JWT库生成Token的使用和背后的原理解析
现在开发前后端分离的系统或者开发 APP 的项目时,在验证用户是否登录时都会使用 Token 的方式,使用 Token 也是为系统后续可以进行拆分的第一步。
Token 的生成规则可以任意,只要最终可以通过 Token 去匹配到合适的用户即可。不过我们可以使用 JWT 类库来帮助我们生成 Token。JWT 是 Json Web Token 的意思,是一种通过 Json 格式在 Web 中进行传递的 Token。
JWT 的使用
先来看看关于 JWT 的使用,它的使用是比较简单的。
创建一个 Spring Boot 的项目,然后引入 JWT 的依赖,依赖如下:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
然后创建一个 Util,用来生成 Token,代码如下:
public static String createToken(String subject)
{
return Jwts.builder()
.setSubject(subject)
.signWith(SignatureAlgorithm.HS256, secret)
.compact();
}
方法中,subject 就是要生成 token 的值,比如这里可以是用户名、用户 ID 等。signWith 是设置一个签名的算法,其中 HS256 是 HMAC-SHA256,HMAC 是基于哈希的消息验证码,SHA256 是一种哈希算法。secret 是我们自己定义的一个密钥,这个密钥很重要。
调用 createToken 就可以生成 Token 了,写一个单元测试,代码如下:
String name = "木瓜";
String token = TokenUtil.createToken(name);
System.out.println("木瓜的token:" + token);
name = "西瓜";
token = TokenUtil.createToken(name);
System.out.println("西瓜的token:" + token);
运行它,输出如下:
木瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s
西瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLopb_nk5wifQ.HcPdzxH0IFcyr_m0QZMPiX18dToPh07fQn4pDMWxdi0
可以看出,两个不同的 name 生成了不同的 Token。
我们同样可以使用 JWT 类库来对 Token 进行验证,代码如下:
public static String parseToken(String token)
{
Claims body = null;
try {
body = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
} catch (io.jsonwebtoken.ExpiredJwtException e) {
return e.getMessage();
}
return body.getSubject();
}
修改单元测试的代码,代码如下:
String name = "木瓜";
String token = TokenUtil.createToken(name);
System.out.println("木瓜的token:" + token);
System.out.println("parseToken:" + TokenUtil.parseToken(token));
name = "西瓜";
token = TokenUtil.createToken(name);
System.out.println("西瓜的token:" + token);
System.out.println("parseToken:" + TokenUtil.parseToken(token));
运行结果如下:
木瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s
parseToken:木瓜
西瓜的token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLopb_nk5wifQ.HcPdzxH0IFcyr_m0QZMPiX18dToPh07fQn4pDMWxdi0
parseToken:西瓜
可以看到,我们的 name 被还原回来了,这样就可以进行验证匹配了。
JWT 还可以设置 Token 的过期时间等,那些就不再描述了。
JWT 的原理
JWT 的原理其实并不复杂,简单的看一眼代码,并给出它的原理。
在介绍其原理之前,先使用一个在线工具来对 JWT 生成的 Token 进行一下解密,如下图。
可以看出,我们的 Token 被还原了。我们的签名算法和名字都被解析了出来。慌吗?这是什么情况呢!
上面 JWT 生成的 Token 包含三部分,并使用“点”号分隔。使用前面的 Token 来进行说明,Token 如下:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLmnKjnk5wifQ.PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s
上面的 Token 实际分为三部分,分别如下:
eyJhbGciOiJIUzI1NiJ9
eyJzdWIiOiLmnKjnk5wifQ
PmD4oa5OeA9p0TKr076UgO95WoNhyr2Yk1pAdgfqG3s
上面每行代表一部分,第一行表示签名算法,第二行是我们的用户名或用户ID,第三行是签名。
第一部分和第二部分是用 base64 算法进行编码的,只要通过 base64 的解码算法进行解码就可以得到相关的内容,解码如下。
从图中可以看出,对第一部分和第二部分进行解码后,都是一个 Json 串。
第三部分是对第一部分加第二部分内容的一个签名。
大体流程如下图。
大致来看一下源码。回顾 JWT 生成 Token 的方法,代码如下:
return Jwts.builder()
.setSubject(subject)
.signWith(SignatureAlgorithm.HS256, secret)
.compact();
我们关键来看 signWith 和 compact 两个方法。
先来看一下 signWith 方法,代码如下:
public JwtBuilder signWith(SignatureAlgorithm alg, byte[] secretKey) {
Assert.notNull(alg, "SignatureAlgorithm cannot be null.");
Assert.notEmpty(secretKey, "secret key byte array cannot be null or empty.");
Assert.isTrue(alg.isHmac(), "Key bytes may only be specified for HMAC signatures. If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead.");
this.algorithm = alg;
this.keyBytes = secretKey;
return this;
}
public JwtBuilder signWith(SignatureAlgorithm alg, String base64EncodedSecretKey) {
Assert.hasText(base64EncodedSecretKey, "base64-encoded secret key cannot be null or empty.");
Assert.isTrue(alg.isHmac(), "Base64-encoded key bytes may only be specified for HMAC signatures. If using RSA or Elliptic Curve, use the signWith(SignatureAlgorithm, Key) method instead.");
byte[] bytes = TextCodec.BASE64.decode(base64EncodedSecretKey);
return this.signWith(alg, bytes);
} 上面的代码主要就是设置了 签名算法 和 secretKey,secretKey 使用 base64 解码算法,除此并没有太多的处理。
再来看一下 compact 方法,代码如下:
public String compact() {
if (this.payload == null && Collections.isEmpty(this.claims)) {
throw new IllegalStateException("Either 'payload' or 'claims' must be specified.");
} else if (this.payload != null && !Collections.isEmpty(this.claims)) {
throw new IllegalStateException("Both 'payload' and 'claims' cannot both be specified. Choose either one.");
} else if (this.key != null && this.keyBytes != null) {
throw new IllegalStateException("A key object and key bytes cannot both be specified. Choose either one.");
} else {
Header header = this.ensureHeader();
Key key = this.key;
if (key == null && !Objects.isEmpty(this.keyBytes)) {
// 生成了key
key = new SecretKeySpec(this.keyBytes, this.algorithm.getJcaName());
}
Object jwsHeader;
if (header instanceof JwsHeader) {
jwsHeader = (JwsHeader)header;
} else {
jwsHeader = new DefaultJwsHeader(header);
}
if (key != null) {
((JwsHeader)jwsHeader).setAlgorithm(this.algorithm.getValue());
} else {
((JwsHeader)jwsHeader).setAlgorithm(SignatureAlgorithm.NONE.getValue());
}
if (this.compressionCodec != null) {
((JwsHeader)jwsHeader).setCompressionAlgorithm(this.compressionCodec.getAlgorithmName());
}
// 对{"alg": "HS256"}进行base64编码
String base64UrlEncodedHeader = this.base64UrlEncode(jwsHeader, "Unable to serialize header to json.");
String base64UrlEncodedBody;
if (this.compressionCodec != null) {
byte[] bytes;
try {
bytes = this.payload != null ? this.payload.getBytes(Strings.UTF_8) : this.toJson(this.claims);
} catch (JsonProcessingException var9) {
throw new IllegalArgumentException("Unable to serialize claims object to json.");
}
base64UrlEncodedBody = TextCodec.BASE64URL.encode(this.compressionCodec.compress(bytes));
} else {
// 对{"sub": "木瓜"}进行base64编码
base64UrlEncodedBody = this.payload != null ? TextCodec.BASE64URL.encode(this.payload) : this.base64UrlEncode(this.claims, "Unable to serialize claims object to json.");
}
// 两个base64字符串拼接
String jwt = base64UrlEncodedHeader + '.' + base64UrlEncodedBody;
if (key != null) {
// 生成签名
JwtSigner signer = this.createSigner(this.algorithm, (Key)key);
String base64UrlSignature = signer.sign(jwt);
// 拼接字符串
jwt = jwt + '.' + base64UrlSignature;
} else {
jwt = jwt + '.';
}
return jwt;
}
}以上就是 JWT 生成 Token 的流程了。整个代码流程并不复杂。
总结
JWT 生成 Token 的流程比较简单的,通过 base64 解码算法也可以轻松的拿到原始数据和签名算法。对于 JWT 库,不但可以对原始数据和签名算法进行还原,也会根据提前预定的 secret 来验证签名,确保数据没有被篡改。看了 JWT 后可能觉得,这个东西没有加密,的确是这样的。JWT 中的签名也是通常意义上的签名,只用来保证数据的完整性、抗抵赖性的,并不是起加密作用的。而对于签名算法中最为重要的 secret 可以使用暴力破解的方式来进行猜测,一旦猜测成功,JWT 就不安全了。
