主动过期。

下面这段是我网上看到的一段关于JWT比较适用的场景:

  • 有效期短
  • 只希望被使用一次

比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。这种场景就适合使用JWT。

本文转载自微信公众号「Java旅途」,可以通过以下二维码关注。转载本文请联系Java旅途公众号。

 

责任编辑:武晓燕 来源: Java旅途
接口服务https:mp.weixin.qq.comsalxgdKmi0ur0mHZVGd4P
相关推荐
如何利用科技保护数据?
科技的发展过程中不可避免的是有漏洞的,这也是人们熟练利用科技之前的必经之路,安全问题也是一项最大的挑战。每一个数据的存在,就意味着有可能被泄漏的风险,现在国家对于数据安全保护的法规也越来越全面。

2021-08-25 23:03:58

区块链数据安全
邮件更安全 加密保护邮件服务
Stunnel是一款可以加密网络数据的TCP连接工具,可工作在Unix、Linux和Windows平台上,采用ClientServer模式,将CIient端的网络数据采用SSL加密,安全传输到指定的Server端再进行解密还原,然后发送到访问的服务器。

2010-04-22 15:24:36

邮件安全网络加密服务器
免费享用Let's Encrypt保护网站
早在过去,借助证书机构安装基本的HTTPS每年要花数百美元,而且这个过程很困难,安装起来容易出错。现在我们有了Let'sEncrypt可以免费享用,而且整个过程只需要几分钟。

2018-04-08 09:00:00

Let's Encry加密解密
Ubuntu每日小贴士-使用OpenDNS保护电脑
当寻找添加一个额外的安全层去保护你的机器时,使用OpenDNS的安全DNS框架可能会有帮助。因特网有许多部分组成,尽力对其每一部分都进行相应保护是保证安全的最好方法。

2013-12-10 10:16:39

如何使用 HTTP Headers 保护 Web 应用
本文将介绍web开发者如何利用HTTPHeaders来构建安全的应用。虽然本文的示例代码是Node.js,但基本所有主流的服务端语言都支持设置HTTP响应头,并且都可以简单地对其进行配置。

2020-07-06 11:32:50

HTTPHTTP Header开发者
保护Ubuntu服务
安全是相对的,使用本文介绍的这些方法不能绝对保证你的服务器是“安全的”,但可以肯定的是它比以前更安全,也比大多数服务器要安全,至少菜鸟级的黑客是无法攻破的;安全是一个持续的过程,它不是一蹴而就的,我们认为,在安全领域是需要一点偏执精神的。

2011-03-18 13:41:50

如果设计消息加密
随着交流的话题越来越深入,你也慢慢变得惶恐。你本来就是随手写着玩儿的软件,消息都是明文发送的,这万一被研究网络的同事给监听了,以后在公司还怎么混?

2023-12-22 09:03:31

JWT』有人赶快用它,有人劝你放弃它
JWT全称是JSONWebToken,是目前非常流行的跨域认证解决方案,在单点登录场景中经常使用到。

2020-08-18 10:35:18

JWTredis认证
机器人能否胜任服务业?事实告诉
著名的动画公司迪斯尼宣布即将涉足人工智能以及机器人领域,既然是迪斯尼,那么打造的机器人自然是与老本行有着密不可分的关系的。不过不少人也开始思考,与其他机械式的流水线工作不同,不确定性极强的服务行业激起人们能否胜任?

2018-03-02 16:50:43

人工智能机器人
什么是赤裸密码 美女告诉
我们知道,简单的密码非常容易被破解。对于普通的用户,大多数安全人士都建议增加密码的复杂度。下面我们将要介绍的是一个简单的jQuery插件,他可以内嵌于我们的网站中,鼓励用户增加密码的复杂度。

2011-03-07 09:44:09

赤裸的密码密码
假如设计 SSL/TLS 协议
本文将从设计者的视角介绍如何一步步设计出一个简易版的SSLTLS的过程,在文章的最后,再简单介绍TLS1.2版本的工作机制,以此帮助大家对SSLTLS协议的基本原理有一个更深入的理解。

2022-03-05 18:25:51

SSLTLS协议
HTML5 定位
HTML5的geolocation是一个令人兴奋的API,通过这套API,Javascript代码就能够访问到用户的当前位置。当然,访问之前必须得到用户的明确认可,即同意在页面共享位置。如果页面尝试访问地理位置信息,浏览器就会显示一个对话框,请求用户许可共享其地理位置信息。

2015-11-19 09:44:34

HTML5定位
【系统服务】- OpenHarmony 串口服务访问
本文档是在eTS项目hap包中实现串口访问的使用说明,通过JS接口开放给上层应用使用。

2022-08-15 22:28:57

串口访问鸿蒙
保护数据就是保护商业信誉!
据Gartner统计,全球IT开支预计将在2010年达到3.4万亿美元,比2009年度的3.2万亿美元增长了5.3个百分点。这意味着企业对于IT部门的投资越来越多。与此同时,这些公司的的雇员对于私人层面上的IT投资也同样大幅增加。

2010-08-18 09:07:26

数据泄密防护DLP公司数据
Google开始用户设定密码保护他们线上活动记录
世界各地的许多人都非常关注他们的在线隐私。没有人希望别人知道他们在网上做什么,因为这些信息可能是高度个人化的,这其中包括对医疗状况的研究等等。当Google产品的用户,包括Android设备、智能音箱和Chrome浏览器上网时,他们的活动记录会存储在Google服务器上。

2021-05-26 13:38:45

Google设定密码用户活动
如何使用双因子验证保护服务
双因子验证不再是一项可有可无的功能。如果你使用现代云服务,这额外的一层安全可大大降低被人恶意接管的风险。本文介绍了如何入手。

2016-08-15 10:39:36

如果设计进程调度,会怎么办?
内存还有可能设计成相互错开的,互不干扰,比如进程1你就用01K的内存空间,进程2就用1K2K的内存空间,咱谁也别影响谁。

2022-02-17 08:57:18

内存设计进程
如何利用SSL/TLS保护Linux邮件服务
近来随着数据加密成为越来越多程序的共识,你需要安全套接层SecureSocketsLayer传输层安全性TransportLayerSecurity(SSLTLS)的安全证书来保护你的邮件服务。

2020-05-14 20:10:12

SSLTLSLinux
六个简单步骤保护以太坊智能合约安全
以太坊智能合约是用Solidity编写的,这是一种类似于C++和Javascript的语言。以太坊智能合约在以太坊区块链上运行,其执行由以太坊虚拟机(EVM)管理这是一台执行以太坊智能合约的虚拟超级计算机,并分布在世界各地的多个节点上。

2022-10-17 09:15:37

系统安全吗?Windows 7 防火墙保护
大部分人工作和生活都离不开互联网,可是当前的互联网安全性实在令人堪忧,防火墙对于个人电脑来说就显得日益重要,默认情况下,该防火墙还是关闭的

2012-05-11 14:39:07

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服